注目はBCMS規格
規格開発は WG1 ∼ WG5 に分かれて作業が進められている。その中で、民間組織を中心に特に動向が注 目されているのが WG4 が担当する事業継続マネジメントシステム規格 ISO22301 だ。

■WG1の活動


WG 1が受け持つのは、社会セキ ュリティマネジメントのフレームワ ーク文章の開発。つまり、全体の方 向性を決める役割も持つ。ちなみに、 WG 1のリーダーは日本で、議長を 名古屋工業大学大学院の渡辺研司教 授が努めている。同グループでは、 ISO22397 という官民連携のための指 針と、ISO22398 という演習・テスト 演習・テストの指針の2つの規格を開 発している。  

官民連携については、日本でも、災 害に備えて行政と民間企業が災害時応 援協定などを結んでいるが、これは契 約ではないため、必ずしも実効性を伴 うものではない。ISO22397 は、官民 連携において確実な実効性を持たせる ために配慮すべき点などを指針として まとめている。  

演習・テスト演習・テストの規格で ある ISO22398 については、 民間組織 ・ 公的組織とわず、日常的な演習・訓練 について、その具体的な方法を示して いる。例えば、目的の設定や参加者も 含めた運用の仕方、チェックのポイン ト、その他、ステークホルダーの洗い 出しなどについてまとめている。ISOが誕生するまでにはいくつかのステッ プを踏む必要があるが(図1) 、現在、ISO22398 については国際規格原案(DIS)という 段階まで来ている。

■WG 2の活動
 WG 2は、社会セキュリティに関する用語規格集 を開発している。複数の組織が連携していく上で は、言葉や、その言葉の持つ意味についても、それ ぞれの組織が共通認識のもとで運用する必要がある ためだ。こちらは、 すでに最終国際規格原案 (FDIS) という ISO 発行の直前の段階まできている。

■WG 3の活動
WG 3では、危機対応に関する規格の開発を担当 している。日本からは京都大学防災研究所の林春男 教授らが参加している。事業継続マネジメントと 混乱するかもしれないが、WG 3は公的部門の担当 者が多く参加しており、どちらかというと自治体 など公的機関に関係する規格が多い。例えば緊急 事態における集団避難のあり方を示した ISO22315 や、警報の標準規格 ISO22322、色コードの標準規 格 ISO22324 は、いずれも住民の安全に直結する。  

こ の う ち、ISO22322( 危 機 管 理 − 警 報 ) と ISO22324(色コードによる警報)は、いずれも日 本が提案した規格だ。ISO22322 は、効果的な警報 を実現するためのガイドラインとして、アラートの 種類や、その意味が地域住民らにしっかりと理解さ れるような事前教育のあり方、日常的な運用体制、 さらにはどのような組織がどのようなタイミングで アラートを出せばいいか、などについてまとめてい る。 色コードの ISO22324 は、国によって、あるいは 同じ国内でも災害の種別によって、災害等の危険性 を示す色の使い方が統一されていないことから、す べての危機に共通するような色の使い方 (何段階で、 それぞれ何色にするかなど)をとりまとめている。 例えば、日本でも地震ハザードマップでは赤が最も 危険性が高いのに対し、洪水のハザードマップでは 青が最も危険性が高いなど、色の使い方は現状で統 一されていない。

このほか、情報共有のためのデータ要素及びコー ドに関する規格(ISO22351 および 22352)の作業 原案が作成されているほか、緊急事態対応能力評価 に関する規格開発も提案されている。

危機対応の規格 ISO22320


もう1つ、WG 3が開発を進めてきた規格で、 昨年 11 月に正式に国際規格として発行されたのが ISO22320(危機管理−危機対応に関する要求事項) だ。  

ISO22320 は、事件や事故、事業の停止、中断、 災害など、 あらゆる危機に対して、 危機対応組織が、 対応能力を高めることを可能とするために開発され た。規格の冒頭文書には「効果的な危機対応を実現 するために守るべき必要最低限の要求事項」 とある。 京都大学の林教授によると、この規格は民間でも、 公的でも、どちらでも使うことができ、事業継続マ ネジメントなどと併せて活用すれば、一層の効果が 期待できるとする。  

規格に盛り込まれているのは、指揮・調整、情報 処理、そして協力 連携の大きく3点。国際レベル、 ・ 国家レベル、地域レベル、または地元レベルで起き る危機事案に関わる組織まで、幅広く適用できるとしている。  

指揮・調整では、指揮調整システムを構築してい く上でのポイントとして、関連する法令や規制に従 うことや、誰が誰を指揮するのか、何をしなくては いけないのかといった人的要因について考慮するこ となど基本的な考え方を示し、具体的な指揮・調整 の体制、プロセスについてまでを細かく記述してい る。例えば体制については、戦術レベル、作戦レベ ル、戦略レベル、規範レベルと、さまざまな階層で 構成されていなければならないとし、プロセスにつ いても、①観察、②情報の収集、処理、共有、③予測を含めた状況の把握、④計画の策定、⑤意思決定 ならびに決定事項の伝達、⑥決定事項の実施、⑦調 査結果のフィードバックの収集、ならびにその修正 ――、といった継続的なものでなくてはならないと 規定している(図2) 。  

情報処理については、計画の策定と指示→情報収 集→情報処理と操作→分析と作成→配信・統合→評 価・フィードバックという活動のプロセス全体につ いて、それぞれの留意点などを解説。最後の協力と 連携では、関連する関係者や関係機関との連携の必 要性について言及するとともに、可能な限り良好な 連携を実現するために複数の階層構造を持つ指揮・調整プロセスを構築しなくてはならないとし、その ために実施しなくてはいけない具体事項などを説明 している。

