ISO 22301:2012 事業継続マネジメントシステム – 要求事項
ISO 22301:2012 事業継続マネジメントシステム – 要求事項
地震や洪水などの災害に限らず、予期しなかった出来事が起きたとき、「想定外」という言葉がよく聞かれます。この「想定外」をどう防ぎ、事業をいかに速やかに復旧していくかに関わるマネジメントシステムがISO 22301です。
ISO 22301 の適用範囲
何をするためにその組織が存在しているのかにかかわらず、予期しなかった出来事が起こり、通常の業務がストップしてしまうということは、どの組織にも起こり得ることです。その原因は自然災害あるいは人災、意図して行われたこと、あるいは意図せぬ事故の結果であるかもしれません。原因の如何にかかわらず、ステークホルダーにとってもっとも重要なのは「通常の業務」にできるだけ早く復帰するということです。
ISO 22301 は、事業継続マネジメントのマネジメントシステム規格です。これは、組織の規模、種類や性質に関係なく使用できるように設計されている「汎用の規格」です。ISO 22301は、事業継続の障害となる事象から組織を守り、起こりやすさを減らし、発生に備え、対応し、通常業務に復旧するための文書化したマネジメントシステムを計画し、確立し、実施し、運用し、監視し、レビューし、維持し、継続的に改善するための要求事項を明確にしています。
ISO 22301 の構成と附属書 SL
ISO 22301 は、ISO 技術委員会 TC/223 が開発し、管理しています (現在、TC/223は他のTCと統合され、TC/292となっている)。ISO/TC223 は、意図的な、そして意図せぬ人間の活動や、自然災害あるいは技術上の事故により引き起こされる事象、緊急事態及び災害から社会を守るために設計されたさまざまな規格を管理しています。ISO22301は2012年に発行されましたが、ガイド83、すなわち、すべての規格が適合しなければならない共通の枠組みである附属書SL の前身であるガイドを適用した初めての国際規格でした。したがって、ISO 22301には10の箇条と序文と参考文献があります。用語と定義は、 (2012年当時の) 附属書SLとISO22300:2012 – 社会セキュリティ – 用語の両方から引用されています。
最近の附属書SL ベースの規格に慣れ親しんでいる方たちは、それらの規格とISO 22301:2012 の要求事項の類似性がよくおわかりになると思います。箇条4は、組織の状況に関連し、BCM の意図した成果を達成する能力に影響を与える内部及び外部の課題を明確化することともに、利害関係者のニーズと期待を決定することを要求しています。そして、これに法令規制の順守の維持に関する要求事項が加えられています。
箇条 5 はリーダーシップ、これはまだあまり馴染みがない箇条ですが、附属書SL 前の規格にはあっても、新しいほかの規格にはない5.2の「経営者のコミットメント」が含まれています。箇条6の計画と箇条7の支援は、附属書SL に準拠しています。
しかしながら、箇条8の運用には、BCMS固有の要求事項が含まれています。箇条8には、事業影響分析とリスクアセスメント、事業継続戦略の作成、事業継続手順の確立と実施及び事業継続計画の作成及びテストに関連する詳細箇条があります。
箇条 9のパフォーマンス評価は監視、測定、分析及び評価 (これには事業継続手順の評価も含まれます)、そして内部監査とマネジメントレビューに対応しています。最後に箇条10には不適合、是正処置と継続的評価に関する要求事項があります。
認証規格としてのISO 22301
組織は、この規格に関して、認定された認証を取得することができます。これにより、立法者、規制当局者、顧客、潜在顧客やその他の利害関係者に対して、自分たちがBCM のグッドプラクティスに準拠していることを示すことができます。現在のところ、発行されている認証書の数は多くはなく、およそ3133¹ (ちなみにISO 9001:2015 の登録数は1,033,000件です) ですが、増加の勢いは強く、前年比 で言うと78%増であり、これはこれまでのすべてのISO 規格の中でもっとも高い成長率であると言えます。 (¹ 出典 ISO Survey 2015)
ISO 22301 の関連規格
ISO 22301 には引用規格はありませんが、実施の指針を提供するために作成されたISO 22313があります。もしBCM 関連の事項に不案内なようでしたら、これは入手する価値があります。ISO 22313 には、必須の手順、プロセス、戦略及び計画に関するさまざまな内容が含まれているだけでなく、BCM の目的、BCMS の目標及び有効性の評価のための基準の例が提示されています。
ご自身の組織が現在BCM のシステムを保持していないけれども、導入する必要があると思われるなら、どうぞIRCAジャパンにご相談ください。IRCA ジャパンは、皆様が解決にむけての方向性を検討したり、専門家などを探そうとしたりする場合などに、お役にたつ情報を可能なかぎり提供します。ただし、危機的状況に陥っている最中にBCMS を導入しようとするのは、最悪のタイミングであるということを覚えておいてください。ご自身の組織のためにも、そしてステークホルダーのためにも、事が起きる前に適切に準備することが肝要です。
なお、ISOは、各規格について発行日から5年以内にレビューを行い、レビューにより改訂が必要と判断されれば、改訂作業に進むという方針をもっています。この方針に基づき、ISO 22301について2017年4月から、5年目のレビューが開始されました。この規格は、附属書SL の前身であるガイド83を使用して策定されています。したがって、このレビュー実施によって、この規格は改訂が必要であるという結論が出る可能性はかなり高いでしょう。