リスク管理Naviリスクマネジメントのワンストップ情報サイト

ガイドライン

ANSI/ASIS SPC.4-2012(組織レジリエンスマネジメントシステムの段階的実践のための成熟度モデル)

2012年10月26日

『ANSI/ASIS SPC.4-2012(組織レジリエンスマネジメントシステムの段階的実践のための成熟度モデル)』は、略してSPC4とも呼ばれ、事業継続マネジメントシステム(BCMS)の成熟度を評価する手法を説いたガイドラインです。2012年4月に米国でANSI(米国規格協会)およびASIS(エイエスアイエス:セキュリティ団体)から発行されました。

なお、成熟度とは、言わば“職人の熟練度”のようなものであり、「ある目的を達成するための活動が、どれくらい効果的・効率的に実行されているのかを測ったもの」のことです。したがって、BCMSの成熟度とは、BCMSに関わる活動(例:事業継続方針策定、各種分析の実施、文書化、訓練、内部監査、マネジメントレビューなど)が、BCMSの目的を達成するために、どれだけ効果的・効率的に導入・運用されているかを測ったもの、を指します。SPC4は、まさにこのためのガイドラインです。

ISO22301との関係性

SPC4は米国の国家規格ですが、実はBCMSに関しては、既に同協会より2009年にSPC1※という規格が発行されています。また、国際規格としてもISO22301(事業継続マネジメントシステム-要求事項)が、ISOより2012年に発行されています。こうした規格群における、SPC4の位置づけや役割は何でしょうか。

そもそもSPC1およびISO22301は、実は同じテーマを目的とした規格です。つまり、両規格とも“効果的・効率的なBCMS構築・運用”を目指す組織が参考にすべき情報を記載したものです。前者が米国の国家規格であるのに対し後者が国際規格である点など、いくつか異なる点がありますが、詳細な違いについてはANSI/ASIS SPC.1のNAVI記事をご覧ください。これら両規格に対し、SPC4は先述したようにBCMS活動の成熟度の測り方を提示したガイドラインです。同組織(ANSI/ASIS)発行のSPC1を適用し、BCMSの構築・運用をした組織の成熟度評価を行いたいと考える人たちが参考にできる規格です。すなわち、SPC4はSPC1を補完する規格であり、SPC1はSPC4の親規格ということもできます。
BCMS規格の種類 英国国家規格 米国国家規格※2 国際規格(IS)
要求事項(認証基準) BS25999-2:2007 SPC1 ISO22301:2012
ガイドライン 構築・運用 BS25999-1:2006 (ISO22313)
サプライチェーン PD25222:2011 (SPC2)
内部監査 (SPC3)
成熟度調査 (SPC4)
※1. 括弧内は2013年5月現在、開発中のものです
※2. SPC2(“セキュリティ、緊急事態準備、及び継続マネジメントシステム”の監査マネジメントシステムを適用するためのガイダンス)と、SPC3(サプライチェーンにおけるレジリエンス)という規格もありますが、両規格は2013年5月現在、開発中です

SPC4において注目すべき2つのポイント

SPC4は全26ページからなり、その構成はシンプルでありながら、わかりやすくまとめられています。その中で最も有益な情報は、「成熟度モデルにおける段階の定義」と「SPC1に登場する要求事項ごとの具体的な評価基準(例)」と言えるでしょう。

「成熟度モデルにおける段階の定義」とは、BCMSの成熟度をどのような指標で評価するのか、また、その指標の判断基準は何か、を示しているものです。規格では成熟度を6段階で評価するとしており、それぞれの段階の定義については、具体的には、以下のとおりです※1。
段階 定義
1 場当たり的(気がついたとき)に、実行している状態。
2 意識的ではあるものの、試験的・限定的に実行している状態。
3 中核的要素※2に、組織全体で取り組んでいる状態。
4 中核的要素※2を統合し、反復的に改善活動を実行している状態。
5 求められる全ての活動を実行しており、かつ、それら全てを検証済みの状態。
6 組織の文化として定着させ、組織の意志決定活動に組み込んでいる状態。
※1. ANSI/ASIS SPC.4-2012の0.2 Management System Approachの記載内容を基に筆者が分かりやすく編集し作成
※2. SPC1またはSPC4の巻末に要求事項ごとに規定されているものです

また、「SPC1に登場する要求事項ごとの具体的な評価基準(例)」ですが、具体的にはたとえば、以下のようなテーブルが規格の巻末に添付されています。

SPC1 中核的要素 重要な要素を 段階1 段階2 ・・・
4.5.4 文書管理の方法を開発し、導入する ・文書と記録の管理プロセスと手順
・必要不可欠な情報の完全性保護
組織でごく一般的に運用される文書管理以外、特に文書管理をする仕組みがない 文書管理に関する手順がいくつか存在し・・・

継続的改善の起爆剤として

SPC4は、とりわけ組織の内部監査部門や、BCMSの構築・運用の担当部門、あるいは審査機関のような外部監査サービスを提供する組織にとって有効な規格になる、と言えるでしょう。たとえば内部監査部門の方であれば、被監査部門(BCMSの構築・運用の担当部門)に対して、SPC4に基づいた成熟度評価を実施・観察――それも定期的に――することで、マネジメントシステムが健全な方向に向かっているのか、あるいは形骸化の方向に向かっているのか、その判断材料を得ることができます。他方、BCMSの構築・運用の担当部門は現状の成熟度を知ることで――そう、たとえば、現状の文書管理プロセスが“段階3”と定義された場合には、来年度末までに“段階4”までに引き上げよう!とするなど、なにかと活動目標を立てやすくなります。継続的改善の促進を期待できます。

ところで、当該規格に基づいて成熟度評価を行うに場合には、規格が生まれた沿革を考えますと、その対象組織が親規格であるSPC1をベースにBCMSの構築・運用を行っているほうが望ましいことが分かります。ただし先に触れたとおり、ISO22301もSPC1も、ほぼ同一の目的を掲げた規格である以上、たとえ対象組織がISO22301ベースにBCMSの構築・運用を行っていたとしても、工夫次第で十分にSPC4を活用することができます。

ちなみに、SP4はSPC1同様、日本語版が既に出ております。一般社団法人ASISインターナショナル日本支部よりダウンロード申請を行うことで入手することができます。(無償ダウンロードは2013年11月末をもって終了しました。入手方法についてはASISインターナショナル日本支部に直接お問い合わせください)

(文責:勝俣 良介

小冊子プレゼント

リスクマネジメントにかかわる小冊子PDFを無料でダウンロードいただけます。

情熱コンサルタント宣言

私たちは「本当にお客様の役に立ちたい!」という熱い心を持ったコンサルタント集団です。真の意味でお客様の礎となる支援をいたします。

新着コンサルタントコラム