ISO」タグアーカイブ

YouTube> BCM においてリスクアセスメントはどんな風にやればいいのか

このエントリーをはてなブックマークに追加

YouTube の『事業継続マネジメントについて語りつくすチャンネル』に新しい動画をアップロードしました。

第 11 回: BCM においてリスクアセスメントはどんな風にやればいいのか

今回は BCM におけるリスクアセスメントの考え方や方法論について語っております。
第 9 回「目標復旧時間をどのように決めるか」および第 10 回「BCP では被害想定をどう使うか」とも関連の深い内容ですので、こちらと合わせてご覧いただけると、より腑に落ちやすくなるのではないかと思います。

《参考》

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

書籍紹介『世界に通じる危機対応 ISO 22320:2011 危機対応に関する要求事項 解説』林春男(編集委員長)

このエントリーをはてなブックマークに追加

手前味噌ですが私自身が関わった書籍のご紹介です。

危機対応(緊急事態対応)に関する国際規格「ISO 22320」が 2011 年に発行され、その内容を変えずに和訳したものが日本産業規格「JIS Q 22320」として 2013 年に発行されたことを受けて、これを日本で普及させることを目指して作られた本です。ISO の委員としてこの規格の制定に参画された林春男先生に編集委員長をお願いし、一般社団法人レジリエンス協会の有志 7 名からなる「危機対応標準化研究会」にて執筆しました。

ISO 22320 は、効果的な危機対応を実現するために最低限考慮すべき事柄として、指揮・統制のあり方、危機対応に用いる活動情報処理のあり方、部局間・組織間の協力および連携のあり方、などについてまとめられた規格です。危機事象の種類(災害や事故など)や組織の種類(公的機関や民間企業など)にかかわらず汎用的に適用できる規格となっています。

この規格の JIS 化に合わせて本書を企画した問題意識については、林先生が「はじめに」で次のように述べておられます。

世界の先進国では,どのような種類の危機が発生しても対応可能であり,対応にかかわるすべての組織に共通する一元的な危機対応体制が採用されている.先進国の中では我が国だけが例外である.その原因に,従来の個別的な対処方法でもこれまで様々な種類や規模の危機を乗り越えてきたという成功体験があり,改める必要性が見いだせないことがある.しかし,今後予想される大規模災害を考えると,危機対応の標準化はレジリエンスの向上には不可欠であると考えられる.

 

本書の構成は次のようになっており、規格の内容は第 2 章で解説されています。

  • 第 1 章 危機対応に本当の専門家はいない
  • 第 2 章 ISO 22320 の解説
    • 4. 指揮・統制に関する要求事項
    • 5. 活動情報に関する要求事項
    • 6. 協力及び連携に関する要求事項
  • 第 3 章 規格は使わなければ意味がない
  • 第 4 章 ISO 22320 を現場に活かすには
  • 付録 ISO 規格開発手順

私自身は第 2 章の「4. 指揮・統制に関する要求事項」の執筆を担当させていただきました。また林先生に第 1 章と第 3 章の執筆をお願いしました。

本書全体を通して、単に要求事項の解説にとどまらず、これらを自治体や企業などの組織で実践するための留意点やヒントをできるだけ記述するようにしています。

特に第 2 章においては、規格の内容に基づく解説に加えて、具体例のひとつとして米国で標準的に採用されている「Incident Command System」(ICS)の要点を紹介しています。ICS は ISO 22320 よりも先に開発されたものですが、ISO 22320 の要求事項が概ねカバーされているので、この規格の要求事項を具体的にはどのように実現していくのかを考えるうえで、とても参考になります。

 

実は ISO 22320 が既に 2018 年に改定されており、規格の構成や内容が大幅に刷新されているのですが、この 2018 年版が JIS 化される予定は今のところ無いようです(2020 年 10 月時点での状況)。したがって本書も改訂される予定がありません。個人的には 2018 年版も早急に JIS 化されてほしいのですが…….。

