BCMS」タグアーカイブ

書籍紹介『見るみる BCP・事業継続マネジメント・ISO 22301』(深田博史・寺田和正)

このエントリーをはてなブックマークに追加

本書は恐らく、ISO 22301 の 2019 年版、およびその日本語訳である JIS Q 22301 の 2020 年版に準拠して書かれた最初の本ではないかと思います。

経歴を拝見したところ、著者のお二人はマネジメントシステム(および関連する規格)に関するスペシャリストのようです。同著者による「見るみる」シリーズとして、BCM 以外にも品質、環境、個人情報、食品安全衛生(HACCP)といったマネジメントシステムに関する書籍が、日本規格協会から出版されています。

本書はこのような、マネジメントシステムのスペシャリストが BCM の参考書を執筆されたことの意義や利点が、とても良い形であらわれていると思います。規格に準拠した形で書かれてはいますが、認証取得する/しないに関わらず、これから BCM に取り組み始める(もしくは既に取り組んでおられる)多くの方々に読んでいただきたいと思います。

–  –  –  –  –

【書籍情報】

深田博史・寺田和正(2021)『見るみるBCP・事業継続マネジメント・ISO 22301: イラストとワークブックで事業継続計画の策定,運用,復旧,改善の要点を理解』日本規格協会

Amazon リンク

–  –  –  –  –

私が思うに、本書の最も良いところは次のような点であり、これらはいずれもマネジメントシステムの使いこなし方を熟知しているからこそ実現できたのではないかと思います。

  • 用語の定義が正確で、国際規格に忠実である。
  • 継続的なマネジメント活動として取り組むことを前提として書かれている。特に、小さく始めて早めに成果を得てから対象範囲を拡大していくというアプローチが明記されている。
  • 日常業務の中で事業継続の観点から実施すべきことが、品質、環境、情報セキュリティ、労働安全衛生といった他のマネジメント領域と関連させて説明されている(しかも本の中で比較的最初の方で)。

私も仕事柄、BCM の参考書は多数見てきましたが、残念ながら上の 3 点が押さえられている本は非常に少ないです。

また、マネジメントシステムという観点とは異なりますが、事業継続に関連する資源や、演習プログラムに関する記述など、規格に忠実に書かれた結果として一貫性を保って整然と説明されている部分もあります。余談ですが、こういうところは下手に自己流で書こうとして、かえって分かりにくくなっている本も多いものです。

BCP を作るだけでなく、その実装として必要な活動についても触れられている点や、非常事態が発生した場合にまず BCP を被災状況に合わせて修正すべきであることが明記されている点も重要です。BCP の作り方に終始した参考書では、このような実務的な内容が書かれないこともあります。

本書が特にユニークなのは第 7 章で、言わば ISO 22301 の読み解き方の解説となっています。特に規格の箇条 4〜10 に関しては、もともと読みにくい文体で書かれている規格本文の内容が、こなれた文体で要約されていて、規格で言わんとしていることをザックリ掴みやすくなっています。もし認証取得を目指すならば、ちゃんと規格の原文(必要に応じて ISO の英文)を読み込んで、要求事項を正しく理解する必要がありますが、「認証取得は目指していないが規格に含まれているノウハウやエッセンスを採り入れたい」という方々にとっては、規格本文よりも本書の方が分かりやすくて便利かも知れません。

強いて本書の弱点を挙げるとすれば、事業影響度分析やリスクアセスメントに関する方法論が、あまり具体的に書かれていないことです、しかしながら、それは他の参考書などで補えばいい話です(そのうち自分自身でもそのような本を書こうとも思っていますが)。まずは本書で BCM の全体像を掴んで、体系的かつ組織的なマネジメント活動として取り組み、組織に定着させていくことを目指すことをお勧めしたいと思います。

