第2回 今からでも間に合うBCMS(ISO 22301)

事業継続計画（BCP）／事業継続マネジメント（BCM）

第2回
今からでも間に合うBCMS(ISO 22301)

１．ISO 22301とは

　第1回では、「BCPとは何か」「BCMとは何か」「BCMSとは何か」と3つの用語について説明をしましたが、一般に用いられている“BCMS”とはISO 22301のことを指します。
　では、ISO 22301とは、具体的にどういうものなのか、ここでは“BCMS”という用語ではなく、“ISO 22301”という用語について説明をします。
　ISO 22301とは、ISO/TC 223 (Societal security)の下、2012年に発行された世界初の国際規格です。
　 組織は、この規格を運用することで、自然災害、火災、サプライチェーンの問題、サイバー攻撃などビジネスの円滑な運営を脅かす多くの予期せぬ脅威への効果的な対応と迅速な復旧を可能にし、それにより、人々、製品、および組織の収益への影響を軽減することが期待されています。
　 この規格を運用することができる対象は限定さられておらず、規模、業界、事業内容に関係なく全ての組織に適用されます。
　 また、後述するように、附属書SLに規定するISOマネジメントシステムの上位構造(HLS)に基づいているため、QMS(品質マネジメントシステム)やEMS (環境マネジメントシステム)を構築している組織の既存の管理策に統合されるように設計されています。
　 事業継続とリスクの専門家、サプライチェーンの責任者、監査責任者とアソシエイト、企業のCSR報告書の担当者・責任者、規制機関やその他事業継続に関係する、または関心のあるすべての人にとって有用な規格です。

　この規格が初めて発行された2012年版では、効果的な事業継続計画、システム、プロセスの実施と維持に関する内容が規定されていましたが、2019年10月にISO/TC 292(Security and resilience)の下、最新の考え方とベストプラクティスを取り入れて改訂されました。

２．2019年版の特長

　2019年版では、「組織が事業継続を行う中で何らかの混乱が発生した場合に、その発生から組織を保護し、混乱発生の可能性を低減し、準備し、対応し、復旧するための管理策を実装し、維持し、改善するための要求事項を規定するもの」と説明されています。
　事業継続業界における継続的な変化を反映し、ISO 22301ユーザーに対して多くの価値をもたらすため、また文章も改善し、より明確さと一貫性を確保するための改訂がされました。

　 ≪主な変更内容は以下の通りです≫
◎規格の構造を見直し、何が求められているのかをより明確にし、より読みやすく実施しやすくした。
◎重複を取り除き、事業継続業界における今日の考え方をよりよく反映するために、言語と用語を簡素化した。
◎ISOマネジメントシステム共通構造である、ISO/IEC指針の附属書SLに規格構造をあわせて、他のISOマネジメントシステム規格との整合性を保った。
　前述した通り、ISOのセキュリティとレジリエンスに関する技術委員会（ISO/TC292）の下、2019年に改訂されましたが、ISO 22301:2019は情報主導型のアプローチが中心となっており、日々粒度の高いデータが増えていることで、事業継続の混乱要因と影響の両方においてより明確な理解に繋がるとされています。

３．ISO 22301を運用することのメリット

➣組織の事業継続に対する問題が発生した場合に生じるコストを削減し、業績への影響を少なくすることが期待される。
➣複数の拠点や部門を持つ企業は、組織全体で同じ一貫したアプローチを取ることができる。
➣顧客、サプライヤー、規制機関、その他の利害関係者に対して、事業継続のための適切なシステムとプロセスが整っていることを明示することで、安心して取引をしてもらうことができる。
➣ビジネスパフォーマンスと組織の回復力(レジリエンス)の向上。
➣重大な課題や脆弱性の領域を分析し、事業への理解を深めることができる。
　その他、組織がどのように運営されているかを明確かつ詳細に示し、戦略的計画、リスク管理、サプライチェーン管理、事業変革、リソース管理に資する貴重な洞察を提供します。

４．ISO 22301の認証取得の前に

　ISO 22301の認証を取得しようと考えられている組織の方は、以下の内容にご留意ください。
　➢経営者の賛同を得てください。BCMS(ISO 22301)は、意思決定の立場にある方(経営者)が真の支援を提供して高い優先度の案件として扱わなければ、効果を発揮することはできません。
　➢準備状態の評価を行い、規格の要求事項に関して自社がどの位置にいるのか、また、それらを満たすためにどの程度のリソースが必要になるのかを確立してください。
　➢事業回復のための演習を実施し、事業のいずれかの領域に障害が発生した場合に、現在何をすべきかを慎重に検討してください。
　これらの点にご留意いただければ、自社がどの程度の対応能力があるのか、また、ISO22301がどのように役立つのかを明確にすることができます。

５．今から間に合うBCMS(ISO 22301)

　現代社会は、大災害、感染症の流行や大規模デモなど予期せぬ事態に見舞われる可能性が多分にあります。
　そういった事態による経済的な影響が長期に及ぶことは想像に難くなく、昨今の新型コロナウイルスのようなアウトブレイクが定期的に発生する可能性すら示唆されている今、私たちは何を学び、将来に備えるためにどのようなステップを踏むことができるのかを問う必要があります。
　経営者らは、このような時代を乗り切るために、自分自身や周囲の人々などの既存のリソースを頼りにされることでしょう。
　しかし、このような未曾有の規模と未知数の危機を乗り切るには、それ以上のものが必要となるでしょう。

　経済の安定と成長を取り戻すためには、長引くパンデミックの脅威に影を落とした脆弱な経済を考慮した体系的な計画が必要です。BCMS(ISO22301)は、その空白を埋めるための適切な方法です。
　BCMS(ISO 22301)が予防策を特定することを考えると、経営者は「今から始めるには遅すぎるのではないか」と疑問に思われるかもしれません。
　多くの組織は、事業継続に関する対応よりも緊急性の高い優先課題を抱えていることと思います。
　しかし、昨今の新型コロナウイルス感染拡大による影響を受けつつこの状況を乗り切ることができたして、同じような事態が次に発生したときにその影響を受け止めて乗り切る余裕はありますか。
　もし貴社がBCMS(ISO 22301)を導入したことがない、あるいは検討したことがないならば、今がそれを行うための適切な時期かもしれません。

【日本規格協会の商品・サービス情報】