 

【書籍情報】

危機対応標準化研究会(編著)(編集委員長 林春男)(2014)『世界に通じる危機対応 ISO 22320:2011(JIS Q 22320:2013)社会セキュリティ – 緊急事態管理 – 危機対応に関する要求事項 解説』日本規格協会。

Amazon リンク

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

レジリエンス協会「しなやかな社会研究会」参加

このエントリーをはてなブックマークに追加

今日は一般社団法人レジリエンス協会の「しなやかな社会研究会」の会合に参加しました。

時節柄(?)、全員が Zoom でのリモート参加となりました。

当研究会では、ISO 22320 の 2018 年版に基づいて緊急事態対応に関する議論を進めておりますが、これと関連して Incident Command System(ICS)を紐解いたり、ISO 22320 の旧版(2011 年版)を引き合いに出したりする必要もあるので、これらの参考資料に記載されている内容の再確認にもなり、個人的には大変勉強になる貴重な機会となっています。

議論の内容は今のところまだお知らせできるような状況にありませんが、できるだけ早く公開できるよう、議論を進めていきたいと思います。

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

ISO 22361 – 新しい国際規格の開発が始まってるようです

このエントリーをはてなブックマークに追加

某社からメールで届いたニュースの中に「ISO 22361」という記述がありました。最初は「ISO 22316」のタイプミスかと思ったのですが、説明の内容が ISO 22316 と全然違うので、ISO の Web サイトを調べてみたところ、「Security and resilience — Crisis Management — Guidelines for developing a strategic capability」(セキュリティとレジリエンス – 危機管理 – 戦略的な能力を開発するためのガイドライン)というタイトルで、新しい規格の開発が進められているとの事でした。今のところ「AWI」(Approved new Work Item)というステータスなので、まだドラフトすら出来ていないという状況だと思われます。

ISO の 223 系列の規格制定を担当している技術委員会「TC292」の Web サイトで、どのような規格の開発を目指しているかが説明されています。こちらの説明によると危機管理における戦略的意思決定者(つまり経営層)のためのガイドラインとの事ですので、どのような規格になるのか今から楽しみです。

ちなみに、このプロジェクトのリーダーは Kevin Brear という方で、英国にある Grant Thornton というコンサルティングファームでシニアマネージャーを務めておられる方のようです。

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

BSI ジャパンが国内で初めて ISO 22301:2019 での審査機関認定

このエントリーをはてなブックマークに追加

BSI ジャパンが 6 月 12 日に同社 Web サイトで発表したところによると、事業継続マネジメントシステム(BCMS)の国際規格である ISO 22301 の 2019 年版に基づく審査を行うことができる、審査機関としての認定を受けたとのことです。

BSI ジャパンの Web サイトでの発表内容はこちら:
https://www.bsigroup.com/ja-JP/about-bsi/media-centre/press-release/2020/june-2020/Info-0612/

JIS 規格(JIS Q 22301)がまだ改定されていないので、英文の規格に基づいて審査されることになりますが、実質的には恐らく日本規格協会から販売されている日英対訳版か、BSI ジャパンが独自に和訳したものが使われるのではないかと思います。いずれにしても、日本の組織が 2019 年版で審査を受けられる状況になったのは良いことですね。

ISO 22301 が昨年秋に改定されて以来、早くから 2019 年版に基づく解説や審査員トレーニングなどを手掛けてこられた BSI ジャパンだからこそ、実現できたのだろうと思います。

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

note> 「BCP とは何か?」に関する情報が入り乱れているので整理したい

このエントリーをはてなブックマークに追加

「事業継続計画」の略である「BCP」という用語が、数年前から世間で広く使われるようになってきました。私自身が仕事で BCP に関わるようになったのは 2001 年ごろですが、それ以降に大規模な地震や感染症の流行が発生するたびに、BCP が話題に上ってきたように思います。