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

YouTube: JIS Q 22301 2020 年改訂版はココを特に読んで欲しい

このエントリーをはてなブックマークに追加

YouTube の『事業継続マネジメントについて語りつくすチャンネル』に新しい動画をアップロードしました。

第 13 回: JIS Q 22301 2020 年改訂版はココを特に読んで欲しい

今回は 11 月 20 日に発行された、日本産業規格 JIS Q 22301 「事業継続マネジメントシステム – 要求事項」について語っております。

ちなみにこの規格は日本規格協会の Web サイトで購入できます。
https://webdesk.jsa.or.jp/books/W11M0090/index/?bunsyo_id=JIS+Q+22301%3A2020

なお、今回の動画の中で触れている「business continuity strategies and solutions」の意味については、かつて下記の通り文章にしておりますので、合わせてお読みいただければ幸いです。

弊社 Web サイト:ISO 22301 2019 年版における「solutions」の意味(2019/12/07 掲載)
https://office-src.biz/39NVyA4

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

BSI ジャパンが国内で初めて ISO 22301:2019 での審査機関認定

このエントリーをはてなブックマークに追加

BSI ジャパンが 6 月 12 日に同社 Web サイトで発表したところによると、事業継続マネジメントシステム(BCMS)の国際規格である ISO 22301 の 2019 年版に基づく審査を行うことができる、審査機関としての認定を受けたとのことです。

BSI ジャパンの Web サイトでの発表内容はこちら:
https://www.bsigroup.com/ja-JP/about-bsi/media-centre/press-release/2020/june-2020/Info-0612/

JIS 規格(JIS Q 22301)がまだ改定されていないので、英文の規格に基づいて審査されることになりますが、実質的には恐らく日本規格協会から販売されている日英対訳版か、BSI ジャパンが独自に和訳したものが使われるのではないかと思います。いずれにしても、日本の組織が 2019 年版で審査を受けられる状況になったのは良いことですね。

ISO 22301 が昨年秋に改定されて以来、早くから 2019 年版に基づく解説や審査員トレーニングなどを手掛けてこられた BSI ジャパンだからこそ、実現できたのだろうと思います。

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

YouTube> ISO 規格をどのように活用するか

このエントリーをはてなブックマークに追加

YouTube の『事業継続マネジメントについて語りつくすチャンネル』に新しい動画をアップロードしました。

第 7 回: ISO 規格をどのように活用するか

ISO 規格の使いみちは認証取得だけではありません。
事業継続マネジメントの活動をより有効に、より楽にするために、ISO 規格を活用する意義やメリットについて語っております。

(機材の都合上、音量が若干小さめになっておりますので、ご視聴の際には音量を適宜調整していただければ幸いです。)

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

E ラーニング「効果的な緊急事態対応のための演習のノウハウ」開講しました

このエントリーをはてなブックマークに追加

新建新聞社様の Web サイト「リスク対策.com」で展開されている「危機管理分野のEラーニング」シリーズの一つとして、私が担当させていただいた「効果的な緊急事態対応のための演習のノウハウ」が本日より開講しました。

下の画像をクリックしていただくと、講座概要と受講申込のページにアクセスできます。

収録は 2 月 25 日に行われ、編集なども特に問題なく進んだと伺っていますが、新型コロナウィルスの影響で状況が変わったため、諸々の事情を考慮して開講時期が延期され、ようやく本日開講となりました。

講座の内容など詳細は上のリンク先をご覧いただければと思いますが、実際にコンサルティングの現場で使っている手法のうち、業種を問わず多くの組織で汎用的に活用できる部分を選んで、できるだけ皆様ご自身が自力で演習に取り組んでいただけるよう、内容や説明のしかたを検討させていただきました。

実務で使えるワークシートや文書ひな形のファイルもダウンロードできるようになっていますので、皆様それぞれ工夫して活用していただければと思います。

少しでも多くの組織において、緊急事態対応や事業継続に関する演習を定常的に実施していただき、事故や災害などの非常事態への備えを見直すために役立てていただければ幸いです。

