ISO22301」タグアーカイブ

「IT-BCP」という言い方は間違い

このエントリーをはてなブックマークに追加

事業継続マネジメント(BCM)に関する話のなかで、IT システムの災害対策などを指して、「IT-BCP」という言葉が使われることがあります。つまり「IT の BCP」という意味ですね。

ところが、この「IT-BCP」という言い方は正しくありませんので、お使いにならないことをお勧めします。これが正しくない理由は、基本的な用語の定義に照らし合わせれば明らかです。

以下、国際規格「ISO 22301」の 2019 年版、およびそれを和訳して作られた「JIS Q 22301」の 2020 年版を拠り所として説明します。本稿の中で「規格」とはこれらの 2 つの規格を指します。

まず、「IT-BCP」というのは「IT-Business Continuity Plan」の略ですから、「IT 事業継続計画」という意味になります。つまり「継続」の対象として「IT」と「事業」の 2 つが含まれています。IT に対する継続性のことを言いたいのであれば「事業」は邪魔であって、「IT-Continuity Plan」(IT 継続計画)と呼ぶ方が自然でしょう。

これだけでも「IT-BCP」という言い方が正しくないことの説明としては十分だと、個人的には思うのですが、中には「これは IT-BCP という言い方が《不自然》だと言っているのであって、《間違い》とは言い切れないのではないか?」と思われる方もいらっしゃるかも知れませんので、もうひとつ説明を加えます。

まず、「事業継続」という用語は規格で次のように定義されています。

事業継続
事業の中断・阻害を受けている間に、あらかじめ定められた範囲で、 許容できる時間枠内に、製品及びサービスを提供し続ける組織の実現能力

(JIS Q 22301:2020 より引用/下線は筆者)

そして、「製品及びサービス」については同規格の中で「組織によって、利害関係者に提供されるアウトプット又は結果」と定義されています。つまり組織内部の業務のために運用されている IT システムは、「製品及びサービス」には含まれないことになります(注 1)。

「製品及びサービス」に含まれない以上、事業継続の対象ではありませんので、「IT-BCP」という言い方はすべきでないのです(注 2)。

一方、規格では BCM において検討すべき資源(resources)について、次のように例示されています。つまり BCM においては、IT システムは資源のひとつとしてとらえるのが正しいということです。

  • 情報及びデータ
  • 建物、職場、その他の施設などの物理的インフラストラクチャー、及び関連するユーティリティ
  • 設備及び消耗品
  • 情報通信技術(ICT)システム
  • 交通手段及び輸送手段
  • 資金
  • パートナー及びサプライヤ

 

一方、IT の分野では昔から(注 3)「IT Disaster Recovery」(IT 災害復旧)、「Redundancy」(冗長性)などという用語が使われていました。また事業継続との関連では「IT continuity」(IT の継続性)という用語が使われることもあります。したがって、「IT-BCP」などという言い方はやめて、これらのいずれかを使われることをお勧めしたいと思います。

 

【注釈】

  1. クラウドサービスなど、IT サービス業の企業が顧客に対して提供しているような IT システムは「製品及びサービス」に含まれます。
  2. 本稿の説明は前述の規格に基づいていますので、筆者個人の主張ではなく、国際的に認められている標準的な考え方だとご理解いただければと思います。
  3. BCM という概念や用語が生まれる前から、これらの用語は普及していました。

–   –   –   –   –

事業継続マネジメント(BCM)に関するガイドブックを出版させていただきました。特に中小企業の皆様が自力でに取り組まれることを想定して執筆させていただきましたので、お役立ていただければ幸いです

田代邦幸(著)『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)1,980 円(税込)

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

書籍紹介『ISO 22301:2019 事業継続マネジメントシステム 要求事項の解説』(中島一郎・岡部紳一・渡辺研司)

このエントリーをはてなブックマークに追加

まず重要な前提として、この本が「ISO 22301 による認証取得のためだけの本ではない」という点は強調しておきたいと思います。

日本における非常に残念な誤解のひとつが、「マネジメントシステム規格は認証取得のためだけに使われるものだ」というような思い込みです。実際には、規格では国際的に合意された用語の定義や、取り組み方の枠組みなどが提供されており、認証取得するか否かにかかわらず、広く活用されるべきものです(実際に諸外国ではそのように活用されています)。

ところが日本では、前述のような誤解が根強く残っているために、認証取得を目指さない人や組織は規格を読まないし、規格に関連する参考書も読まない、という状況が続いています。

この問題については下の動画でも語っておりますので、お時間がありましたらご視聴いただければ幸いです(写真をクリックすると YouTube のサイトが開きます)。

さて、前置きが長くなりましたが、今回紹介させていただく本は、JIS(日本産業規格)のマネジメントシステム規格に合わせて、日本規格協会から出版されている一連の書籍群のひとつです。私自身、これ以外にリスクマネジメント(JIS Q 31000)および情報セキュリティ(JIS Q 27001)など、いくつかの書籍を持っていますが、いずれも規格の制定に関わった方々を著者に迎えて作られているので、これらの規格に関わる仕事をする人にとっては必読本となっています。

