規格」タグアーカイブ

事業継続マネジメントの活動を普段の商売に活かしましょう

このエントリーをはてなブックマークに追加

事業継続マネジメント(BCM)に関する仕事は「掛け捨ての保険」にたとえられることがあります。これは、BCM はあくまでも万が一の時に備えるための活動であって、事故や災害などが発生しない限り、これらの活動に費やした労力や費用は役に立たないという考え方によるものです。そのような認識のもとで BCM に取り組むのは難しいのではないかと思います。

ところが、BCM の成果を普段の商売に活かす方法があります。主な方法を以下に説明しますので、事故や災害などが発生しなくても価値を生み出す BCM を目指していただきたいと思います。

 

御社のセールスポイントとしてアピールする

もし御社が主に企業を相手に取引をしている、いわゆる B to B のビジネス形態であれば、御社における BCM の取組状況を顧客(および見込み客)にうまく説明できれば、これが御社のセールスポイントになる可能性があります。

特に最近は災害が頻発していることもあって、多くの企業が災害によってサプライヤーや業務委託先で事業中断が発生することを懸念しています。MS&AD インターリスク総研株式会社が国内上場企業を対象として実施したアンケート調査(注)によると、回答した企業の約 9 割が「サプライヤーが BCP を持つことは必要」だと回答しています。また回答した企業の約半数、製造業に限ると 8 割近くが、顧客から災害対策・BCP 整備に関連して何らかの要請をされたと回答しています。

したがって特に B to B の企業では、BCM に取り組んでいることが競合他社との間で差別化要因になる可能性があります。

もしかしたら読者の皆様の中には、「当社の BCM はまだまだレベルが低いから・・・」と躊躇する方がおられるかもしれません。しかし、完璧な BCM を実現できている企業など、まずありません。逆に、BCM に取り組み始めた企業すら少ない現状においては、取り組み始めただけでもアドバンテージになる可能性さえあります。BCP がまだ作成されていないとしても、「当社では社長を責任者として組織的に BCM に取り組んでいます」というような説明ができて、今後のロードマップを示すことができれば、顧客にとっては好印象です。

ぜひ営業部門や広報部門、マーケティング部門などとも協力して、御社における BCM への取り組みを売上アップや既存顧客との関係向上に役立ててください。売上に繋がる可能性が期待できれば、これらの部署からの協力も得られやすいのではないかと思います。

もちろん、その後の活動が続かなければ、逆にかなり印象が悪くなるリスクもありますので、頑張って活動を続けていただきたいと思います。

 

国際規格のネームバリューを利用する

前項で述べた、顧客に対する説明の中で、国際規格のネームバリューを利用することも一案です。これは特に海外の企業と取引がある企業にとっては有効な方法です。

BCM に関しては「ISO 22301」という国際規格があります。日本ではこれが和訳されて、日本産業規格「JIS Q 22301」となっています。この規格は世界中から BCM のエキスパートが集まって議論を重ね、彼らの持つノウハウや経験を反映させて作られたもので、世界各国で広く活用されています。

そこで、国際規格に書かれている基本的な部分を自社の BCM に採り入れ、社外に対して「当社は国際規格 ISO 22301 に基づいて BCM に取り組んでいます」と説明することができれば、BCM に関して決して場当たり的ではなく、組織的かつ計画的に取り組んでいるという印象を持ってもらえます。

しかしながら、規格に書かれている要求事項を全て実施するのは大変です。そこで、まずは以下に説明する 2 つのポイントを押さえることをお勧めします。

1 つめは用語の定義です。残念ながら日本では、「事業継続計画」、「訓練」、「演習」などといった基本的な用語に関しても、多様な定義が入り乱れているのが現状ですので、まず規格に記載されている用語の定義を確認し、正しい用語を使うようにしてください。

2 つめは活動全体の枠組みです。規格では BCM に必要な活動の全体像(別記事にて説明しています)が説明されています。これら全体をどのくらいのスケジュールで進めていくのか、大枠で構わないので計画を作り、経営層の承認を得て進めてください。

