SPNの眼

ISO規格の標準化の動きと企業実務(2013.3)

2013.03.06
印刷

 先月まで、事業継続マネジメントシステムの構築に関して、リスクフォーカスレポートにて6回に渡り考察をしてきた。しかし、その中で、2012年5月に発効された、事業継続マネジメントに関するISO22301(SocietalSecurity-Businesscontinuitymanagementsystem-requirements:社会セキュリティ-事業継続マネジメントシステム-要求事項)については、ほとんど取り上げなかったところ、一部読者から、このISO22301が分かりにくいので、解説してもらいたいとのご要望をいただいた。

 詳細な解説は、外部機関やISO認証審査等を行なう他社のセミナー等でご確認をお願いしたいが、今回のISO22301には、今後のISO規格全般に関する重要な要素が盛り込まれており、それが却って企業実務の混迷を招いている部分もある。現在、情報セキュリティに関するISO27001や環境マネジメントに関するISO9001、品質に関するISO14001等の改訂が議論されているが、今回ISO22301で起きているような混乱は、今後、ISO27001、ISO9001、ISO14001の改訂後にも直面する可能性が少なくない。そこで今回のSPNの眼では、今後のISOの各規格に原則として、共通して取り入れられることになっているガイドラインの考え方などを紹介しながら、ISOに関わる企業実務への影響について考えてみたい。

 ISOを巡っては、様々な規格が作られる中で、各規格には多くの共通要素があるにもかかわらず、体系や言葉の使い方の不統一が以前より指摘されてきていた。特に同じ要求事項が規格によって表現が異なり、組織として、システムを合理化し統合的に運用していくことが難しいとの不満が非常に強かった。このようなISO規格そのものへの不満を背景に、ISOの規格開発者向けのガイドラインの必要性が認識され、2011年に規格開発者向けのガイドラインである「ISOGuide83」が開発・関係者にレビューされた。

 そして、昨年、この「ISOGuide83」が国際規格開発のルールであるISO/IECDirectives(専用業務用指針)の中に取り入れられることが、決まった。ISO/IECDirectives(専用業務用指針)の中に取り入れられたことにより、今後新たに制定・改訂される全てのマネジメントシステム規格に適用されることになった。そして、事業継続マネジメントに関するISO22301は、この決定がなされた後に発効された規格であることから、規格の体系・構造において、「ISOGuide83」の考え方が取り入れられているのである。

 先に、「今回ISO22301で起きているような混乱は、今後、ISO27001、ISO9001、ISO14001の改訂後にも直面する可能性が少なくない」と指摘したのは、正に、「ISOGuide83」が国際規格開発のルールであるISO/IECDirectives(専用業務用指針)の中に取り入れられたことによるものである。

 ところで、「ISOGuide83」とは何か。これは、「ISOGuide83Highlevelstructure,identicalcoretextandcommontermsandcoredefinitionsforuseinManagementSystemStandards:マネジメントシステム規格における利用のための上位構造、共通の中核となるテキスト並びに共通用語及び中核となる定義」のことである。

 ISOマネジネントシステム規格(MSS)に共通する上位構造(Highlevelstructure)、すなわち、ISOGuide83に従ったMSSの章立て・構成は、

1.適用範囲

2.引用規格

3.用語及び定義

4.組織の状況(Contextoftheorganization)

4.1組織及びその状況の理解

4.2利害関係者のニーズ及び期待の理解

4.3※※※(各マネジメントシステムの分野)マネジメントシステムの適用範囲

4.4※※※(各マネジメントシステムの分野)マネジメントシステム

5.リーダーシップ(Leadership)

5.1リーダーシップ及びコミットメント

5.2方針

5.3組織の役割、責任及び権限

6.計画(Planning)

6.1リスク及び機会への取組み

6.2※※※(各マネジメントシステムの分野)目的及びそれを達成するための計画策定

7.支援(Support)

7.1資源

7.2力量

7.3認識

7.4コミュニケーション

7.5文書化された情報

7.5.1一般

7.5.2作成及び更新

7.5.3文書化された情報の管理

8.運用(Operation)

8.1運用の計画及び管理

9.パフォーマンス評価(PerformanceEvaluation)

9.1監視、測定、分析及び評価

9.2内部監査

9.3マネジメントレビュー

10.改善(Improvement)

10.1不適合及び是正措置

10.2継続的改善

 となる。事業継続マネジメントに関するISO22301の章立ても上記10章で構成されている。なお、各下位の細分項目の順番の変更、記述や項目の追加は可能である。

 実際の規格化に当たっては、各分野で構築するマネジメントシステムは、8.運用の中で細分化され、全体で見ると、上記10章により、PDCAサイクルが形成され、D(Do:実行・運用)の項目の中で、更に各分野のマネジメントシステムの要素(PDCA)が記述されるという2段階の構造となるもの考えられる。