このような用語が広く認知されるようになるのは良いことなのですが、一方で本来の意味から微妙に外れた解釈や自己流の定義、さらには明らかな誤用まで入り乱れ、混沌とした状況となっています。

そこで、国際的に受け入れられている「BCP」の標準的な定義のポイントを、ISO 規格に基づいて解説させていただきました。下記リンク先よりお読みいただければ幸いです。

note:「BCP とは何か?」に関する情報が入り乱れているので整理したい
https://office-src.biz/3h1v5Qs

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

YouTube> ISO 規格をどのように活用するか

このエントリーをはてなブックマークに追加

YouTube の『事業継続マネジメントについて語りつくすチャンネル』に新しい動画をアップロードしました。

第 7 回: ISO 規格をどのように活用するか

ISO 規格の使いみちは認証取得だけではありません。
事業継続マネジメントの活動をより有効に、より楽にするために、ISO 規格を活用する意義やメリットについて語っております。

(機材の都合上、音量が若干小さめになっておりますので、ご視聴の際には音量を適宜調整していただければ幸いです。)

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

「演習」と「訓練」は使い分けるべき

このエントリーをはてなブックマークに追加

本件については既にいろいろなところで申し上げていますし、私のオリジナルでもありませんので、特に目新しい話題ではありませんが、少しずつでも普及させるには地道に繰り返していく必要があると思いますので、ここで改めて文章にしておきたいと思います。

災害対策や事業継続マネジメント、さらには緊急事態対応などに関する活動において、演習や訓練が不可欠なのは言うまでもありません。しかしながら「演習」と「訓練」は別の用語であるにも関わらず、日本においてはこれらが正しく使い分けられておらず、混同されることが多いのが現状です。

例えば内閣府(防災担当)が 2013 年 8 月に発表した「事業継続ガイドライン」第三版(注 1)では、本来は「演習」と「訓練」とが本来使い分けられるべきであることを認識しつつも、「日本国内における一般的な分かりやすさを優先し、厳密な使い分けはしない」という立場がとられています(P. 30)。内閣府(防災担当)がそう書かざるをえないくらい、世間では混同されているということでしょう。

しかしながら、これらの用語が正しく理解されないと、演習や訓練を行う際の目的が曖昧になるおそれがあり、その結果として演習や訓練から期待される成果が得られにくくなる可能性があります。そこで本稿ではこれらの用語の意味や使い分け方を整理して説明させていただきます。また、本稿の内容は私の勝手な意見や思い込みではなく、国際的なコンセンサスに基づいていますので、その根拠もお示ししておきたいと思います。

なお本稿はあくまでも、災害対策や事業継続マネジメントなどの分野における用語に関する文章ですので、他の分野では異なる定義や用法があるかもしれません。その点はご承知おきください。

用語の意味

「演習」とは、主に計画や対応手順の妥当性や準備状況の確認などを目的として実施されるものです。これに対して「訓練」とは、主に手順の理解や習熟度の向上を目的として実施されるものです。

もちろん、演習を行うことによって対応手順をより深く理解できるということもあります(特に、その手順に関する演習を初めて行う場合)。また訓練を行うことの副産物として、マニュアルなどの文書の間違いが見つかることもあります。このように、実際にはこれらの間には相互補完的な部分があります。

しかしながら、演習や訓練を企画、準備、実施する際には、これから行う演習(もしくは訓練)の主な目的は何なのか?ということを明確にして行う必要があります。これが明確でないままだと、演習や訓練を実施したあとの成果が分かりにくくなります。

演習に期待すべき成果は、計画やマニュアル、および様々な準備に関する間違い、更新漏れ、解決すべき課題、改善の余地などが明らかになることです。もし仮に、演習の途中で重大な問題が見つかって演習を中断せざるを得なくなったとしても、それは演習を行うことによって問題を発見できた結果なのですから、演習としては成果が得られたことになります(もっとも、それが演習しなくても分かるような初歩的な問題だったのであれば、単なる時間の空費です)。