これら 2 つができていれば、社外に対して「当社は国際規格に基づいて BCM に取り組んでいる」と胸を張って言うことができます。

なお、この規格に書かれている要求事項を全て満たしていることを、外部の審査機関に確認してもらい、認証を取得できるという制度があるのですが、これは少々ハードルが高いと思います。したがって認証を取得するかどうかは、BCM の活動がある程度軌道に乗った後に検討されると良いと思います。

 

業務プロセスの効率アップに役立てる

BCM に欠かせない作業のひとつとして「事業影響度分析」があります。事業影響度分析においては、社内の業務プロセスや経営資源の状況を調べていきます。

ここで思わぬ副産物として、日常業務において改善すべき課題が見つかることがあります。

かつて筆者が担当させていただいた大手サービス業のお客様で、事業影響度分析のためのヒアリングを実施した時に、不思議な帳票が見つかったことがありました。複数の部署から業務プロセスのフローチャートを見せてもらい、前工程の部署と後工程の部署との連携を確認していたのですが、前工程で作成された帳票のうち、後工程で使われていないものが一つ見つかったのです。

最初はお客様も半信半疑だったのですが、よくよく調べてみると、後工程の業務改善で手続きが変わったという情報が、前工程の部署に伝わっていなかったことが分かりました。試しに前工程の部署で、その帳票の作成を止めて 1 ヶ月様子を見てみたのですが、業務に全く支障がないことが確認できたため、その帳票は正式に廃止されました。

事業影響度分析では、業務プロセスの最初から最後まで通して確認していきますので、日常業務の中では見落とされているような問題やムダが見つかる場合があります。このような成果が得られる可能性もあることを含めて、経営層や各部署の方々に説明していただくと、協力を得られやすくなるのではないでしょうか。

 

損害保険の見直しにつなげる

多くの企業で建物の火災保険などの損害保険を契約されていると思いますが、御社にとって現在の契約内容は十分でしょうか?また、逆に、手厚く保険をかけ過ぎているものはありませんか?

これまで保険会社や保険代理店から様々な損害保険を勧められたと思いますが、残念ながら御社にとって必要な保険と、保険会社が売りたい保険とが常に一致しているとは限りません。

事業影響度分析の中で、製品やサービスの優先順位や資源の状況などを調べていくと、事業継続という観点から考えて必要な損害保険と、現在の契約内容とのギャップが見えてくることがあります。もしそのようなギャップが見つかった場合は、それをもとに保険会社や保険代理店と相談することをお勧めします。結果として従来の保険で不十分だった部分がカバーされるようになったり、過剰にかけすぎていた部分を減らして保険料の支払額を削減できる可能性があります。

企業によっては BCM と損害保険とでは担当部署が別かもしれませんが、その場合でも部署間で協力しあって、BCM と損害保険との相乗効果を発揮できるような取り組みを目指してください。

 

(注)
MS&AD インターリスク総研株式会社(2019 年 2 月)『第 8 回 事業継続マネジメント(BCM)に関する日本企業の実態調査 報告書』 https://www.irric.co.jp/pdf/reason/research/bcm/bcm_8.pdf (アクセス日:2021 年 3 月 15 日)

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

ISO 22300 が改定されました(2021 年版)

このエントリーをはてなブックマークに追加

国際規格 ISO 22300 「Security and resilience — Vocabulary」が昨日改定され、ISO Web サイトの「Online Browsing Platform」(下記リンク)で読めるようになりました。

https://www.iso.org/obp/ui/#iso:std:iso:22300:ed-3:v1:en

この規格は、技術委員会 TC292 が管掌している「Security and resilience」に関する規格で用いられる用語を定義するための規格です。

前回の改定が 2018 年でしたので、意外に短いスパンで改定されたという印象です。最近は TC292 で開発される規格の数も増えてきたので、定義すべき用語が増えたために、それらを追加するために改定されたのかもしれません。

自分の仕事に関連するところだけ、ざっと確認してみましたが、BCM に関する基本的な用語も 2018 年版からかなり変更されているので、注意が必要だと思いました。

なお、対応する JIS 規格の方は、ISO 22300:2012 に対応する JIS Q 22300:2013 が最新版となっていますので、二周遅れになってしまいました。一応 ISO 22300:2018 に関しても日本規格協会から「邦訳版」が販売されていますが、これはあくまでも参考訳であって規格ではありません。早急に JIS 規格の方でも最新版に対応していただきたいと思います。

