ISO22301」タグアーカイブ

note> BCP を「ISO 規格と同じように作らなければいけない」という誤解がいまだにある

このエントリーをはてなブックマークに追加

当サイトにアクセスされた方であれば、事業継続マネジメント(BCM)に関する国際規格として「ISO 22301」という規格があるのをご存じの方も多いと思いますが、この規格に関して重大な誤解をされている方がおられるようなので、少しでもそのような誤解を解消していければと思って文章にまとめてみました。下記リンク先よりお読みいただければ幸いです。

note: BCP を「ISO 規格と同じように作らなければいけない」という誤解がいまだにある
https://office-src.biz/2E46An2

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

note> 「BCP とは何か?」に関する情報が入り乱れているので整理したい

このエントリーをはてなブックマークに追加

「事業継続計画」の略である「BCP」という用語が、数年前から世間で広く使われるようになってきました。私自身が仕事で BCP に関わるようになったのは 2001 年ごろですが、それ以降に大規模な地震や感染症の流行が発生するたびに、BCP が話題に上ってきたように思います。

このような用語が広く認知されるようになるのは良いことなのですが、一方で本来の意味から微妙に外れた解釈や自己流の定義、さらには明らかな誤用まで入り乱れ、混沌とした状況となっています。

そこで、国際的に受け入れられている「BCP」の標準的な定義のポイントを、ISO 規格に基づいて解説させていただきました。下記リンク先よりお読みいただければ幸いです。

note:「BCP とは何か?」に関する情報が入り乱れているので整理したい
https://office-src.biz/3h1v5Qs

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

ISO 22301 2019 年版における「solutions」の意味

このエントリーをはてなブックマークに追加

事業継続マネジメントシステム(BCMS)に関する要求事項を定めた国際規格『ISO 22301』が 2019 年 11 月に、これに関するガイドラインである規格『ISO 22313』も 2020 年 2 月に、それぞれ改訂されました。この改訂において BCMS の概念や方法論が大きく変わったわけではありませんが、いくつかの用語に関しては重要な変更が行われています。その中で本稿では「solutions」という用語について解説したいと思います。

ISO 22301 および 22313 では、項番 8.3 のタイトルが「Business continuity strategies and solutions」となっています。これは改訂前の旧版では「Business continuity strategies」であり、両規格の日本語訳である JIS 規格では「事業継続戦略」と訳されています。改訂版ではこれに「and solutions」が追加されました。

では「Business continuity strategies」と「Business continuity strategies and solutions」とでは何が違うのか?という話になりますが、結論から申し上げると、これらの実質的な意味はほとんど変わらないと考えて差し支えありません。

このような説明だと単に無駄な変更が加えられたように思われるかもしれませんので、このような変更が行われた背景を説明させていただきたいと思います。

この部分の改訂は、BCI から発行されている『Good Practice Guidelines』(略称 GPG)の影響を受けています。GPG の 2013 年版では ISO 規格と同様に「business continuity strategies」という用語が使われていましたが、2018 年版にむけて改訂される際に「business continuity solutions」に変更されました。このような変更が行われた理由については、GPG 2018 年版の 9 ページ目に次のような記述があります。

The previous use of the term ‘business continuity strategies’ in the Design stage of the business continuity management lifecycle has caused some confusion with organizational level strategies. Consequently, the GPG 2018 edition adopts the term “business continuity solutions”.

つまり、BCM の範疇で使われる business continuity strategies と、例えば経営戦略、ビジネス戦略といったような組織全体としての strategies との間で若干の混乱があったため、BCM の中では「strategies」という用語を使うのをやめて、これを「solutions」で置き換えたということです。つまり GPG においては「business continuity strategies」と「business continuity solutions」とは同じ意味で使われています。

その後、ISO の委員会で ISO 22301 の改訂に関する議論が始まったときに、BCI のメンバーから、同様の用語変更が提案されたそうです。この提案を行ったのが具体的に誰なのかは聞いていませんが、ISO においてこの規格を担当している技術委員会 TC292 には、BCI のメンバーが複数含まれていますので、それらのうちの誰かだと思われます。しかしながら「strategies」を「solutions」で置き換えることについては合意に至らず、いわば折衷案のような形で「strategies」が残されたまま「solutions」が追加された形となったようです。

そして合意され正式に発行された ISO 22301 においては、8.3.1 節に次のように説明されています。

The business continuity strategies shall be comprised of one or more solutions.

