リスク管理Naviリスクマネジメントの情報サイト

PAS22399

掲載:2011年12月20日

執筆者:取締役副社長 兼 プリンシパルコンサルタント 勝俣 良介

ガイドライン

ISO/PAS 22399は、事業継続マネジメント(BCM(S))のガイドライン/要求事項(認証基準)の国際版とすること(ISO化)をめざして策定された一般公開仕様書です。正式名称は、Societal Security - Guideline for incident preparedness and operational continuity management(社会セキュリティ-緊急事態準備と業務継続マネジメントガイドライン)といいます。
タイトルに「事業継続(Business Continuity)」ではなく「業務継続(Operational Continuity Management)」という用語が用いられているのは、このガイドラインが民間企業のみならず、公共機関をはじめとするあらゆる組織を前提に作られているためです(※詳しくは、OCPの定義を参照下さい)

         

ISO/PAS 22399とは

このガイドラインは、世界50ヶ国超を代表する様々な組織(公共機関や民間企業)から構成される専門委員会(ISO/TC223)において全会一致で承認され、2007年11月に公開されました。元来、事業継続(BC)というテーマについては、既にいくつかの国において標準化が進められてきましたが、それら既存の規格・ガイドラインのエッセンスを抽出・統合する形で国際標準化を前提に作られたのが、このISO/PAS22399になります。なお、本ガイドラインのベースとなった規格・ガイドラインは以下の5つです(”ベスト・オブ・ファイブ”と呼ばれます)。

  • NFPA1600:2004(アメリカ)
  • HB221:2004(オーストラリア)
  • BS25999-1:2006(イギリス)
  • 事業継続計画策定ガイドライン(経済産業省):2005(日本)
  • 事業継続ガイドライン(内閣府):2005(日本)
本ガイドラインがISOとして正式に認められるためには、まだ数年を要します※1。当初「2010年頃には成立するのではないか」と言う説が有力でしたが、利害関係者(国)間の調整が難航しており、2011~13年までズレ込む可能性も指摘されています(2008年12月現在)。このため、事業継続対策をいち早く進めたいと考えている国では、イギリスのBS25999のように既に国際的に認知されている規格を利用して国内標準化を勧める動きが目立ちます。たとえば、日本では日本情報処理開発協会(JIPDEC)が中心となってBS25999-2:2007をベース(認証基準)とした『BCMS適合性評価制度』の実証運用(パイロット版)をスタートさせています※2
※1. ISO/PASは、公開されてから3年後に見直しを行い、更に3年間の期間延長を承認するか、国際規格とするために改正するか、廃止するかどうかが決定されるため)
※2. BCMSの認証制度に対して、2006年7月から1年間をかけたパイロット期間を設け、2007年7月から本番運用がスタートとなる予定です。

ガイドラインの構成

本ガイドラインは、大きく以下に示す9つの章と4つの附属書から構成されています。

1. 適用範囲
2. 引用規格
3. 用語及び定義
4. 一般
5. 方針
6. 計画
7. 実施及び運用
8. パフォーマンス評価
9. マネジメントレビュー
附属書A:影響度評価手順
附属書B:緊急時対応マネジメントプログラム
附属書C:継続マネジメントプログラム
附属書D:緊急事態準備と業務継続の文化構築
ISO:Guide72:2001※3に沿う形で策定しているため、BS25999-2:2007同様、マネジメントシステム(方針を策定し、目標を定め、計画を立案し、実行し、評価し、見直しを行うというPDCAの考え方)を前提とした分かりやすい構成(BCMS)になっています。実際の中身については表現に多少の違いがあるものの、他の規格やガイドラインとそれほど大きな違いはありません。

※3. マネジメントシステム規格の正当性及び作成に関する指針

ガイドラインの特徴と用途

本ガイドラインの特徴として、先行している5つのガイドライン・規格を参考に策定されたものであることから、国際性・最新性・網羅性という点で優れていると言えます。しかし一方で、”つぎはぎ感”も否めず、他のガイドラインや規格に比べると、その内容に(本文中の用語の定義に読者の混乱を誘うようなものがあるなど)分かりづらい部分も見受けられます。たとえば、以下に示す似た用語が用いられていますが、その定義があまり明確になっているとは言えません。
  • 「脅威」と「ハザード」
  • 「イベント」と「インシデント」
  • 「危機」と「緊急事態」
最後に、本ガイドラインの用途ですが、特に将来、ISO化を見据えたBCM構築を検討されているお客様による利用が中心になると考えます。しかし、既に広く認知されているBCM(S)の規格やガイドラインと大きく異なる点は少ない上に、まだISO化の途上にガイドラインであるため、特段の理由がなければ、BS25999などを参考にしながら構築を進めても問題がないと言えるでしょう。
関連サービス
当社のWebサイトでは、サイト閲覧時の利便性やサイト運用および分析のため、Cookieを使用しています。こちらで同意をして閉じるか、Cookieを無効化せずに当サイトを継続してご利用いただくことにより、当社のプライバシーポリシーに同意いただいたものとみなされます。
同意して閉じる