DO(運用)の理解がカギ

いよいよ発行が目前に迫った事業継続マネジメントシステムの国際規格ISO22301。ニュートン・コンサルティング株式会社(東京都千代田区)の内海良氏に、最終案となるISO/FIDS22301の全体像と中身について解説いただいた。

■正式発行が目前に迫ったISO22301 
かねてよりその動向が注目されていた事業継続マネジメントシステム(以降“BCMS”)の国際標準(ISO)化ですが、最終案が2月1日に英国規格協会より発表されました。この最終案はファイナルドラフト(FDIS: Final Draft International Standard)と呼ばれる位置づけのもので、ISO22301が正式発行される一歩手前の段階に当たります。2月1日からの約2カ月間の投票を経て、正式発行となります。このまま順調にいけば遅くとも数カ月後には正式発行される見込みです。 

なお、投票期間中はパブリックコメント(公の意見・情報・改善案など)を受け付けておりますが、この投票はあくまでも賛成か反対かを問うものであり、万が一技術的な修正事項が発見された場合でもISOには反映されません。次期改訂版での考慮事項として取り扱われます。すなわち、FDISは正式なISO規格とほぼ等しい内容であるということができます。

■ISO22301は各国のBCMS 
規格・ガイドラインの統合版
ISOマネジメントシステムは国際規格であり、これまでに様々な規格が発行され世界中で利用されてきました。こうした規格に基づいて認証を取得し、これをホームページや名刺などでアピールする組織も今では珍しくありません。ISOマネジメントシステムの代表的なものとしては、たとえばISO9001(品質マネジメントシステム)、ISO14001(環境マネジメントシステム)、ISO27001(情報セキュリティマネジメントシステム)などがあります。ISO22301はこれらの規格同様、第三者認証に使われることを前提としたISOマネジメントシステム規格です。 

実は、これまで事業継続に関する認証制度はなかったのかというとそんなことはありません。 

日本では一般財団法人日本情報経済社会推進協会(JIPDEC)運営の下、BS25999-2(事業継続マネジメント−仕様)を認証基準として利用するBCMS認証制度が2010年より正式に開始されています。BS25999-2は、英国規格協会(BSI)が発行したイギリスの国家規格ではありますが、第三者認証に利用できる規格としていち早く世に出され、国際的な実績をより多く勝ち取っていたことから採用されました。これまでに国内でこの認証を取得した組織は約30社を数えます。 

なお、これまで数多くのBS規格(イギリスの国家規格)が、ISO規格のベースとして採用されてきました。前述したIS27001はBS7799という規格が基になっております。今回のISO/FDIS22301でも例外ではなく、先に述べたBS25999-2がベースとなっています。

■ISO22301の活用方法 
ISOマネジメントシステムは「要求事項」と「ガイドライン」(実践規範)がセットになっていることが少なくありません。規格要求事項のISO22301についても、そのガイドライン(実践規範)ISO22313が現在併せて整備されています。では、この規格要求事項とガイドライン(実践規範)は何が違うのでしょうか? 

要求事項とは「規格に準拠しマネジメントシステムを有効に運用していること」をうたうために必ず従わなければならないルールのことです。したがってISO22301では、規格中に記載されている要求事項すべてを満たしてはじめて「我が社はISO22301規格に準拠しており、BCMSを有効に運用しています」と主張することができるようになります。 

なお「規格の要求事項を満たしています」という主張に対し、第三者のお墨付き(正式な審査に基づき証書を発行して)をもらうことを第三者認証と言います。もちろん、第三者にお墨付きをもらわずとも「準拠しています」と主張することは可能ですが、その場合は上記と区別して“自己適合宣言”と呼ぶことが一般的です。 

ちなみに“要求事項”とは異なり、ガイドラインは“参考書”のようなものであり、記載される内容が当てはまる組織と当てはまらない組織が多数存在するため、組織が準拠することを期待して作られたものではありません。

■ISOマネジメントシステム共通化の先駆けとなるISO22301 
それでは具体的にISO/FDIS22301の構成を見ていきましょう。 

図1の目次構成だけをご覧になられてこれがBCMS規格だとわかるでしょうか? 



わからないはずです。実は、国際標準化機構(ISO)は規格間の整合性向上を狙いとして各ISOマネジメントシステムに共通する文書構成や要求事項について統一化を進めており、こうした活動はISO22301にも反映されているのです。これから発行されるISOマネジメントシステム(その代表格がISO22301)はもちろん、これまで発行されたISOマネジメントシステム(ISO9001やISO14001など)についても、今後、それぞれの改訂のタイミングで共通の目次構成や要求事項が採用されることになります(ただし、例外は認められています)。 

これらはBCMS固有の話ではありませんが、今後のISOマネジメントシステム関する動向の把握、そしてISO22301の理解を深めるうえで知っておいて損はないでしょう。

このISOマネジメントシステムのフォーマットや共通する要求事項のあり方について定めた規格としてガイド83と呼ばれるものがあります。この規格は改訂中であり正式発行がされていませんが、ISO22301はその動きをいち早く取り入れたというわけです。

■ISO/FDIS22301を読み解く 
前置きが長くなりましたが、それでは具体的にISO/FDIS22301を見ていきましょう。BCMSの本質を理解するためには、マネジメントシステム規格の根本であるPDCAサイクルを念頭におきながら読み進めてみると解りやすくなります。  

