ISO22301BCMS規格がスタート（レジリエンス・ビュー）

LRQAジャパン武田吏司

2012年5月15日に、ISO22301 Societal security—Business continuity management systems—Requirements（社会セキュリティー－事業継続マネジメントシステム－要求事項）が発行された。この規格はMSS（マネジメントシステム規格）の整合化をはかるGuide83で要求している章構成にのっとって発行されているので、今後発行される予定のISO9001、ISO14001などの規格との整合性も取りやすくなる。日本語版も追って発行される予定である。今まで認証登録の対象となっていたBS25999-2について、すでに取得している組織は、ISO22301への差分審査によりISO22301へ適合できる。これから新規にBCMSの認証を取得しようとする組織は、ISO22301の規格に基づき審査されることになる。適合性の認定はJIPDECが行い、認定開始時期は8月が予定されている。

参考までに、現在、発行されているISO22301（英語）とISO/FDIS22301（対訳）からISO22301（英語）を日本語にしたものを表１に記述する。
（ISO22301日本語版発行後はそちらを正とする。）

表中の黄色の網掛け部分がGuide83の章構成と同じになっており、主に8章がBCMS特有の章になる。今後発行されるISO9001や14001についても同様になると考えられる。

この規格のおおまかな流れは次の通りである。

4章 組織の状況
BCMSの適用範囲として“製品”や“サービス”などを特定する。そのためには、組織を取り巻く状況の把握、利害関係者のニーズや法令、規制要求事項などをふまえる必要がある
↓
5章  リーダーシップ
トップマネジメントがリーダーシップを取り、BCMSの方針や組織の役割、責任と権限を割り当て、組織内に周知させる。（BCMSを実施する部隊をトップマネジメントがつくる必要がある）
↓
6章 計画
事業継続目的を達成するための計画を作る。そのために、達成を疎外する可能性のある、対応する必要のあるリスク及び機会を決定し、処置が必要な場合は、8章のBCMSプロセスに統合する。計画を達成するために、BCMSを実施するうえでの、責任者、実施事項、必要な資源、完了期限、結果の評価方法を決定する。トップマネジメントは、必要な要件を考慮した事業継続目的を周知させ、文書化した情報を保持させる。
↓
7章 支援
どんな資源が組織に必要なのか明確にし、BCMSの目的を達成するために必要な措置を取る。人的資源に必要とされる力量を定め、その力量を身に付けさせ、有効性を評価し情報に残す。関係者は、事業継続方針やBCMSの達成への自らの役割を認識する。内部、外部コミュニケーションで伝えるべき内容、時期、相手を明確にする。各種、必要に応じて作成された文書化した情報に関して要求事項を管理する。
↓
8章 運用
8.1運用の計画及び管理リスクへの対応や、要求事項を満たすために必要なプロセスを計画し、導入し、管理することが求められる。プロセスが計画したとおりに実行されたかどうかの情報（記録）が要求される。ここで必要なプロセスとは、例えば、安否確認を把握するプロセスや、情報収集プロセスなどが含まれる。

8.2事業影響度分析及びリスクアセスメント特定された“製品”や“サービス”に対して、事業影響度分析、リスクアセスメントを実施する。事業影響度分析（BIA）には、必要な項目が含まれているか、文書化した正式な評価するプロセスあるかが求められる。リスクアセスメントは、ISO31000を使用することができる。

8.3事業継続戦略以上のプロセスをふまえて、事業継続戦略を決定する。そこには、守るべき優先順位づけされた活動、それらの相互関係、支援する資源をふまえ、影響を軽減し、対応し、対処することが要求される。

8.4事業継続手順の確立及び導入事業継続手順を確立及び導入するにあたり、インシデントへの対応体制を確立し、組織の内部、外部とのコミュニケーション手順を確立し、事業継続計画（BCP）を作成し、復旧計画についても文書化した手順を確立し、導入する必要がある。

8.5演習及び試験の実施組織は事業継続手順が、事業継続目的に合致しているかどうか確認するために、組織はあらかじめ定めた間隔で、手順を演習し、試験をしなければならない。
↓
9章 パフォーマンス評価
BCMSのパフォーマンスと有効性を評価する評価するために、何を、いつ、どのように監視、測定、分析すると、評価できるかを考え、事業継続手順を評価する。パフォーマンスを評価するためには、内部監査、マネジメントレビューを実施する。
↓
10章 改善
不適合があれば、是正処置を実施する。そして継続的に改善しなければならない。

以下は筆者の私見である。

国内では、BCMSについて認証取得のための規格化への方向には反対意見が数多くあった。最終的にはRequirement（要求事項）の国際規格となったため、認証を取得する規格となったが、国内における自社の認証取得という点ではそれほどの波及力はないと見ている。

しかし、この規格が国内で影響力がないというわけではない。まず考えられるのは、サプライチェーンに対するBCMの要求がこの規格の認証を取得することにより担保されるという点がある。グローバル調達する日本企業にとって、二者監査は、監査する側のコスト面での負担が大きいという問題がある。調達先がこの認証を取得することによって、発注者の二者監査の負担を軽減することが可能となる。発注者は、調達先のBCMS取得状況を判断材料の一つとすればいいためである。
次に、調達先の企業にとっては、複数のサプライヤーから監査を受けていた場合などにそれらの労力面での負担軽減につなげることができるというメリットがある。調達先では、国、地域、国民性、文化などさまざまな要件を踏まえてリスク選考を実施することになるため、より実態に即したリスクアセスメントとなることが期待できる。これらの点を考慮すると、本規格はグローバル展開する国内企業のBCM戦略にとってむしろ不可欠といえるのではないかと考える。

【執筆者プロフィール】
武田吏司LRQAジャパンマーケットアンドトレーニング部主任講師、QMS審査員ゼネコン、コンサルタント会社で主にRC構造物の地震応答解析業務を担当、後に防災コンサルタント業務に従事。自治体の防災マニュアル策定からBCPコンサルティングを手がける。BCMSのISO化に伴いQMSの審査員となり、現在はISO審査登録機関でのQMS審査員業務と研修の講師を勤める。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