- TOP
- サービスメニュー
- 事業継続(BCM)
- 防災マニュアル
- ISO 22301 事業継続マネジメントシステム(BCMS)構築支援
- 国際規格「ISO 22301」-概要
国際規格「ISO 22301」-概要
2011 年3 月11 日、東日本を襲った未曾有の大災害「東日本大震災」は、事業中断や原材料の供給不足による業務レベルの低下など、多くの企業の事業に影響を与え、災害発生による事業停滞リスクの大きさを改めて認識させた。
また、海外においてもタイの洪水やアイスランドの火山噴火による欧州航空網の麻痺など、事業に影響を及ぼすリスクが顕在化しており、大企業だけではなく中小企業においても事業継続への対応を考える機会が増えたのではないだろうか。
このような中、事業継続マネジメントシステム(BCMS)の国際規格「ISO22301:2012 社会セキュリティ-事業継続マネジメントシステム-要求事項」が、ISO(国際標準化機構)から、2012 年5 月15 日に発行された。
国際規格の発行により、今後日本だけでなく世界各国でISO 22301 の第三者認証制度が始まり、様々な業種・業態において認証を取得する企業が増加するものと予想される。
そこで、本稿ではISO 22301 がどのような規格なのか、またISO 22301 が企業にとってどのような有効性が期待できるのかについて述べる。
1. ISO 22301 の構成
社会セキュリティに関する国際規格は、「TC 223」というISO の専門委員会のワーキンググループで開発された。
ISO 22301 は、事業継続マネジメントシステムの要求事項であり、「0 Introduction」から「10 Improvement」で構成されている(表 1)。このうち要求事項にあたるのは、箇条4~箇条10 である。
なお、TC 223 において開発しているISO 22301 に関係する規格として、「ISO/DIS 22313:2011 社会セキュリティ-事業継続マネジメントシステム-ガイダンス」がある。
これは、ISO 22301 のガイドラインとしての位置付けであり、要求事項の各項目について採用することが望ましい事項を示しているため、ISO 22301 の要求事項に基づく体制構築時の具体的な指針として利用できる。
ISO のプレスリリース1によると「ISO/DIS 22313:2011 社会セキュリティ-事業継続マネジメントシステム-ガイダンス」は、2013 年初頭の発行に向けて準備を行なっている。
表 1 ISO 22301 目次と概要2
| 箇条 | 項目 | 概要 |
|---|---|---|
| 0 | Introduction/序文 | BCMSの重要性や本規格の構成要素について説明している。 |
| 1 | Scope/適用範囲 | 本規格の趣旨や適用可能な範囲について説明している。 |
| 2 | Normative reference/引用規格 | 本規格が引用している文書について示している。 |
| 3 | Terms and definitions/用語及び定義 | ISO ガイド733、ISO 223004に規定する以外の用語について定義している。 |
| 4 | Context of the organization/組織の状況 | PDCA サイクルのPLAN に関する要求事項であり、BCMS における組織の適用範囲を決定するために必要となる事項を示している。 |
| 5 | Leadership/リーダーシップ | PDCA サイクルのPLAN に関する要求事項であり、BCMS におけるトップマネジメントの役割責任について示している。 |
| 6 | Planning/計画 | PDCA サイクルのPLAN に関する要求事項であり、BCMS 全体の目的や指針の設定について示している。 |
| 7 | Support/支援 | PDCA サイクルのPLAN に関する要求事項であり、BCMS を運用するにあたり、文書化、力量の保持、利害関係者とのコミュニケーションに関する事項を示している。 |
| 8 | Operation/運用 | PDCA サイクルのDO に関する要求事項であり、事業継続を実現するための対応方法、手順の策定方法、策定後の演習について示している。 |
| 9 | Performance evaluation/パフォーマンス評価 | PDCA サイクルのCHECK に関する要求事項であり、BCMS のパフォーマンスや適合性の確認について示している。 |