一方、もしこれが訓練だったのならば、予定されていた訓練を全て実施できなかったのですから、訓練としてはうまくいかなかったということになります。このとき参加者の中に、演習としての成果を期待していた人と、訓練だと思って参加した人とが混在していたら、一部の方々は結果に不満を感じ、今後の演習や訓練に協力してくれなくなくなるかもしれません。

特に経営層の方々との間で、成果に関する認識がズレてしまったらたら致命的です。したがって、演習や訓練を実施する際には、どのような成果を期待するのかという点について、参加者の間で共通認識ができていることが非常に重要です。このような認識のズレを防ぐために、「演習」と「訓練」という 2 つの用語を適切に使い分けることが必要です。

国際規格における「演習」と「訓練」

日本で事業継続や危機管理などの分野で用いられる主な用語が定義されているのは、日本産業規格(注 2)のひとつである「JIS Q 22300 – 社会セキュリティ – 用語」です。この規格は国際規格「ISO 22300」をほぼ完全に和訳して作られたもので、この規格の中で演習や訓練に関する用語が次のように定義されています。

訓練(drill)
ある特定の技能を練習し、複数回の繰返しを伴うことが多い活動。

教育訓練(training)
知識、技能及び能力の、学習及び育成を促し、ある任務又は役割のパフォーマンスを改善するために策定された活動。

演習(exercise)
組織内で、パフォーマンスに関する教育訓練を実施し、評価し、練習し、改善するプロセス。

(出典:JIS Q 22300:2013)

まず訓練に関しては「訓練」と「教育訓練」の 2 つがありますが、いずれも前項で述べたとおり、主に習熟度の向上という観点で行われるものとして定義されています。

一方、「演習」については定義の中に「教育訓練」という言葉が含まれているため混乱を招きそうですが、注記として次のような記述があり、これを見ると主に妥当性の確認や検証、評価が主な目的であることが分かります(注 3)。

注記1 演習は、次のような目的のために利用することができる。
– 方針、計画、手順、教育訓練、装置又は組織間合意の妥当性確認
– 役割及び責任を担う要員の明確化並びにそれらの教育訓練
– 組織間の連携及びコミュニケーションの改善
– 資源の不足部分の特定
– 個人のパフォーマンスの改善、及び改善の機会の特定
– 臨機応変な対応を練習する統制された機会

(出典:JIS Q 22300:2013)

前述の通り、この定義は「ISO 22300」という国際規格に基づいています。つまり、これが世界各国からこの分野の専門家が集まって合意された定義ということになります。本稿の序盤の部分で「国際的なコンセンサスに基づいています」と述べたのはこのためです。

事業継続マネジメントにおける「演習」と「訓練」の位置付け

事業継続マネジメントシステムに関する国際規格「ISO 22301」(およびその日本語訳である「JIS Q 22301」)の中で、訓練は人員に必要な力量を備えさせるためのものとして、項番 7.2 に記述されています。一方で演習については、「事業継続手順が事業継続目的に合致していることを確実にするため」に行うものとして項番 8.5 に記述されています。

下図は JIS Q 22301 に対する指針として作られた規格「JIS Q 22313」からの引用で、事業継続マネジメントに必要な 5 つの活動の関係を表したものです。この図の中で「事業継続手順の確立及び実施」が項番 8.4、「演習及び試験の実施」が項番 8.5 となっています。この中で事業継続計画(BCP)を文書化する作業は 8.4 の中で行われますので、文書化された BCP の内容を確認・検証するためのものとして演習が位置付けられていることが分かります。

(出典:JIS Q 22313:2014)

(参考)軍隊における「演習」と「訓練」

海上自衛隊の出身でおられる、(株)イージスクライシスマネジメント代表取締役の林祐氏が、軍隊における「演習」と「訓練」について、ご自身のブログで次のように書いておられます。表現は若干異なりますが、本稿で説明させていただいている定義や用法と概ね一致していると言えます。