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

YouTube: JIS Q 22301 2020 年改訂版はココを特に読んで欲しい

このエントリーをはてなブックマークに追加

YouTube の『事業継続マネジメントについて語りつくすチャンネル』に新しい動画をアップロードしました。

第 13 回: JIS Q 22301 2020 年改訂版はココを特に読んで欲しい

今回は 11 月 20 日に発行された、日本産業規格 JIS Q 22301 「事業継続マネジメントシステム – 要求事項」について語っております。

ちなみにこの規格は日本規格協会の Web サイトで購入できます。
https://webdesk.jsa.or.jp/books/W11M0090/index/?bunsyo_id=JIS+Q+22301%3A2020

なお、今回の動画の中で触れている「business continuity strategies and solutions」の意味については、かつて下記の通り文章にしておりますので、合わせてお読みいただければ幸いです。

弊社 Web サイト:ISO 22301 2019 年版における「solutions」の意味(2019/12/07 掲載)
https://office-src.biz/39NVyA4

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

YouTube> BCM においてリスクアセスメントはどんな風にやればいいのか

このエントリーをはてなブックマークに追加

YouTube の『事業継続マネジメントについて語りつくすチャンネル』に新しい動画をアップロードしました。

第 11 回: BCM においてリスクアセスメントはどんな風にやればいいのか

今回は BCM におけるリスクアセスメントの考え方や方法論について語っております。
第 9 回「目標復旧時間をどのように決めるか」および第 10 回「BCP では被害想定をどう使うか」とも関連の深い内容ですので、こちらと合わせてご覧いただけると、より腑に落ちやすくなるのではないかと思います。

《参考》

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

書籍紹介『世界に通じる危機対応 ISO 22320:2011 危機対応に関する要求事項 解説』林春男(編集委員長)

このエントリーをはてなブックマークに追加

手前味噌ですが私自身が関わった書籍のご紹介です。

危機対応(緊急事態対応)に関する国際規格「ISO 22320」が 2011 年に発行され、その内容を変えずに和訳したものが日本産業規格「JIS Q 22320」として 2013 年に発行されたことを受けて、これを日本で普及させることを目指して作られた本です。ISO の委員としてこの規格の制定に参画された林春男先生に編集委員長をお願いし、一般社団法人レジリエンス協会の有志 7 名からなる「危機対応標準化研究会」にて執筆しました。

ISO 22320 は、効果的な危機対応を実現するために最低限考慮すべき事柄として、指揮・統制のあり方、危機対応に用いる活動情報処理のあり方、部局間・組織間の協力および連携のあり方、などについてまとめられた規格です。危機事象の種類(災害や事故など)や組織の種類(公的機関や民間企業など)にかかわらず汎用的に適用できる規格となっています。

この規格の JIS 化に合わせて本書を企画した問題意識については、林先生が「はじめに」で次のように述べておられます。

世界の先進国では,どのような種類の危機が発生しても対応可能であり,対応にかかわるすべての組織に共通する一元的な危機対応体制が採用されている.先進国の中では我が国だけが例外である.その原因に,従来の個別的な対処方法でもこれまで様々な種類や規模の危機を乗り越えてきたという成功体験があり,改める必要性が見いだせないことがある.しかし,今後予想される大規模災害を考えると,危機対応の標準化はレジリエンスの向上には不可欠であると考えられる.

 

本書の構成は次のようになっており、規格の内容は第 2 章で解説されています。

  • 第 1 章 危機対応に本当の専門家はいない
  • 第 2 章 ISO 22320 の解説
    • 4. 指揮・統制に関する要求事項
    • 5. 活動情報に関する要求事項
    • 6. 協力及び連携に関する要求事項
  • 第 3 章 規格は使わなければ意味がない
  • 第 4 章 ISO 22320 を現場に活かすには
  • 付録 ISO 規格開発手順