| 10 | Improvement/改善 | PDCAサイクルのACT に関する要求事項であり、BCMS の不適合を特定し是正処置によって対応することを示している。 |
- ISO(International Organization for Standardization).“ISO publishes new standard for business continuity management.” ISO (International Organization for Standardization),http://www.iso.org/iso/pressrelease.htm?refid=Ref1587(アクセス日:2012-07-10)
- ISO(International Organization for Standardization). ISO 22301:2012. ISO(International Organization for Standardization)2012,Pⅰ-P24,Pⅲ (表内の「項目」は、ISO/FDIS 22301:2012 をもとに行った当社の仮訳であり、「概要」は当社の見解である)。
- 一般財団法人 日本規格協会 ISO Guide 73:2009 リスクマネジメントに関する一般的な用語及びその定義についての規定
- 一般財団法人 日本規格協会 ISO 22300:2012 社会セキュリティに関する用語規格集
2. ISO 22301 の特徴
ISO 22301 は、マネジメントシステム規格であるため、PDCA サイクルや継続的改善といったISO 9001 やISO 14001 など従来の国際規格でも示されている要求事項の他に、有事の事業継続を目的としたマネジメントシステムの性格上、以下のような特徴的な要求事項が見受けられる。
- 演習
事業継続マネジメントは、他のマネジメントとは違い、有事が発生しなければBCP の有効性や実効性を確認する機会が発生しない。
しかし、有事は頻繁に発生するものではないため、平時でもBCP の有効性や実効性を確認する「演習」の実施が求められている。
演習実施は箇条8.5 に明記されている要求事項であるが、演習を単に実施するだけではなく、演習実施の目標を定め、シナリオを計画・実施し、その結果をまとめ、改善を促進する観点からレビューすることも求められている。
また、演習はあらかじめ定められた間隔で実施され、また組織に大きな環境の変化があった場合にも実施が求められている。 - 平時と有事の要求事項
ISO 22301 では、演習以外にも平時における要求事項と有事における要求事項、両方が示されており、文書策定や体制構築において適切に構築する必要がある。
例えば、箇条7.4 と箇条8.4.3 はどちらもコミュニケーションについての要求事項であるが、平時に準備する内容と有事に実施する内容が示されている。
箇条 7.4 は、平時においてBCMS に関する内部及び外部のコミュニケーションの必要性を判断することを求めており、平時において有事に備えて伝達事項、伝達時期、伝達相手についてどのように対応するか手順化することを求めている。
箇条 8.4.3 では、有事発生のコミュニケーション手順を確立することを求めており、組織が決めた手順については演習実施の対象にすることを求めている。
3. 他のガイドラインとの比較
事業継続に関する規格やガイドラインとしては、2004 年にNFPA 1600(米国防火協会)、2005 年に事業継続ガイドライン(内閣府)5と事業継続計画策定ガイドライン(経済産業省)6、2007 年にBS 25999-2(英国規格協会)、2009 年にANSI/ASIS SPC.1(米国規格協会)が、そして、2012 年5 月にISO 22301 というようにこれまで数多くの規格やガイドラインが発行されている。そして、ISO 22301 は、ISO 9001 やISO 14001 など従来の国際規格や海外の事業継続に関するガイドラインのみならず、国内のガイドラインも参考に開発されてきた。
そこで、ISO 22301 と国内の多くの企業が事業継続に取り組む際に一つの指針として活用されている事業継続ガイドライン(内閣府)を比較してみると、双方でカバーしている項目に大きな違いがないことが分かる(表2)。