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

note 「BCI GPG を読み解く〜 #5 事業継続プログラムの「適用範囲」を決める(前編) (PP1-2)」投稿しました

このエントリーをはてなブックマークに追加

note で始めたマガジン「Good Practice Guidelines を読み解く」にて 5 本目の記事を投稿しました。

BCI GPG を読み解く〜 #5 事業継続プログラムの「適用範囲」を決める(前編) (PP1-2):
https://note.com/ktashiro/n/nb01355a9cb3e

今回は、事業継続プログラムを有効かつ効率的に(できるだけ楽に)構築・運用するためにとても重要な「適用範囲」(scope)の決め方について、まず基本的な考え方の部分を解説させていただきました。

この次の「後編」では、具体的にどのようなことを検討して適用範囲を決めていくか解説していく予定です。

これから BCM に取り組まれる方々だけでなく、皆様の組織における BCM の運用を見直される際にも、参考にしていただければ幸いです。

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

note 「BCI GPG を読み解く〜 #4 「事業継続ポリシー」を決める (PP1-1)」投稿しました

このエントリーをはてなブックマークに追加

note で始めたマガジン「Good Practice Guidelines を読み解く」にて 4 本目の記事を投稿しました(ようやく GPG 本体の内容に入りました)。

BCI GPG を読み解く 〜 #4 「事業継続ポリシー」を決める (PP1-1):  https://note.com/ktashiro/n/n7bf10ce63a9b

ここで説明されているのは「business continuity policy」の作り方です。なぜ「policy」を「方針」と呼ばず、わざわざ「ポリシー」と訳しているのか、という事も含めて解説させていただきました。詳細はリンク先をお読みいただければと思うのですが、「事業継続方針」という言葉から想像される内容と GPG で推奨している内容との間には、ちょっと隔たりがあると思いますので、本稿ではあえて「事業継続ポリシー」と約しています。

これから BCM に取り組まれる方々だけでなく、皆様の組織における BCM に関する各種文書に関して見直しをされる際にも、参考にしていただければ幸いです。

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

note 「BCI GPG を読み解く〜 #3 GPG の前書き」投稿しました

このエントリーをはてなブックマークに追加

note で始めたマガジン「Good Practice Guidelines を読み解く」にて 3 本目の記事を投稿しました。

BCI GPG を読み解く 〜 #3 GPG の前書き: https://note.com/ktashiro/n/nb8403cef3d5a

今回は GPG の前書き 4 ページの中から要点をピックアップして解説しています。ここでは、事業継続とは何か?、GPG とは何か?誰のために作られたのか?というような基本的な事項について記述されています。

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

note 「BCI GPG を読み解く 〜 #2 GPG の構成」投稿しました

このエントリーをはてなブックマークに追加

note で始めたマガジン「Good Practice Guidelines を読み解く」にて 2 本目の記事を投稿しました。

BCI GPG を読み解く 〜 #2 GPG の構成: https://note.com/ktashiro/n/nd2558aeacd6c

今回は GPG 全体の文書構成を解説しています。このような構成を先に頭に入れておいたほうが、読み進めていくのも楽ですし、後から「あれどこに載ってたかな?」と探すのも楽になると思いますので。

前回の投稿から一ヶ月近く間があいてしまって情けない限りですが、地道に続けていきます。

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

「演習」と「訓練」は使い分けるべき

このエントリーをはてなブックマークに追加

本件については既にいろいろなところで申し上げていますし、私のオリジナルでもありませんので、特に目新しい話題ではありませんが、少しずつでも普及させるには地道に繰り返していく必要があると思いますので、ここで改めて文章にしておきたいと思います。

災害対策や事業継続マネジメント、さらには緊急事態対応などに関する活動において、演習や訓練が不可欠なのは言うまでもありません。しかしながら「演習」と「訓練」は別の用語であるにも関わらず、日本においてはこれらが正しく使い分けられておらず、混同されることが多いのが現状です。