私自身は第 2 章の「4. 指揮・統制に関する要求事項」の執筆を担当させていただきました。また林先生に第 1 章と第 3 章の執筆をお願いしました。

本書全体を通して、単に要求事項の解説にとどまらず、これらを自治体や企業などの組織で実践するための留意点やヒントをできるだけ記述するようにしています。

特に第 2 章においては、規格の内容に基づく解説に加えて、具体例のひとつとして米国で標準的に採用されている「Incident Command System」(ICS)の要点を紹介しています。ICS は ISO 22320 よりも先に開発されたものですが、ISO 22320 の要求事項が概ねカバーされているので、この規格の要求事項を具体的にはどのように実現していくのかを考えるうえで、とても参考になります。

 

実は ISO 22320 が既に 2018 年に改定されており、規格の構成や内容が大幅に刷新されているのですが、この 2018 年版が JIS 化される予定は今のところ無いようです(2020 年 10 月時点での状況)。したがって本書も改訂される予定がありません。個人的には 2018 年版も早急に JIS 化されてほしいのですが…….。

 

【書籍情報】

危機対応標準化研究会(編著)(編集委員長 林春男)(2014)『世界に通じる危機対応 ISO 22320:2011(JIS Q 22320:2013)社会セキュリティ – 緊急事態管理 – 危機対応に関する要求事項 解説』日本規格協会。

Amazon リンク

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

note> BCP を「ISO 規格と同じように作らなければいけない」という誤解がいまだにある

このエントリーをはてなブックマークに追加

当サイトにアクセスされた方であれば、事業継続マネジメント(BCM)に関する国際規格として「ISO 22301」という規格があるのをご存じの方も多いと思いますが、この規格に関して重大な誤解をされている方がおられるようなので、少しでもそのような誤解を解消していければと思って文章にまとめてみました。下記リンク先よりお読みいただければ幸いです。

note: BCP を「ISO 規格と同じように作らなければいけない」という誤解がいまだにある
https://office-src.biz/2E46An2

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

ISO 22361 – 新しい国際規格の開発が始まってるようです

このエントリーをはてなブックマークに追加

某社からメールで届いたニュースの中に「ISO 22361」という記述がありました。最初は「ISO 22316」のタイプミスかと思ったのですが、説明の内容が ISO 22316 と全然違うので、ISO の Web サイトを調べてみたところ、「Security and resilience — Crisis Management — Guidelines for developing a strategic capability」(セキュリティとレジリエンス – 危機管理 – 戦略的な能力を開発するためのガイドライン)というタイトルで、新しい規格の開発が進められているとの事でした。今のところ「AWI」(Approved new Work Item)というステータスなので、まだドラフトすら出来ていないという状況だと思われます。

ISO の 223 系列の規格制定を担当している技術委員会「TC292」の Web サイトで、どのような規格の開発を目指しているかが説明されています。こちらの説明によると危機管理における戦略的意思決定者(つまり経営層)のためのガイドラインとの事ですので、どのような規格になるのか今から楽しみです。

ちなみに、このプロジェクトのリーダーは Kevin Brear という方で、英国にある Grant Thornton というコンサルティングファームでシニアマネージャーを務めておられる方のようです。

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

YouTube> ISO 規格をどのように活用するか

このエントリーをはてなブックマークに追加

YouTube の『事業継続マネジメントについて語りつくすチャンネル』に新しい動画をアップロードしました。

第 7 回: ISO 規格をどのように活用するか

ISO 規格の使いみちは認証取得だけではありません。
事業継続マネジメントの活動をより有効に、より楽にするために、ISO 規格を活用する意義やメリットについて語っております。

(機材の都合上、音量が若干小さめになっておりますので、ご視聴の際には音量を適宜調整していただければ幸いです。)

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

ISO 22301 2019 年版における「solutions」の意味

このエントリーをはてなブックマークに追加

事業継続マネジメントシステム(BCMS)に関する要求事項を定めた国際規格『ISO 22301』が 2019 年 11 月に、これに関するガイドラインである規格『ISO 22313』も 2020 年 2 月に、それぞれ改訂されました。この改訂において BCMS の概念や方法論が大きく変わったわけではありませんが、いくつかの用語に関しては重要な変更が行われています。その中で本稿では「solutions」という用語について解説したいと思います。

ISO 22301 および 22313 では、項番 8.3 のタイトルが「Business continuity strategies and solutions」となっています。これは改訂前の旧版では「Business continuity strategies」であり、両規格の日本語訳である JIS 規格では「事業継続戦略」と訳されています。改訂版ではこれに「and solutions」が追加されました。

