BCP を「ISO 規格と同じように作らなければいけない」という誤解がいまだにある
既にご承知の方もおられると思いますが、事業継続マネジメント(BCM)に関しては「ISO 22301」という国際規格があります(日本では実際には、これを和訳して作られた JIS Q 22301 という日本産業規格が使われていますが、本稿では便宜上、両者をあわせて「ISO 22301」と表記させていただきます)。
そして、この規格に適合する形で BCM に取り組まれていることを外部の審査員が確認できれば、認証を受けられるという「事業継続マネジメントシステム適合性評価制度」(注 1)があり、日本では本稿執筆時点で 94 の組織が、ISO 22301 に適合しているということで認証を受けています。
この制度においては、一定の基準に基づいて認定・登録された審査員が、ISO 22301 に書かれている要求事項に照らし合わせて組織を審査するのですが、ここで規格と審査と事業継続計画(BCP)との関係に関して重大な誤解をされている方がいらっしゃるようです。その誤解とは本稿のタイトルのとおり、「BCP を ISO 規格と同じように作らなければいけない」というようなものです。
結論から申し上げると、これは全くの誤解です。
ISO 22301 が制定されたのが 2012 年で、(うろ覚えですが)日本での制度の運用もこの翌年くらいには始まっていたと思いますので、既に 7〜8 年も運用されているのですが、つい先日、ある企業の方のお話をお伺いした時に、上のような誤解をされていると思われる発言があったのを聞いて、いまだにそのような誤解が残っているのかと驚きました。また同時に、この問題は根が深いな、とも感じました。
そこで本稿では、そのような誤解を解き、少しでも読者の皆様が楽に、かつ有効な BCM を実現できるよう、これがどのような誤解なのか説明を試みます(注 2)。
- - - - -
ISO 22301 に書かれている内容は、組織が効果的な BCM を実現するための「要求事項」です。したがって多くの項目が「〜〜しなければならない」と書かれています。これらの項目は、世界各国から集まった BCM の専門家が議論に議論を重ねて、効果的な BCM を実現するために実施すべきことを列挙し、整理してまとめられたものです。したがって、これらの要求事項を全て満たすように運営されれば、その組織の BCM がより効果的になるはずだ、と考えられています(注 3)。また、全て満たすのが難しいとしても、より多くの要求事項を満たせるようになればなるほど、より効果的な BCM になることが期待できます。
では、「要求事項を満たす」とは具体的にはどういう事なのでしょうか?
実はここに誤解の種があります。
例えば BCP に関する要求事項は、規格の中で次のように書かれています(注 4)。
事業継続計画には、全体として次の事項が含まれていなければならない。
a) インシデント発生時及びその後について権限をもつ者及びチームの明確に定められた役割及び責任
b) 対応策を発動するプロセス
c) (以下略)
あまり長々と引用しても何ですので途中で切り上げましたが、規格本文には BCP に含まれていなければならない内容が、上のような感じで g) まで列挙されています。したがって、作成された BCP のどこかに上の a) から g) に相当する内容が全て書かれていれば、「事業継続計画には、全体として次の事項が含まれていなければならない」という要求事項を満たしたことになります。
具体的にいうと、上の「b) 対応策を発動するプロセス」というのは、災害など何らかのインシデントが発生した場合に、BCP を発動すること(= BCP に書かれていることを実行に移すこと)を誰が決めるのか、それをどのように伝達・周知するのかというようなプロセスが、BCP のどこかに書いてあればいいのです。具体的な書き方は自由ですし、必ずしも「対応策を発動するプロセス」というような項目が BCP に無くても構いません。
ところが、要求事項を満たすには上の a) から g) までの全ての項目が無ければいけないと誤解している方がおられます。そのような誤解がエスカレートすると、BCP の項目構成は規格と同じようになってなければならない等と言い出します。