表2 ISO 22301 と事業継続ガイドライン(内閣府)の対応表7
| ISO 22301:2012 | 事業継続ガイドライン第二版(内閣府) |
|---|---|
| 1 適用範囲 | 1.2.3 本ガイドラインにあげた各項目の位置づけ |
| 2 引用規格 | - |
| 3 用語及び定義 | - |
| 4 組織の状況 | |
| 4.1 組織とその状況の理解 | 2.1 方針 2.2.2 影響度の評価 |
| 4.2 利害関係者のニーズ及び期待の理解 | 1.2.2 事業継続と共に求められるもの 2.2.6 事業継続と共に求められるもの |
| 4.3 マネジメントシステムの適用範囲の決定 | 2.2.1 検討対象となる災害の特定 |
| 4.4 事業継続マネジメントシステム | Ⅱ 事業継続計画および取組みの内容 |
| 5 リーダーシップ | |
| 5.1 一般 | 2.1 方針 |
| 5.2 経営者のコミットメント | 2.1 方針 |
| 5.3 方針 | 2.1 方針 |
| 5.4 組織の役割、責任及び権限 | 2.3.1 事業継続計画に従った対応の実施 |
| 6 計画 | |
| 6.1 リスク及び機会に対応するための処置 | 2.2 計画 |
| 6.2 事業継続目的及び達成計画 | 2.3.1 事業継続計画に従った対応の実施 2.3.2 文書の作成 2.4 教育・訓練の実施 |
| 7 支援 | |
| 7.1 資源 | 2.2.4 重要な要素の抽出 |
| 7.2 力量 | 2.4 教育・訓練の実施 |
| 7.3 認識 | 2.4 教育・訓練の実施 |
| 7.4 コミュニケーション | 2.2.5.3 対外的な情報発信および情報共有 |
| 7.5 文書化した情報 | 2.3.2 文書の作成 |
| 8 運用 | |
| 8.1 運用の計画及び管理 | 2.3.1 事業継続計画に従った対応の実施 |
| 8.2 事業影響度分析及びリスクアセスメント | 2.2.2 影響度の評価 2.2.3 重要業務が受ける被害の想定 |
| 8.3 事業継続戦略 | 2.2.4 重要な要素の抽出 |
| 8.4 事業継続手順の確立及び導入 | 2.2.5 事業継続計画の策定 |
| 8.5 演習及び試験の実施 | 2.3.4 計画が本当に機能するかの確認 2.4 教育・訓練の実施 |
| 9 パフォーマンス評価 | |
| 9.1 監視、測定、分析及び評価 | 2.5 点検及び是正処置 |
| 9.2 内部監査 | 2.5 点検及び是正処置 |
| 9.3 マネジメントレビュー | 2.5 点検及び是正処置 |
| 10 改善 | |
| 10.1 不適合及び是正処置 | 2.5 点検及び是正処置 |
| 10.2 継続的改善 | 2.6 経営層による見直し |
しかしながら、解説されている詳述レベルという点では差異が見受けられる。例えば、事業影響度分析及びリスクアセスメントを見ると、事業継続ガイドラインの方が検討する際の考え方を示しているが、ISO 22301ではアプローチ方法を示すに留まっている。一方、パフォーマンス評価については、ISO 22301 のほうがより詳しく示されている。これらの違いは、第三者認証に利用可能な国際規格とガイドラインという、それぞれの位置付けによって生じているもので、事業継続への取組を進めていく上での目的・アプローチはほぼ同じであると考える。
- 事業継続ガイドライン第二版 (内閣府)平成 21 年11 月発行
http://www.bousai.go.jp/kyoiku/kigyou/keizoku/pdf/guideline02.pdf - 事業継続計画策定ガイドライン(経済産業省)平成 17 年6 月発行
http://www.meti.go.jp/policy/netsecurity/downloadfiles/6_bcpguide.pdf - ISO(International Organization for Standardization). ISO 22301:2012. ISO(International Organization for Standardization)2012,Pⅰ-P24,Pⅲ (表内の「ISO 22301:2012」の欄については、ISO/FDIS 22301:2012 をもとにした当社による仮訳)。 ISO22301 と事業継続ガイドライン第二版の対応表については当社の見解である。