軍隊では「訓練」は練度の向上を目的として行われます。
一方の「演習」が練度の向上を目指していないわけではないのですが、直接的な目的は「検証」です。

「訓練」は個人や部隊の練度の向上を目指していますので、その効果が最大限に上がるように様々な工夫がなされています。極めて初歩的・基礎的なレベルから高度に複雑なレベルへ段階を踏むのが普通です。

「演習」はその練度がどのレベルにあるのか、あるいは立案された計画に何か問題はないのか、その計画に従うとどういう結果になるのかを検証してみる場合などに行われるのが普通です。

(出典:専門コラム「指揮官の決断」:第 38 回「演習」と「訓練」
https://aegis-cms.co.jp/622

ちなみに林氏による下記の著書には、図上演習の手法が具体的に分かりやすく書かれていますので、ご一読をお勧めします。

林祐(2019)『知らないと損をする経営トップのための「図上演習」活用術』日本コンサルティング推進機構
https://www.amazon.co.jp/dp/4908617694

【注釈】

  1. http://www.bousai.go.jp/kyoiku/kigyou/pdf/guideline03.pdf
  2. かつては日本工業規格と呼ばれていました。
  3. 私の推測ですが、恐らく ISO で規格の内容を検討する際に各国の委員から出された意見を取り込んだ結果、妥協の産物としてこのような定義になったのではないかと思います。ちなみに ISO 22300 より前に作られた英国国家規格(BS 規格)の中では、「exercise」は教育訓練的な内容を伴わない形で定義されています。
(BiBTeX)
author = "林 祐",
yomi = "Yu Hayashi",
title = "知らないと損をする経営トップのための「図上演習」活用術",
publisher = "日本コンサルティング推進機構",
year = 2019,

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

ISO 22301 2019 年版における「solutions」の意味

このエントリーをはてなブックマークに追加

事業継続マネジメントシステム(BCMS)に関する要求事項を定めた国際規格『ISO 22301』が 2019 年 11 月に、これに関するガイドラインである規格『ISO 22313』も 2020 年 2 月に、それぞれ改訂されました。この改訂において BCMS の概念や方法論が大きく変わったわけではありませんが、いくつかの用語に関しては重要な変更が行われています。その中で本稿では「solutions」という用語について解説したいと思います。

ISO 22301 および 22313 では、項番 8.3 のタイトルが「Business continuity strategies and solutions」となっています。これは改訂前の旧版では「Business continuity strategies」であり、両規格の日本語訳である JIS 規格では「事業継続戦略」と訳されています。改訂版ではこれに「and solutions」が追加されました。

では「Business continuity strategies」と「Business continuity strategies and solutions」とでは何が違うのか?という話になりますが、結論から申し上げると、これらの実質的な意味はほとんど変わらないと考えて差し支えありません。

このような説明だと単に無駄な変更が加えられたように思われるかもしれませんので、このような変更が行われた背景を説明させていただきたいと思います。

この部分の改訂は、BCI から発行されている『Good Practice Guidelines』(略称 GPG)の影響を受けています。GPG の 2013 年版では ISO 規格と同様に「business continuity strategies」という用語が使われていましたが、2018 年版にむけて改訂される際に「business continuity solutions」に変更されました。このような変更が行われた理由については、GPG 2018 年版の 9 ページ目に次のような記述があります。

The previous use of the term ‘business continuity strategies’ in the Design stage of the business continuity management lifecycle has caused some confusion with organizational level strategies. Consequently, the GPG 2018 edition adopts the term “business continuity solutions”.