実際に、私がかつてお手伝いさせていただいた複数の企業で、規格と全く異なる項目構成の BCP で審査を受け、無事に認証取得を果たしました。もちろん審査員は規格に基づいて、要求事項を満たしているかどうか確認していきますが、それぞれの要求事項に相当することが BCP のどこに書かれているかを説明でき、そこに書かれている内容に問題が無ければ大丈夫です。
したがって、もし(まさか無いとは思いますが)必要な内容が実質的に文書化されているにもかかわらず、BCP の項目構成が規格と違うとか、要求事項に該当する項目が無い、などといった理由で不適合を出すような審査員がいたとしたら、その審査員が規格の使い方を知らない可能性が高いので、審査機関にクレームを出して審査員を代えてもらった方がいいと思います。対応してくれなかったら審査機関を変えたほうがいいでしょう。
- - - - -
やや余談になりますが、これに関連する誤解として、「ISO 規格に従うと BCP が画一的になる」とか、「柔軟性を保つためには ISO 規格は使わないほうが良い」という意見も、たまに聞きます。そのように考えておられる方々は、規格の使い方をご存じないか、BCM の実務をご存じないかのどちらかだと思います。
ISO 22301 という規格に書かれている「要求事項」は、表現を変えると「効果的な BCM を実現するためには、少なくともこの辺は押さえておいた方がいいよ」という基準線を示したものです。したがって、まずはこれらを何らかの形で実施した上で、そこから先は各自それぞれ工夫して、事業継続性をより高める取り組みを進めていく、というのがこの規格の本来の使い方です。そして、基準線より下をどのように実施するのか、基準線より上をどのように工夫するかも、それぞれの組織が自由に決めればいいのです。そういうことが理解できれば、規格のせいで柔軟性が阻害されるという考え方はナンセンスだということが、すぐに分かるはずです。
かつて(1990 年代ごろでしょうか?)多くの日本企業が ISO 9001 や 14001 の認証取得に取り組まれた時代に、ISO 規格のおかげで苦労させられた方々が非常に多かったことなどが影響しているのだと思いますが、俗に「ISO アレルギー」とも呼ばれるような、規格嫌いの方々が少なくありません(注 5)。そのような背景もあってか、日本では ISO 22301 に対する印象があまり良くないようで、普及もあまり進んでいません。せっかく先人の知恵や経験が凝縮された規格があるのに、つまらない誤解や印象のせいで普及が進まないというのは、単純にもったいないことです。
認証取得を目指すかどうかは別として、この規格に書いてあることを少しずつでも取り入れていくことが、中小企業を含む日本企業における BCM の底上げに役立つと思いますので、本稿で指摘させていただいたような誤解も解いていきながら、日本における ISO 規格の普及を今後も地道に進めていきたいと思います。
[本稿に関するお問い合わせ]
本稿の内容に関してご不明な点やご意見などありましたら、下記 URL の問い合わせフォームからご連絡いただければ幸いです。
http://office-src.com/contact
【注釈】
1) 一般社団法人情報マネジメントシステム認定センターによって運営されています。制度に関する詳細は同センターの Web サイト( https://isms.jp/bcms.html )をご参照下さい。
2) ISO 22301 で規定されているのは「事業継続マネジメントシステム」(Business Continuity Management System: BCMS)の要求事項であり、BCMS と BCM とは厳密には異なるのですが、本稿の趣旨や内容を理解していただく上ではこれらの違いを区別する必要はありませんので、本稿では「BCM」で通させていただきます。
3) もちろん、全ての要求事項を満たせば完璧な BCM になるという意味ではありません。まずは規格の要求事項を満たした上で、さらにそれぞれの組織の状況に応じた工夫や、独自の取り組みが必要になります。
4) 出典は次の通りです。
JIS Q 22301:2013 社会セキュリティ - 事業継続マネジメントシステム - 要求事項
5) 当時、外国の取引先からの要求に応える形で認証取得に取り組んだ企業が非常に多かったことから、ISO 規格に関して「外国から押し付けられたもの」という認識を持たれている方も多く、このような経緯も規格嫌いを助長していると思われます。