HOME >ISO 22301

ISO 22301 事業継続マネジメントシステム

ISO 22301 事業継続マネジメントシステムの概要

事業継続マネジメントシステム(BCMS)の規格は、2012年5月に、ISO 22301として発行されました。 事業継続への取り組みは、国内でもBCP(Business Continuity Plan:事業継続計画)の作成に代表され、認知度が向上しつつあります。

地震や事故等の大規模災害による企業のビジネス中断は、社会や経済にも大きな影響を与えることから、内閣府においても、平成17年(2005年)には、事業継続ガイドラインを作成し、広く企業への事業継続対策の充実を促しています。 事業継続計画策定の必要性は、企業に広く認知されつつあるものの、昨今の厳しい経営環境の中、実際に事業継続計画を策定する企業は限られているというのが現状です。
数十年に一度起きるか、起きないかのリスクに対してコストをかけて備えるよりも目前に迫っている様々な問題への対応を優先せざると得ないというのが、企業の実情のようです。
国内では、”BCP(事業継続計画)=大規模災害への備え” といった印象が強いようですが、 実際には、ISO 22301が取り扱うリスクは、“事業の中断・阻害を引き起こすインシデント” であり、大規模災害のみならず重大なクレーム等による、 セクシャルハラスメントやパワーハラスメントあるいはその風評による企業イメージへの悪影響や、商品・サービスの売上低下や、環境問題、情報通信システムの障害等もその範囲に含まれます。
この規格のもう一つの特徴は、2012年に正式に決定されたISO マネジメントシステムの共通化テキストに沿って構成されている点です。 この共通化テキストは、ISO Guide83として開発され、マネジメントシステム規格の利用者にとって複数のマネジメントシステム規格の適用がより容易になるよう考慮して作成されたもので、 同時に全てのマネジメントシステムの適用において“リスク及び機会”への対応を可能にするためのものです。 このマネジメントシステムの共通化テキストは、国際規格を作成する上で従うべき基本的手順を定める『統合版ISO補足指針-2012年版』に取り入れられ、今後開発されるISOマネジメントシステム規格は、この共通化テキストの構成に従ったものとなる予定です。 従って、2013年から2015年に相次いで改訂が予定されている、ISO/IEC 27001情報セキュリティマネジメントシステム規格や、 ISO 9001品質マネジメントシステム規格、ISO 14001環境マネジメントシステム規格も同様に構成され、“リスク及び機会への対応”の概念が導入されます。事業継続マネジメントシステムで取り扱うリスクが、大規模災害などに限定されず、より広範であること、マネジメントシステムの共通化テキストに沿って構成されていることを考えると、 ISO 22301に基づく事業継続マネジメントシステムの導入は、全てのマネジメントシステムの中核となるマネジメントシステムの構築と捉えることも可能です。

ISO 22301 事業継続マネジメントシステムの特徴

この規格には、次のような特徴があります。

マネジメントシステム規格

BCMS規格は、他のマネジメントシステムと同様、方針、組織体制、方針,計画,運用管理,パフォーマンスの監視等に関連するマネジメントプロセス、監査可能な証拠となる文書類及び組織にとって適切な事業継続マネジメントプロセスから構成されるもので、PDCAモデルが適用されています。
ISO 22301 では効果的な事業継続マネジメントのために、次の重要性を強調しています。

  • 事業継続マネジメントの方針及び目的を確立することに対する組織のニーズと必要性の理解
  • 事業の中断・阻害を引き起こすインシデントへの組織の総合的な対応能力をいたすための管理策及び手段の導入及び運用
  • BCMSのパフォーマンス及び有効性の監視及びレビュー
  • 客観的な測定に基づく継続的改善

演習及び維持による組織の文化への組み込み

ISO 22301 の開発にあたっては、日本、アメリカ、イスラエル等の多くの国の事業継続のためのガイドラインが参考にされました。 中でも、英国の事業継続マネジメントシステム規格 BS 25999 が現在のISO 22301の開発に大きな影響を与えたと言われていますが、BS 25999では、事業継続マネジメントのライフサイクルについて次のような概念を示していました。

BCMS Life Cycle

実際に “発生する” か、“発生しない”か、 不確実な事象への有効な対応の手順を備えるという、難しい課題に対して、“演習”、“維持”、“レビュー” を繰り返し、組織の文化に、事業継続管理という考え方を取り込んでいくという基本的な考え方が、この規格には脈づいています。
“リスク”という概念に疎いといわれる日本の組織にとって、このようなマネジメントスタイルを取り込むことは、意味のあることかもしれません。