s

NEWS TOPICS

会員向け情報はこちら

第2回 今からでも間に合うBCMS(ISO 22301)

事業継続計画(BCP)/事業継続マネジメント(BCM)

第2回
今からでも間に合うBCMS(ISO 22301)

1.ISO 22301とは


 第1回では、「BCPとは何か」「BCMとは何か」「BCMSとは何か」と3つの用語について説明をしましたが、一般に用いられている“BCMS”とはISO 22301のことを指します。
 では、ISO 22301とは、具体的にどういうものなのか、ここでは“BCMS”という用語ではなく、“ISO 22301”という用語について説明をします。
 ISO 22301とは、ISO/TC 223 (Societal security)の下、2012年に発行された世界初の国際規格です。
  組織は、この規格を運用することで、自然災害、火災、サプライチェーンの問題、サイバー攻撃などビジネスの円滑な運営を脅かす多くの予期せぬ脅威への効果的な対応と迅速な復旧を可能にし、それにより、人々、製品、および組織の収益への影響を軽減することが期待されています。
  この規格を運用することができる対象は限定さられておらず、規模、業界、事業内容に関係なく全ての組織に適用されます。
  また、後述するように、附属書SLに規定するISOマネジメントシステムの上位構造(HLS)に基づいているため、QMS(品質マネジメントシステム)やEMS (環境マネジメントシステム)を構築している組織の既存の管理策に統合されるように設計されています。
  事業継続とリスクの専門家、サプライチェーンの責任者、監査責任者とアソシエイト、企業のCSR報告書の担当者・責任者、規制機関やその他事業継続に関係する、または関心のあるすべての人にとって有用な規格です。

 この規格が初めて発行された2012年版では、効果的な事業継続計画、システム、プロセスの実施と維持に関する内容が規定されていましたが、2019年10月にISO/TC 292(Security and resilience)の下、最新の考え方とベストプラクティスを取り入れて改訂されました。

 ※ISO/TC 292は、セキュリティ関係の標準化を行うための、統括的な構造が必要であるとのISO/TMB(技術管理評議会)の勧告に基づき、それまであったISO/TC 223 (社会的セキュリティ)、ISO/PC 247(不正防止対策及び管理)、ISO/PC 284(民間警備会社オペレーションの品質管理 - ガイダンスを伴う要求事項)及びISO/TC 8(船舶及び海洋技術)で作成されたISO 28000シリーズ(サプライチェーンのセキュリティマネジメントシステム)を一つの専門委員会(TC)として統合し、2015年に設置されました(JSA Webdesk ISO/TC 292(セキュリティとレジリエンス)

2.2019年版の特長


 2019年版では、「組織が事業継続を行う中で何らかの混乱が発生した場合に、その発生から組織を保護し、混乱発生の可能性を低減し、準備し、対応し、復旧するための管理策を実装し、維持し、改善するための要求事項を規定するもの」と説明されています。
 事業継続業界における継続的な変化を反映し、ISO 22301ユーザーに対して多くの価値をもたらすため、また文章も改善し、より明確さと一貫性を確保するための改訂がされました。

  ≪主な変更内容は以下の通りです≫
◎規格の構造を見直し、何が求められているのかをより明確にし、より読みやすく実施しやすくした。
◎重複を取り除き、事業継続業界における今日の考え方をよりよく反映するために、言語と用語を簡素化した。
◎ISOマネジメントシステム共通構造である、ISO/IEC指針の附属書SLに規格構造をあわせて、他のISOマネジメントシステム規格との整合性を保った。
 前述した通り、ISOのセキュリティとレジリエンスに関する技術委員会(ISO/TC292)の下、2019年に改訂されましたが、ISO 22301:2019は情報主導型のアプローチが中心となっており、日々粒度の高いデータが増えていることで、事業継続の混乱要因と影響の両方においてより明確な理解に繋がるとされています。

附属書SLとは
ISOマネジメントシステムの上位構造(HLS)、共通テキスト及び共通用語・定義のこと。
附属書SLが開発されるより前のISOマネジメントシステム規格は、規格毎に文書構造や用語の意味合いが異なっており、複数のISOマネジメントシステムに取組もうとするとそれぞれの規格を一から理解する必要があり、大変非効率的でした。
そこで、2012年に「ISO/IEC専門業務用指針 統合版ISO補足指針規格」内に附属書SLが盛り込まれました。 これにより、附属書SL発行以後(2012年以後)に発行された全てのISOマネジメントシステムは10箇条の上位構造(HLS)、要求事項文言・用語の共通化が図られ、複数のISOマネジメントシステムの認証取得に取組みやすくなりました。
さらに、これまでISOのみに適用される補足指針であった附属書SLは、2019年5月改訂版「ISO/IEC専門業務用指針第1部」からISO/IEC共通の指針となり、「附属書L」に変更されました。
これに伴い、TMB、中央事務局、PCなどの用語についても、ISO/IEC双方を考慮した記載へ変更されました。
しかし、IECでの再検討の結果、2020年5月改訂版では再びISOのみに適用される補足指針として「附属書SL」へ変更されています。
(JSA Webdesk マネジメントシステム規格の整合化動向)