この ISO22320 と、後述する事業継続マネジメン トシステム規格の ISO22301 は、ほかの多くの規格 がガイドラインであるのに対して、組織が導入する 際に、 「○○をしなくてはいけない」という実施すべき事項を列挙した『要求事項』を示した規格となっている。

■WG 4の活動
組織の事業継続力を高める規格開発にあたってい るのが WG 4だ。開発中の事業継続マネジメント システム規格 ISO22301 は、すでに最終国際規格原 案(FDIS)が作成される最終段階にあり(2012 年 1 月 10 日現在) 、今年7月∼8月には正式に ISO 規 格として発行される見通し。   実 は、TC223 で は、2007 年 11 月 に ISO / PAS22399(緊急事態準備と業務継続マネジメント ガイドライン)という ISO の原案となる公開仕様 書をまとめている。WG 4に日本代表として参加し ている東京海上日動リスクコンサルティングの岡 部氏によると、当初は、これを事業継続ガイドラ イン規格にする意見が強かった が、イギリスなどの強い要望により、ガイドラインより、具体的に 何をすべきかを規定した要求事項規格を先に開発すべきという流れになり、結果、ISO22301 が先に開発されることになった。今後は ISO22301 の解説版となるガ イドライン規格 ISO22313(現在 は DIS)が発行され、その時点でISO/PAS22399 は 姿 を 消 す こ と になる。

地震対策だけでは不十分
ISO22301 は、いわゆる事業継続計画を策定するためのビジネインパクト分析やリスク分析といった策定のための 作業プロセスに加え、それを組織にマネジメントシ ステムとして定着させるための取り組みを PDCA サイクルで細かく示している。 具体的な内容は、本誌の昨年3月号から9月号 まで全4回にわたって、ニュートン・コンサルティング株式会社の勝俣良介氏に寄稿いただいた「事業 継続マネジメントの国際規格案を読み解く」を参考 にしてほしい。 東京海上日動リスクコンサルティングの岡部 氏 が、ISO22301 と 英 国 の BS25999-2、 米 国 の NFPA1600、そして内閣府の事業継続ガイドライン との内容の比較をまとめたのが次ページの図表だ。  

岡部氏によると、内閣府の事業継続ガイドライン との大きな違いの1つはリスクアセスメントだとい う。内閣府ガイドラインでは、BCM をわかりやす く導入できるように、対象の災害リスクを最初は地 震に特定することを推奨しているが、ISO や英国・ 米国の規格では、あらゆるリスクを対象にリスクアセスメントを行うことを求めている。 ISO/DIS22301 のリスクアセスメントの項目に は、 「組織にとって中断事象のリスクを系統的に特 定し、分析し、評価する正式かつ文書化されたリス クアセスメントを策定し、導入し、維持しなければ ならない。このプロセスは ISO31000 に従って策定 をしなければならない」とある。  

ISO31000 はリスクマネジメントの標準規格で、このうち、リスクアセスメントについては「リスク の特定」 「リスク分析」 「リスク評価」などのステッ プを踏むことを求めている。地震やパンデミックだ けを想定した BCP では、リスクアセスメントを適 切に行っていることにはならないので注意が必要 だ。岡部氏は「リスクアセスメントで何を優先づけ るかというプロセスは、まさに経営判断。それを地 震のための対策と勘違いすることは大きな落とし 穴」と強調する。  このほか、訓練や点検についても、実施すべき項 目が手厚く列挙されているが、要求事項だけを示し た文章であるため、ガイドラインなどを参照にしないと理解しにくいという印象は受ける。

組織のレジリエンス規格 ISO22323
もう1つ、岡部氏によると、現在 WG 4では、 ISO22301 と、そのガイドラインである ISO22313 に加え、組織の「レジリエンス」マネジメントシス テム規格 ISO22323 についても開発すべきとの提案 が出ているという。レジリエンスというのは、事故 や災害からの回復力を表す言葉として用いられる。 形状記憶合金を曲げた際、熱を与えるとゆっくりと 元の形にもどっていくようなイメージだ。 ISO22323 は、事故や災害などアクシデンタルな リスクだけではなく、セキュリティや不祥事などの 日常的なリスクまで含めて、もっと幅広く組織全体 のレジリエンスを高めるための規格だという。ただ し、岡部氏によると、この規格は現段階で、22301 や 22313 との違いが明確になっておらず、規格とし て発行されるかは微妙とする。

■WG5 の活動内容
最後の WG 5が取り組んでいるのが、ビデオサ ーベイランス(監視映像)フォーマットの相互運用 に関する規格開発だ。現在、ISO22311(データの エクスポートの相互運用)が国際規格原案の投票に かけられている。WG 1∼ WG 4に比べると、特 定の分野にスポットを当てている意味で、若干の違 和感もあるが、監視カメラがどの程度の画像でどの 範囲までを撮影するのか、どのようなフォーマット でデータ保存するのかなどは、国際的に標準規格と して決めておかないと、社会セキュリティ的に問題 があるとの意見から、フランスが中心となり開発す ることになった。  このほか、WG1 ∼ WG 5までの枠組み以外に、 人道援助と災害復旧の分野について、国際機関と協 調し国際的な既存文章に基づいた新たな標準化を行 うことが英国から提案され、今後、標準化が適切か どうかを含めて、諮問グループで検討することにな っているという。