例えば内閣府(防災担当)が 2013 年 8 月に発表した「事業継続ガイドライン」第三版(注 1)では、本来は「演習」と「訓練」とが本来使い分けられるべきであることを認識しつつも、「日本国内における一般的な分かりやすさを優先し、厳密な使い分けはしない」という立場がとられています(P. 30)。内閣府(防災担当)がそう書かざるをえないくらい、世間では混同されているということでしょう。

しかしながら、これらの用語が正しく理解されないと、演習や訓練を行う際の目的が曖昧になるおそれがあり、その結果として演習や訓練から期待される成果が得られにくくなる可能性があります。そこで本稿ではこれらの用語の意味や使い分け方を整理して説明させていただきます。また、本稿の内容は私の勝手な意見や思い込みではなく、国際的なコンセンサスに基づいていますので、その根拠もお示ししておきたいと思います。

なお本稿はあくまでも、災害対策や事業継続マネジメントなどの分野における用語に関する文章ですので、他の分野では異なる定義や用法があるかもしれません。その点はご承知おきください。

用語の意味

「演習」とは、主に計画や対応手順の妥当性や準備状況の確認などを目的として実施されるものです。これに対して「訓練」とは、主に手順の理解や習熟度の向上を目的として実施されるものです。

もちろん、演習を行うことによって対応手順をより深く理解できるということもあります(特に、その手順に関する演習を初めて行う場合)。また訓練を行うことの副産物として、マニュアルなどの文書の間違いが見つかることもあります。このように、実際にはこれらの間には相互補完的な部分があります。

しかしながら、演習や訓練を企画、準備、実施する際には、これから行う演習(もしくは訓練)の主な目的は何なのか?ということを明確にして行う必要があります。これが明確でないままだと、演習や訓練を実施したあとの成果が分かりにくくなります。

演習に期待すべき成果は、計画やマニュアル、および様々な準備に関する間違い、更新漏れ、解決すべき課題、改善の余地などが明らかになることです。もし仮に、演習の途中で重大な問題が見つかって演習を中断せざるを得なくなったとしても、それは演習を行うことによって問題を発見できた結果なのですから、演習としては成果が得られたことになります(もっとも、それが演習しなくても分かるような初歩的な問題だったのであれば、単なる時間の空費です)。

一方、もしこれが訓練だったのならば、予定されていた訓練を全て実施できなかったのですから、訓練としてはうまくいかなかったということになります。このとき参加者の中に、演習としての成果を期待していた人と、訓練だと思って参加した人とが混在していたら、一部の方々は結果に不満を感じ、今後の演習や訓練に協力してくれなくなくなるかもしれません。

特に経営層の方々との間で、成果に関する認識がズレてしまったらたら致命的です。したがって、演習や訓練を実施する際には、どのような成果を期待するのかという点について、参加者の間で共通認識ができていることが非常に重要です。このような認識のズレを防ぐために、「演習」と「訓練」という 2 つの用語を適切に使い分けることが必要です。

国際規格における「演習」と「訓練」

日本で事業継続や危機管理などの分野で用いられる主な用語が定義されているのは、日本産業規格(注 2)のひとつである「JIS Q 22300 – 社会セキュリティ – 用語」です。この規格は国際規格「ISO 22300」をほぼ完全に和訳して作られたもので、この規格の中で演習や訓練に関する用語が次のように定義されています。

訓練(drill)
ある特定の技能を練習し、複数回の繰返しを伴うことが多い活動。

教育訓練(training)
知識、技能及び能力の、学習及び育成を促し、ある任務又は役割のパフォーマンスを改善するために策定された活動。

演習(exercise)
組織内で、パフォーマンスに関する教育訓練を実施し、評価し、練習し、改善するプロセス。

(出典:JIS Q 22300:2013)

まず訓練に関しては「訓練」と「教育訓練」の 2 つがありますが、いずれも前項で述べたとおり、主に習熟度の向上という観点で行われるものとして定義されています。

一方、「演習」については定義の中に「教育訓練」という言葉が含まれているため混乱を招きそうですが、注記として次のような記述があり、これを見ると主に妥当性の確認や検証、評価が主な目的であることが分かります(注 3)。