3.ISO 22301を運用することのメリット


➣組織の事業継続に対する問題が発生した場合に生じるコストを削減し、業績への影響を少なくすることが期待される。
➣複数の拠点や部門を持つ企業は、組織全体で同じ一貫したアプローチを取ることができる。
➣顧客、サプライヤー、規制機関、その他の利害関係者に対して、事業継続のための適切なシステムとプロセスが整っていることを明示することで、安心して取引をしてもらうことができる。
➣ビジネスパフォーマンスと組織の回復力(レジリエンス)の向上。
➣重大な課題や脆弱性の領域を分析し、事業への理解を深めることができる。
 その他、組織がどのように運営されているかを明確かつ詳細に示し、戦略的計画、リスク管理、サプライチェーン管理、事業変革、リソース管理に資する貴重な洞察を提供します。

4.ISO 22301の認証取得の前に


 ISO 22301の認証を取得しようと考えられている組織の方は、以下の内容にご留意ください。
 ➢経営者の賛同を得てください。BCMS(ISO 22301)は、意思決定の立場にある方(経営者)が真の支援を提供して高い優先度の案件として扱わなければ、効果を発揮することはできません。
 ➢準備状態の評価を行い、規格の要求事項に関して自社がどの位置にいるのか、また、それらを満たすためにどの程度のリソースが必要になるのかを確立してください。
 ➢事業回復のための演習を実施し、事業のいずれかの領域に障害が発生した場合に、現在何をすべきかを慎重に検討してください。
 これらの点にご留意いただければ、自社がどの程度の対応能力があるのか、また、ISO22301がどのように役立つのかを明確にすることができます。

5.今から間に合うBCMS(ISO 22301)


 現代社会は、大災害、感染症の流行や大規模デモなど予期せぬ事態に見舞われる可能性が多分にあります。
 そういった事態による経済的な影響が長期に及ぶことは想像に難くなく、昨今の新型コロナウイルスのようなアウトブレイクが定期的に発生する可能性すら示唆されている今、私たちは何を学び、将来に備えるためにどのようなステップを踏むことができるのかを問う必要があります。
 経営者らは、このような時代を乗り切るために、自分自身や周囲の人々などの既存のリソースを頼りにされることでしょう。
 しかし、このような未曾有の規模と未知数の危機を乗り切るには、それ以上のものが必要となるでしょう。

 経済の安定と成長を取り戻すためには、長引くパンデミックの脅威に影を落とした脆弱な経済を考慮した体系的な計画が必要です。BCMS(ISO22301)は、その空白を埋めるための適切な方法です。
 BCMS(ISO 22301)が予防策を特定することを考えると、経営者は「今から始めるには遅すぎるのではないか」と疑問に思われるかもしれません。
 多くの組織は、事業継続に関する対応よりも緊急性の高い優先課題を抱えていることと思います。
 しかし、昨今の新型コロナウイルス感染拡大による影響を受けつつこの状況を乗り切ることができたして、同じような事態が次に発生したときにその影響を受け止めて乗り切る余裕はありますか。
 もし貴社がBCMS(ISO 22301)を導入したことがない、あるいは検討したことがないならば、今がそれを行うための適切な時期かもしれません。

【日本規格協会の商品・サービス情報】

★『標準化と品質管理 2020年8月号』では「リスク・事業継続のマネジメントシステム―ポスト・コロナを見据えて」と題した特別企画を掲載しています。★

リスクマネジメント関連 日本規格協会の商品・サービス
ISO 31000:2018
リスクマネジメント―指針
JIS Q 31000:2019
リスクマネジメント―指針
ISO Guide 73:2009
リスクマネジメント-用語
JIS Q 0073:2010
リスクマネジメント―用語
ISO/TR 31004:2013
リスクマネジメント-ISO 31000実施の手引
IWA 31:2020
リスクマネジメント-管理システムでのISO 31000の使用に関するガイドライン
IEC 31010 Ed. 2.0:2019 (b)
リスクマネジメント-リスクアセスメント技法
JIS Q 31010:2012
リスクマネジメント―リスクアセスメント技法
対訳 ISO 31000:2018(JIS Q 31000:2019)リスクマネジメントの国際規格[ポケット版] ISO 31000:2018(JIS Q 31000:2019)リスクマネジメント 解説と適用ガイド
その他、リスクマネジメント関連書籍をご用意しています。
リスクマネジメント関連書籍一覧は、 こちらをご覧ください。
リスクマネジメントシステムセミナー ISO31000規格活用コース
▼本コースは、規格の理解を深めることで、組織におけるマネジメントを改善し、
マネジメントシステムの有益な運営につなげていただくことを目的としたコースです。


事業継続マネジメントシステム関連 日本規格協会の商品・サービス
ISO 22301:2019
セキュリティ及びレジリエンス-事業継続マネジメントシステム-要求事項
JIS Q 22301:2013
社会セキュリティ―事業継続マネジメントシステム―要求事項

★2020年10月以降に改正の予定です。★
ISO 22313:2020
セキュリティ及びレジリエンス-事業継続マネジメントシステムーISO 22301の使用に関する手引き
JIS Q 22313:2014
社会セキュリティ―事業継続マネジメントシステム―手引
ISO 22320:2018
セキュリティ及びレジリエンス-緊急事態管理-インシデントマネジメントの指針
JIS Q 22320:2013
社会セキュリティ―緊急事態管理―危機対応に関する要求事項
その他、事業継続マネジメントシステム関連書籍をご用意しています。
事業継続マネジメントシステム関連書籍一覧は、 こちらをご覧ください。
ISO 22301に基づく事業継続マネジメントシステム認証を受け付けております。
ISO22301は、組織の事業継続を脅かす潜在的な脅威や、それらの脅威が現実となった場合に引き起こされる事態への対応を
効率的に行うための包括的なマネジメントプロセスであり、組織の対応力及び復旧力を高めるための仕組みです。
詳細はこちらをご覧ください。