つまり「business continuity strategies」は 1 つまたは複数の「solutions」の集まりだと定められています。また、もし solutions が 1 つだけならば strategies = solutions ということになります。

また両規格のどこにも、strategies や solutions の違いや要件が説明されている箇所はありませんし、多くの箇所で「strategies and solutions」としてまとめて扱われています。そう考えると BCM においては、strategies と solutions との間に実質的な違いはほとんど無いと言ってよいでしょう。

実務的には、自組織における BCM の中では「business continuity solutions」という用語を使っておき、外部の方々に対してなにか説明する必要があるとき(例えば認証審査など)には、その solutions を指して「これがうちの strategies です」と言えばよいでしょう。

もちろん strategies、solutions という単語そのものが持つニュアンスの違いがありますので、全く同じと言うと語弊があると思いますが、実務上問題となるような違いはないと考えられます。どちらを使うべきか迷うくらいでしたら、前述のとおり GPG に述べられている理由から、「solutions」を使うことをお勧めしたいと思います。

なお現時点(2020 年 3 月)ではまだ JIS 規格の方が改訂されていませんので、この solutions がどのように訳されるかは分かりません。直訳すると「解決策」などということになりますが、事業継続に関して「解決策」というのは違和感があります。どう訳されるのでしょうか?

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

今さらですが「BCP」とは何か?という話

このエントリーをはてなブックマークに追加

当サイトにアクセスされた方であれば、既に「BCP」という用語はご存じかと思います。言うまでもなく、これは「事業継続計画」(Business Continuity Plan)の略称です。

私がこの用語に初めて触れたのは 1998 年ごろでした。当時は情報セキュリティに関する仕事をしていたので、情報セキュリティに関する英国規格「BS 7799」に記載されていたものを読んだのが最初です(まだ ISO/IEC 17799 などが発行される前の話です)。あの当時に比べると、今では日本でも「BCP」という用語がずいぶん普及してきたように思います。

このような用語が普及するのは良いことではあるのですが、一方で明らかな誤用や、かなり本来の意味から外れた使い方などが横行するようになってきました。そこで本稿では、「BCP」とは本来どのような意味なのかを整理しておきたいと思います。

まず、「BCP」の公式な定義は次のようになっています。

business continuity plan

documented information that guides an organization to respond to a disruption and resume, recover and restore the delivery of products and services consistent with its business continuity objectives

事業継続計画

事業の中断・阻害に対応し、組織の事業継続の目標に一致するように製品およびサービスの提供を再開し、回復し、復旧するように組織を導く、文書化された情報。

(出典:ISO 22301:2019)(和訳部分は筆者)

この定義がなぜ「公式」かというと、国際規格「ISO 22301」で決められている定義だからです。ISO でこの規格を作ったときの委員会には日本からも委員が代表で参加していますので、日本を含む国際社会において公式に定められた定義と言えます。

また、この規格は和訳され、日本産業規格(JIS)の「JIS Q 22301」として制定されています。上記の ISO 規格は 2019 年に改訂されましたが、JIS 規格の方はまだ改訂作業中のため、今のところ 2013 年版が現行最新版となっています。そしてその JIS 規格では、BCP は次のように定義されています。若干表現は変わっていますが、本質的な意味は上の ISO 規格における定義と同じです。

事業継続計画(business continuity plan)

事業の中断・阻害に対応し,事業を復旧し,再開し,あらかじめ定められたレベルに回復するように組織を導く文書化した手順。

(出典:JIS Q 22301:2013)