 現に、ISO22301:2012の細項目を見ると、「8.運用」において、

8.1運用の計画及び管理

8.2事業インパクト分析及びリスクアセスメント

8.2.1一般

8.2.2事業影響度分析

8.2.3リスクアセスメント

8.3事業継続戦略

8.3.1決定及び選択

8.3.2資源に関する要求事項の設定

8.3.3保護及び軽減

8.4事業継続手順の確立および導入

8.4.1一般

8.4.2インシデント対応の体制

8.4.3警告及びコミュニケーション

8.4.4事業継続計画

8.4.5復旧

8.5演習及び試験の実施

 という体系になっている。

 なお、上記の体系を全体として見ていただきたいのであるが、全10章のうち、1.2.3.を除く、4~10までで経営一般に関するマネジメントシステムを回し、その中に、8.で各マネジメントシステムの分野を位置づけるという構造をとっていることから、論理的に言えば、リスクアセスメントが2回なされる可能性があることになる。現に、ISO22301:2012では、6.1において計画策定のための組織としてのリスクアセスメントがなされ、8.2において、事業継続マネジメント固有のリスクアセスメントがなされるという2段階の構造になっている。そして、現在改訂作業中のISO27001、ISO9001、ISO14001は、このあたりの体系を6.1に一本化するのか、8.にも別途立てして2段階とするのか、そのあたりの体系や構造に注いしておく必要がある。

 経営全体のリスク分析(4.組織の状況や、5.リーダーシップを含め)を行なった上で、更に個別のリスク分析を行なう構造にしたことで、より一層経営者の関与が重要になる上、経営者と各規格認証取得プロジェクトメンバーとの認識の共通化が不可欠になる以上、マネジメントシステム規格が狙いとするPDCAサイクルを利用した組織力の強化という制度目的の達成に資する体系といえるが、一方で、プロジェクトメンバーとしては、経営者はもちろん、全社との調整や認識共通化の下準備が今まで以上に必要となることは想像に難くない。特に、事業継続マネジメントは、いざという時に事業を絞り込む必要性が生じる点で他の認証規格との違いがあるため、こと経営者や全社的な調整・認識の共通化の作業は、難航が予想されることになるであろう。実務上は、期間的にも作業的も余裕を持って、十分な時間を掛けて行なうことが重要となる。

 なお、ISOGuide83の標準仕様化によるISOマネジネントシステム規格(MSS)に共通する要素に関しては、「4.組織の状況の理解(組織の内部・外部環境の把握)」が共通要素化されている点、及びISO31000:2009(リスクマネジネント)に規定するリスク概念が取り入れられるなど、以前に比べて更にリスクマネジメントを深化させた印象がある。

 特に、「4.組織の状況の理解(組織の内部・外部環境の把握)」については、ISO31000:2009(リスクマネジネント)において、「5.プロセス5.3組織の状況の確定」と同趣旨の規定がおかれていることからも、リスクマネジメント(規格)重視の傾向が強まったものと考えられる。

 既にリスクフォーカスレポートにおいて、従来の事業継続マネジメントシステム(BCMS)は事業継続リスクマネジメントといえることから、想定外も含めた対応(クライシスマネジメントの要素)を強化すべきと提言した。

 しかし、残念ながら、ISO22301に関しては、一層リスクマネジメント要素が重視され、後は経営管理という大きな枠組みでのPDCAサイクルを上位概念とすることを逆に原則形態としたため、平時の状況におけるリスクマネジメント、経営者のリーダーシップがより強調された感が否めない。特に日本のような災害大国、大規模広域災害を前提とせざるを得ない社会環境においては、このような平時を前提としたリスクマネジメントだけでは対応(事業継続)に限界があることは明白であり、その意味で、実効性確保の理念がより後退しかねない懸念がある。

 ISOの特性上、世界各国の事情や種々の利害を調整しつつ、国際規格化に大きな影響力を有する英国の意向(政治的事情)等が反映されるため、日本の状況に適合しない面があることも止むを得ないが、今後、国内での事業継続にかかる基準やガイドラインを策定する際には、ISOに徒に拘泥することなく、危機対応の本質や事業継続マネジメントに求められる本来的な要請を十分に踏まえた議論や検証・標準化がなされることを願う次第である。災害大国日本として、また阪神淡路大震災や東日本大震災の教訓を今後に生かすためにも、そして被災された方々の思いと今後の被災をより少なくするためにも、日本人の英知を結集して、「メイド・イン・ジャパン」の事業継続マネジメントシステムのモデルが広く普及することを期待して、今回のSPNの眼を締めくくりたいと思う。

(参考文献)

・ISO22301Societalsecurity-Businesscontinuitymanagementsystems-Requirements

社会セキュリティ-事業継続マネジメントシステム-要求事項(英和対訳版)(日本規格協会、2012年)

Back to Top