【事業継続】事業継続マネジメントシステム(BCMS)のISO化(1):命と事業を守る社会セキュリティ

はじめに 

本年(2012年)中に、BCMS関係では次の文書がISOの国際規格として公表される予定です。この公表に合わすべく、日本語訳の作業も進展しています。

2012年公表予定

  • ISO 22300 社会セキュリティ 用語
  • ISO 22301 社会セキュリティ BCMS:要求事項
  • ISO 22320 社会セキュリティ 危機対応に関する要求事項

また、来年(2013年)には、以下の文書も国際規格として公表の予定です。この文書は2007年に「ISO / PAS 22399:2007 社会セキュリティ 緊急事態準備と業務継続マネジメントのガイドライン(IPOCM)」の改定版です。従って、この文書が公表されるとISO / PAS 22399は使われなくなります。

2013年公表予定

  • ISO 22313 社会セキュリティ BCMS:ガイドライン

2006年にISO / TC 223(ISO 223技術委員会)が「社会セキュリティ」をテーマに国際規格文書の開発を始めてから、ここに至るまでに既に6年が過ぎました。一般的にISOの国際規格の文書開発は3年が目安ですから、その倍の年月が係ったことになります。これは「社会セキュリティ」の目的である「命を守る」と「事業を守る」を規格文書にすることの重要性と困難性の現れでもあります。

BCMSは品質ISOや環境ISOと同様のマネジメントシステム規格ですが、「命を守る」機能は企業や組織の枠を超え、行政・医療機関・インフラ設備などとの協力と連携が必要ですし、「事業を守る」機能もサプライチェーンの維持という物流を含めた企業・組織間の協力と連携が必要になります。この協力と連携を整理・調整して国際規格になりますが、この整理・調整が容易ではありませんでした。そして、今も他の「社会セキュリティ」関係文書ではこの整理と調整が進められています。

難しい理由の一つをご説明しますと、企業間の協力と連携の場合、どこかの企業を中心にして他の企業がその方針と対策に会わせるハブアンドスポーク型が容易な方法ですが、この中心となる企業を置かない場合は、企業数の組合せが多数出来ますし、方針と対策も組合せが多数出来ます。その中で各種の組合せに支障がないように、良い方針と対策を選ぶ作業が必要になります。ところが「良い」方向が国内的にも国際的にも不透明な部分と言いますか、十分検討されていない部分があり、これが難しいのです。特に「命を守る」は極めて重要な要素のため、場合によっては、「事業を守る」がある程度遠慮する必要もあります。

ISO 22301について 

次に、多くの方が興味を持っておられると思いますISO 22301「BCMS:要求事項」についてです。この文書の原案は以下の6文書です。

  • ANSI / NFPA 1600 (米国規格協会)
  • BS / PAS 56 (英国規格協会)
  • HB 211 (豪州規格協会)
  • SS 507 (シンガポール規格協会)
  • 事業継続計画策定ガイドライン (経済産業省、2005年)
  • 事業継続計画ガイドライン (内閣府、2005年)

この6文書は、それぞれ「命を守る」面と「事業を守る」面が含まれていますが、その重みと対策に違いがあります。また、「事業を守る」面の機能としてIT関係とサプライチェーン関係を含む程度にも、差があります。

大胆に交通整理をしますと、命の比重が大きいのが「ANSI / NFPA 1600」と日本の内閣府の「事業継続計画ガイドライン」です。次に事業を守る観点でITの比重が大きいのがシンガポール規格の「SS 507」と経済産業省の「事業継続計画策定ガイドライン」です。残りのうち英国規格の「BS / PAS 56」と豪州規格の「HB 211」は、事業や業務の継続対策(代替生産、代替販売、代替要員、代替ルートなど)に重きがあります。なお「BS / PAS 56」は、2008年に「BS 25999(事業継続マネジメント、要求事項)」として公表され、日本でも普及活動が展開されましたので、ご存じの方も多いと思います。

ITの事業継続性 

ITの事業継続性については、シンガポール規格の「SS 507」と経済産業書の「事業継続計画策定ガイドライン」の文書中で、TC 223とは別なISO / IECの合同委員会で検討審議され、TC 223関係文書より一足早く、昨年(2011年)の春に「ISO / IEC 27031:2011情報技術-セキュリティ技術-事業継続のための情報通信技術の準備態勢に関する指針」として公表されています。

この文書の特徴は、地震や火災時に同時に発生するIT障害ではなく、IT単独での障害に対する考え方と対策を記述しています。

英国のICM社が2009年と2010年に英国内の2,000社を対象に行った調査では、他の災害と同時に発生するIT障害よりも、IT単独の障害の方が約50倍多いと報告されていますので、企業・組織のためには、この文書は大変重要と思います。

なお、TC 223の立場では、IT障害はISO 27031の範囲と考え、ISO 22301では触れていません。具体的には、事業とIT業務の目標復旧時間(RTO)と目標復旧ポイント(RPO)の記述はISO 27031にはありますが、ISO 22301にはありません。

ただし、広域災害時における企業および組織間のITの維持は、TC 223で以下の2文書が引き続き検討がされています。この分野では、世界の中でも日本の気象庁が先行していると指摘されています。

  • ISO 22351 社会セキュリティ 情報共有のためのデータ要素およびコード作成の一般原則
  • ISO / TS 22352 社会セキュリティ 情報共有のためのデータ要素およびコード

事業継続マネジメントシステム(BCMS)のISO化 コラム著者

LRQA ジャパン エキスパート
一般社団法人レジリンス協会 理事
黄野 吉博

(掲載日:2012年3月28日)

    

関連コラム一覧 <開く>

コラム

全てのコラムを表示

【事業継続】セキュリティ(6):BCMSと利益保険

基本的に、利益保険や営業継続保険は、火災保険に特約として追加するようになっている損保会社が多いと思われます。BCMに関係する保険や保険の特約には、利益保険、営業継続保険、賠償保険があります。

規格改定関連ニュース検索方法のご案内 <開く>

規格改定関連ニュース検索方法のご案内

規格改訂関連ニュースフィルター「ニュース一覧」では、規格改定情報のみを絞込み、ご参照いただけます。

  • ニュース一覧ページを開きます。
  • 右記のようなフィルター画面が表示されますので、[トピック]⇒[ISO 規格改定最新情報]を選択します。
  • [ISO 規格改定最新情報] のニュース一覧が表示されます。

[ISO 規格改定最新情報]を選択後には、[規格]など、さらに検索を行うことができます。 

リンク: ニュース一覧