注記1 演習は、次のような目的のために利用することができる。
– 方針、計画、手順、教育訓練、装置又は組織間合意の妥当性確認
– 役割及び責任を担う要員の明確化並びにそれらの教育訓練
– 組織間の連携及びコミュニケーションの改善
– 資源の不足部分の特定
– 個人のパフォーマンスの改善、及び改善の機会の特定
– 臨機応変な対応を練習する統制された機会

(出典:JIS Q 22300:2013)

前述の通り、この定義は「ISO 22300」という国際規格に基づいています。つまり、これが世界各国からこの分野の専門家が集まって合意された定義ということになります。本稿の序盤の部分で「国際的なコンセンサスに基づいています」と述べたのはこのためです。

事業継続マネジメントにおける「演習」と「訓練」の位置付け

事業継続マネジメントシステムに関する国際規格「ISO 22301」(およびその日本語訳である「JIS Q 22301」)の中で、訓練は人員に必要な力量を備えさせるためのものとして、項番 7.2 に記述されています。一方で演習については、「事業継続手順が事業継続目的に合致していることを確実にするため」に行うものとして項番 8.5 に記述されています。

下図は JIS Q 22301 に対する指針として作られた規格「JIS Q 22313」からの引用で、事業継続マネジメントに必要な 5 つの活動の関係を表したものです。この図の中で「事業継続手順の確立及び実施」が項番 8.4、「演習及び試験の実施」が項番 8.5 となっています。この中で事業継続計画(BCP)を文書化する作業は 8.4 の中で行われますので、文書化された BCP の内容を確認・検証するためのものとして演習が位置付けられていることが分かります。

(出典:JIS Q 22313:2014)

(参考)軍隊における「演習」と「訓練」

海上自衛隊の出身でおられる、(株)イージスクライシスマネジメント代表取締役の林祐氏が、軍隊における「演習」と「訓練」について、ご自身のブログで次のように書いておられます。表現は若干異なりますが、本稿で説明させていただいている定義や用法と概ね一致していると言えます。

軍隊では「訓練」は練度の向上を目的として行われます。
一方の「演習」が練度の向上を目指していないわけではないのですが、直接的な目的は「検証」です。

「訓練」は個人や部隊の練度の向上を目指していますので、その効果が最大限に上がるように様々な工夫がなされています。極めて初歩的・基礎的なレベルから高度に複雑なレベルへ段階を踏むのが普通です。

「演習」はその練度がどのレベルにあるのか、あるいは立案された計画に何か問題はないのか、その計画に従うとどういう結果になるのかを検証してみる場合などに行われるのが普通です。

(出典:専門コラム「指揮官の決断」:第 38 回「演習」と「訓練」
https://aegis-cms.co.jp/622

ちなみに林氏による下記の著書には、図上演習の手法が具体的に分かりやすく書かれていますので、ご一読をお勧めします。

林祐(2019)『知らないと損をする経営トップのための「図上演習」活用術』日本コンサルティング推進機構
https://www.amazon.co.jp/dp/4908617694

【注釈】

  1. http://www.bousai.go.jp/kyoiku/kigyou/pdf/guideline03.pdf
  2. かつては日本工業規格と呼ばれていました。
  3. 私の推測ですが、恐らく ISO で規格の内容を検討する際に各国の委員から出された意見を取り込んだ結果、妥協の産物としてこのような定義になったのではないかと思います。ちなみに ISO 22300 より前に作られた英国国家規格(BS 規格)の中では、「exercise」は教育訓練的な内容を伴わない形で定義されています。
(BiBTeX)
author = "林 祐",
yomi = "Yu Hayashi",
title = "知らないと損をする経営トップのための「図上演習」活用術",
publisher = "日本コンサルティング推進機構",
year = 2019,

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加