規格内に示される図をもとに、目次の各章をPDCAそれぞれにあてはめてみたのが、図2です。 

4章は一般要求事項で、5章のリーダーシップでは、主として「事業継続方針」に関わる要求事項について述べられています。6章では、文字通り「計画」が、そして7章「サポート」では「マネジメントシステムの運用を支える仕組み(文書・記録管理や経営資源管理等)について規定されていることから、ここまでがPlan……言わば、事業継続の能力を高める活動に入るための準備段階になります。8章「運用」はDo、9章は、モニタリングやその結果についての評価方法を示すCheckにあたり、これに基づいて維持・改善活動を行うActは、10章「改善」がこれに該当します。 

Plan(6章∼7章)、Check(9章)、Act(10章)は、マネジメントシステムの種類が変わったとしても、求められる内容はほとんど一緒です。一方で、Do(8章)は、各マネジメントシステムを構築する上で、最も重要なカギとなる部分と言えます。この8章を理解することがISO/FDIS22301を理解する近道と言えます。

■BCM構築のカギとなる8章とは 
それでは8章の構成を見ていきましょう(図3)。 

Doにあたる8章では、組織が有効なBCP(事業継続計画)を経営方針に沿った形で継続的に策定・導入・維持・管理していくための活動について定めています。 


具体的には、BCPを運用するための計画の作成と分析作業に基づく戦略の決定(8.1,8.2,8.3)、分析結果と戦略に基づくBCP文書化の実施(8.4)エクササイズやテス、トで実効性を検証し、検証結果に基づく必要な改善活動(8.5)とな、ります。この8章

の部分をBCMSとPDCAサイクルの図に当てはめたのが図4です。 

この8章の中でもPDCAサイクルが成立していることがわかります。いわばミニPDCAサイクルとも言えるこの運用レベルのPDCAに対する要求事項を定めているのが、8章「運用」となるわけです。

■他の規格・ガイドラインとの比較にみるISO/FDIS22301 
8章に記述された要求事項を実施することでBCP(事業継続計画)の策定、導入、維持、運用が可能となることがわかりましたが、それではISO22301の特徴についてみていきましょう。 

まず従来の規格(BS25999-2など)やガイドラインに比べて、クライシスコミュニケーションに関する要求事項が多く記述されていることが挙げられます。クライシスコミュニケーションとは、危機発生時に自社を取りまくステークホルダー(顧客、株主、サプライヤー、行政機関など)との正確な情報共有を行う活動のことです。有事の際の情報収集、情報発信の重要性を考えれば、ISO22301でクライシスコミュニケーションが重要視されていることは当然といえるでしょう。 

分析作業の肝となる事業インパクト分析(BIA)ではBS25999-2と比較して、より平易で簡潔な表現がされていますが、本質的には違いはありません。

リスクアセスメントについては、日本のガイドラインは日本の地理的条件を考慮し、ほとんど全てが地震に対するBCPの策定を前提として書かれたものです。ISO/FDIS22301は日本のみならず、全世界・全組織に適用できることを前提として作られているものであることから、国内のガイドラインに見られるような“地震ありき”の構築を求めてはいません。むしろ、日本であったとしても立地や事業形態などを考慮し、まずは幅広い視点からリスクアセスメントを行うことが求められていると言えるでしょう。 

事業継続に必要な経営資源に関してもBS25999-2との違いを見て取ることができます。BS25999-2では「経営資源」と一括りで呼んでいたものを、ISO22301では「人員」「情報やデータ」「建物」「消耗品」、さらには「交通機関」「資金」「パーナトーおよびサプライヤー」「ICTシステム」といった、経営資源の中身について具体的に言及されています(図5)。 

これまで相違点にフォーカスしてみてきましたが、それでもBS25999-2に記載されていた、事業継続方針、事業インパクト分析、リスクアセスメント、事業継続戦略、事業継続計画、インシデント対応などの事業継続の考え方に関する中心的要素は、ISO/FDIS22301の中にも存在します。繰り返しになりますが、BS25999-2とISO22301では細かい差異はあるものの、実質的な観点ではそれほど大きな違いはないでしょう。 

また、内閣府や中小企業庁の事業継続ガイドラインについてもほぼ同じことが言えると思います。

■まとめ 
BCMSの認証を考えている組織は、特段の理由が無ければ、正式発行を待たず、現行の認証制度(BS25999-2に基づくBCMS適合性評価制度)での認証を受けることも正しい選択肢の1つでしょう。後日ISO22301取得の意思決定をしても、差分審査を実施する形でも良いわけですから。 

すでに他のガイドラインなどでBCMを構築した組織も、ISO/FDIS22301の導入に際しゼロから構築する必要はありません。それはISO22301自体がBS25999や内閣府の事業継続ガイドラインなど様々な規格・ガイドラインを包含したマネジメントシステムであることからも言えますし、そもそも事業継続能力を高めるための本質は「有事の際にいかに効率的に動けるか」であり、規格は違えど本質は変わらないからです。 

汎用性が高く、他の規格との整合性も図られたISO22301は、今後、BCMS構築を考える組織が参考にすべきものとして第一候補にあげられる存在となるのではないでしょうか。