つまり、BCM の範疇で使われる business continuity strategies と、例えば経営戦略、ビジネス戦略といったような組織全体としての strategies との間で若干の混乱があったため、BCM の中では「strategies」という用語を使うのをやめて、これを「solutions」で置き換えたということです。つまり GPG においては「business continuity strategies」と「business continuity solutions」とは同じ意味で使われています。

その後、ISO の委員会で ISO 22301 の改訂に関する議論が始まったときに、BCI のメンバーから、同様の用語変更が提案されたそうです。この提案を行ったのが具体的に誰なのかは聞いていませんが、ISO においてこの規格を担当している技術委員会 TC292 には、BCI のメンバーが複数含まれていますので、それらのうちの誰かだと思われます。しかしながら「strategies」を「solutions」で置き換えることについては合意に至らず、いわば折衷案のような形で「strategies」が残されたまま「solutions」が追加された形となったようです。

そして合意され正式に発行された ISO 22301 においては、8.3.1 節に次のように説明されています。

The business continuity strategies shall be comprised of one or more solutions.

つまり「business continuity strategies」は 1 つまたは複数の「solutions」の集まりだと定められています。また、もし solutions が 1 つだけならば strategies = solutions ということになります。

また両規格のどこにも、strategies や solutions の違いや要件が説明されている箇所はありませんし、多くの箇所で「strategies and solutions」としてまとめて扱われています。そう考えると BCM においては、strategies と solutions との間に実質的な違いはほとんど無いと言ってよいでしょう。

実務的には、自組織における BCM の中では「business continuity solutions」という用語を使っておき、外部の方々に対してなにか説明する必要があるとき(例えば認証審査など)には、その solutions を指して「これがうちの strategies です」と言えばよいでしょう。

もちろん strategies、solutions という単語そのものが持つニュアンスの違いがありますので、全く同じと言うと語弊があると思いますが、実務上問題となるような違いはないと考えられます。どちらを使うべきか迷うくらいでしたら、前述のとおり GPG に述べられている理由から、「solutions」を使うことをお勧めしたいと思います。

なお現時点(2020 年 3 月)ではまだ JIS 規格の方が改訂されていませんので、この solutions がどのように訳されるかは分かりません。直訳すると「解決策」などということになりますが、事業継続に関して「解決策」というのは違和感があります。どう訳されるのでしょうか?

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

ISO の各種マネジメントシステム規格による認証取得状況(2018 年時点)

このエントリーをはてなブックマークに追加

ISO の Web サイトにて、2018 年の時点での各種マネジメントシステム規格による認証取得数のデータが公開されています。

これは「The ISO Survey」というタイトルで以前から行われているもので、現在掲載されているのは 2019 年 9 月に発表されたものです。次の URL でご覧になれます。

https://www.iso.org/the-iso-survey.html

いくつかの理由により 2018 年分から集計方法が変わったようで、過去のデータとの単純比較はできなくなったようです。

事業継続マネジメントに関する規格「ISO 22301」に基づく認証取得数も国別に集計されており、上位 10 位までは次のようになっています。

1 位: 英国(190)
2 位: シンガポール(106)
3 位: インド(105)
4 位: 日本(61)
5 位: 韓国、UAE(57)
7 位: スペイン(47)
8 位: 中国(45)
9 位: タイ(43)
10 位: ナイジェリア(30)

英国とシンガポールで認証取得が進んでいるのは以前から知っていましたが、中国や韓国、タイでの数字が伸びてきているのが少し意外でした。またマレーシアがここに入らなかったのも意外でした(個人的な印象としてはタイより上だと思っていました。

なお日本の数字に関しては、一般社団法人情報マネジメントシステム認定センター(ISMS-AC)の Web サイトで公開されている情報によると、日本国内での認証取得数は 93 ということになっています(2020 年 2 月 23 日時点)。これは下記 URL で確認できます。

https://isms.jp/bcms/lst/ind/index.html

確か 2018 年ごろに JIPDEC の Web サイトで確認したとき既に 90 組織くらいでしたので、この 2、3 年は大きな動きはないと思います。ISO 側の数字とかなり差があるので、集計方法が何か違うのかもしれません。

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加