では「Business continuity strategies」と「Business continuity strategies and solutions」とでは何が違うのか?という話になりますが、結論から申し上げると、これらの実質的な意味はほとんど変わらないと考えて差し支えありません。

このような説明だと単に無駄な変更が加えられたように思われるかもしれませんので、このような変更が行われた背景を説明させていただきたいと思います。

この部分の改訂は、BCI から発行されている『Good Practice Guidelines』(略称 GPG)の影響を受けています。GPG の 2013 年版では ISO 規格と同様に「business continuity strategies」という用語が使われていましたが、2018 年版にむけて改訂される際に「business continuity solutions」に変更されました。このような変更が行われた理由については、GPG 2018 年版の 9 ページ目に次のような記述があります。

The previous use of the term ‘business continuity strategies’ in the Design stage of the business continuity management lifecycle has caused some confusion with organizational level strategies. Consequently, the GPG 2018 edition adopts the term “business continuity solutions”.

つまり、BCM の範疇で使われる business continuity strategies と、例えば経営戦略、ビジネス戦略といったような組織全体としての strategies との間で若干の混乱があったため、BCM の中では「strategies」という用語を使うのをやめて、これを「solutions」で置き換えたということです。つまり GPG においては「business continuity strategies」と「business continuity solutions」とは同じ意味で使われています。

その後、ISO の委員会で ISO 22301 の改訂に関する議論が始まったときに、BCI のメンバーから、同様の用語変更が提案されたそうです。この提案を行ったのが具体的に誰なのかは聞いていませんが、ISO においてこの規格を担当している技術委員会 TC292 には、BCI のメンバーが複数含まれていますので、それらのうちの誰かだと思われます。しかしながら「strategies」を「solutions」で置き換えることについては合意に至らず、いわば折衷案のような形で「strategies」が残されたまま「solutions」が追加された形となったようです。

そして合意され正式に発行された ISO 22301 においては、8.3.1 節に次のように説明されています。

The business continuity strategies shall be comprised of one or more solutions.

つまり「business continuity strategies」は 1 つまたは複数の「solutions」の集まりだと定められています。また、もし solutions が 1 つだけならば strategies = solutions ということになります。

また両規格のどこにも、strategies や solutions の違いや要件が説明されている箇所はありませんし、多くの箇所で「strategies and solutions」としてまとめて扱われています。そう考えると BCM においては、strategies と solutions との間に実質的な違いはほとんど無いと言ってよいでしょう。

実務的には、自組織における BCM の中では「business continuity solutions」という用語を使っておき、外部の方々に対してなにか説明する必要があるとき(例えば認証審査など)には、その solutions を指して「これがうちの strategies です」と言えばよいでしょう。

もちろん strategies、solutions という単語そのものが持つニュアンスの違いがありますので、全く同じと言うと語弊があると思いますが、実務上問題となるような違いはないと考えられます。どちらを使うべきか迷うくらいでしたら、前述のとおり GPG に述べられている理由から、「solutions」を使うことをお勧めしたいと思います。

なお現時点(2020 年 3 月)ではまだ JIS 規格の方が改訂されていませんので、この solutions がどのように訳されるかは分かりません。直訳すると「解決策」などということになりますが、事業継続に関して「解決策」というのは違和感があります。どう訳されるのでしょうか?

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

ISO 22313 の 2020 年改訂版が発行されました

このエントリーをはてなブックマークに追加

事業継続マネジメントシステム(BCMS)に関する国際規格「ISO 22313」の 2020 年版が ISO の Web サイトで購入可能になっていました。

『ISO 22313:2020 Security and resilience — Business continuity management systems — Guidance on the use of ISO 22301』
https://www.iso.org/standard/75107.html

英日対訳版や JIS 規格の発行まではしばらく時間がかかると思いますので、日本国内における実務はもうしばらく旧版ベースにならざるを得ないと思いますが、今のうちから英語版で勉強しておかなければ、と思います。

【2020.2.27 追記】
日本規格協会の Web サイトでも購入できるようになりました。
https://webdesk.jsa.or.jp/books/W11M0090/index/?bunsyo_id=ISO+22313%3A2020

なお、今のところ旧版も引き続き購入可能な状況にあります。

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加