今のところ日本には BCP に関する法律はありませんので、これが日本における公式な定義ということになります。

(ちなみに日本では、公的機関(政府や自治体など)の BCP が「業務継続計画」と呼ばれています。これは「事業」という単語が営利事業を想起させるためだと聞いていますが、英語では非営利組織に対しても区別なく「business continuity plan」と呼ばれています。)

この定義に従えば、BCP とは次のようなものだという事がわかります。

  • (1) 文書化されたものである
  • (2) 事業の中断・阻害が発生した後にやること(事後対応)が書かれているものである
  • (3) 事業を再開・復旧・回復させるための活動に関することが書かれているものである
  • (4) 必ずしも元どおりに復旧するための計画であるとは限らない

まず最初に明らかなのは、BCP とは何らかの形で文書化された「計画」のことだということです。これに対して、代替事業所の活用や外部への業務委託、自宅で業務を行うことなど、事業継続のための方策のことを「これが当社の BCP だ」などと表現する方がおられますが、これは正しくありません。

「これらの方策を使うことが当社の BCP に書かれている」というなら分かりますが、文書化されていない状況で、このような方策そのものを BCP と呼ぶのは間違いです。ひどい例では、災害対策関連の商品やサービスの売り文句として、「BCP 対策」という表現を見ることがあります。「BCP」つまり文書化された計画に対する「対策」とは何なのでしょうか?意味が分かりません。明らかに誤用です。どうも災害やリスクに対する対応のしかたや取り組み全般に対して、幅広く「BCP」という言葉が使われてしまっているようです

また、平常時にどのような準備をしておくか(例えばデータのバックアップ、物資の備蓄、従業員の教育訓練など)が書かれた文書に「事業継続計画」というタイトルが付けられている場合がありますが、これは上の (2) に照らして考えれば BCP の趣旨とは異なります。もし同じ文書の中に、上の (2) のような事後対応も書かれていれば BCP と呼んでも間違いではありませんが、そのようなことが書かれていなければ、それは BCP ではありません。

次に指摘しておきたいのは、文書に書かれた事後対応の内容です。BCP に含まれうる事後対応は、大まかに次のように分けられます。

  • a) 事故や災害などの緊急事態が発生した直後の初期対応(「初動」と呼ばれることがあります)
  • b) 製品またはサービスの提供を再開・継続させるための活動
  • c) 製品またはサービスの提供を、平常時の状態に復旧させるための活動

実際に企業などで作られている BCP の中には、これらのうち a) しか書かれていないものが散見されますが、それらは上の (3) を満たしませんので、BCP とは言えません。

ところで上の (4) はちょっと分かりにくいかもしれませんが、これは ISO の定義における「組織の事業継続の目標に一致するように」という部分と、JIS の定義における「あらかじめ定められたレベルに」という部分が該当します。これは、事業の中断・阻害が発生した後にそれらをどのくらいの時間で、どのくらいのレベルまで復旧させるか、という目標をあらかじめ決めて BCP に書いておき、その目標に合わせて復旧を目指すということです。もちろん、これらの目標は経営層から承認されている必要があります。

例えばある企業で、「商品 A の生産量を一ヶ月後までに 50% まで復旧させる」という目標が決まっていて、「とりあえずこのレベルまでたどり着けば、あとは走りながら考えて復旧させるのでも間に合う」というような判断をしたとします。この場合、その企業の BCP には「一ヶ月後までに 50% まで復旧させる」ための方策や、それを実施するための手順が含まれていればよく、そこから先の(100% まで復旧させるための)方策については文書化する必要がないということです。

以上は規格における定義にできるだけ忠実に説明していますが、本稿の意図は、全ての BCP(もしくは「BCP」と呼ばれるもの)に対して、これらを厳密に当てはめるべきだという事ではありません。しかしながら用語の定義があまりにもバラバラだと話が噛み合わなくなりますので、「BCP」という用語の本来の意味を正しく理解した上で、あまりにもかけ離れた拡大解釈や誤用などは今後あらためていくことを提案したいと思います。

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加