本稿で紹介させていただく本に関しても、3 名の著者はいずれも JIS Q 22301 素案作成委員会のメンバーであり(委員長は渡辺先生)、また JIS 規格の元となっている ISO 規格を制定するための委員会にも参加されているので、この規格のことを最も熟知されている方々と言えます。

–   –   –   –   –

【書籍情報】

中島一郎・岡部紳一・渡辺研司(2021)『ISO 22301:2019 (JIS Q 22301:2020) 事業継続マネジメントシステム 要求事項の解説』日本規格協会

Amazon リンク

–   –   –   –   –

本書はもともと ISO 22301 の 2012 年版に合わせて出版されていましたが、ISO 22301 が改訂されて 2019 年版に、これを元に制定された JIS Q 22301 も改訂されて 2020 年版となったことを踏まえて、新たに出版されました。

いま私の手元に新旧 2 冊が並んでいますが、本の厚みが概ね 3 割増くらいになっています(価格は約 4 割増)。

(左が旧版、右が新版)

本来、規格というものは、規格本文だけ読めば内容を正しく理解できるように書かれているべきだと思いますが、実際にはなかなか難しいものがあります。しかも、もともと英語で書かれている ISO 規格を JIS 化する際に、和訳によって理解しにくくなっている部分もあります(これは規格の翻訳の質が低いという意味ではなく、翻訳によって意味やニュアンスなどが伝わりにくい部分もあるので、意味が 100% 伝わる翻訳が不可能だという意味です)。

本書では、規格の開発に関わっていた著者らが、そのような部分を(ある程度の背景事情も含めて)丁寧に解説してくださっているので、本来この規格が何を求めているのかを理解する上で非常に有用です。

そして、「本来この規格が何を求めているのか」≒「効果的に事業継続マネジメントに取り組むためには何が必要か」という関係が成り立ちますので、BCMS の認証取得を目指すかどうかは関係なく、事業継続マネジメントに取り組む全ての方々にとって、本書は間違いなく役に立ちます。

また、第 4 章は「ISO 22301 についての Q&A」となっており、日本で多くの方々が抱いていると思われる 16 の疑問に対して、19 ページを割いて回答されています。これらも事業継続マネジメントに対する理解を深める上で大変有用だと思います。企業をはじめとして多くの皆様に活用していただきたい書籍です。

–   –   –   –   –

事業継続マネジメント(BCM)に関するガイドブックを出版させていただきました。特に中小企業の皆様が自力でに取り組まれることを想定して執筆させていただきましたので、お役立ていただければ幸いです

田代邦幸(著)『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)1,980 円(税込)

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

BCMS 准審査員(Associate Auditor)の資格を取得しました

このエントリーをはてなブックマークに追加

御報告を失念しておりましたが、2021 年 5 月に BCMS 准審査員(Associate Auditor)の資格を取得しました。

BSI グループジャパン様の ISO 22301 審査員研修を受講させていただいて、受講後の修了試験に合格し、IRCA に Associate Auditor として登録されました

国内の BCMS 認証取得組織数がまだ 100 に満たない状況ですので、審査員として活動する機会はかなり限定的だと思われますが、これから認証取得を目指す組織に対しては、審査員としての視点も含めて助言をさせていただくことができます。

また、ISO 規格に基づく認証取得を目指さない場合でも、規格で示されている枠組みや方法論を利用することによって、より効果的に(楽に)事業継続マネジメントに取り組めるという面もあります。

今後は、様々な組織に対するコンサルティングの中で、審査員としてのノウハウも生かしていきたいと思います。

–   –   –   –   –

事業継続マネジメント(BCM)に関するガイドブックを出版させていただきました。特に中小企業の皆様が自力でに取り組まれることを想定して執筆させていただきましたので、お役立ていただければ幸いです

田代邦幸(著)『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)1,980 円(税込)

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

事業継続マネジメントの活動を普段の商売に活かしましょう

このエントリーをはてなブックマークに追加

本稿は、拙書『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)の一部に手を加えたものです。

事業継続マネジメント(BCM)に関する仕事は「掛け捨ての保険」にたとえられることがあります。これは、BCM はあくまでも万が一の時に備えるための活動であって、事故や災害などが発生しない限り、これらの活動に費やした労力や費用は役に立たないという考え方によるものです。そのような認識のもとで BCM に取り組むのは難しいのではないかと思います。

ところが、BCM の成果を普段の商売に活かす方法があります。主な方法を以下に説明しますので、事故や災害などが発生しなくても価値を生み出す BCM を目指していただきたいと思います。

 

御社のセールスポイントとしてアピールする

もし御社が主に企業を相手に取引をしている、いわゆる B to B のビジネス形態であれば、御社における BCM の取組状況を顧客(および見込み客)にうまく説明できれば、これが御社のセールスポイントになる可能性があります。

特に最近は災害が頻発していることもあって、多くの企業が災害によってサプライヤーや業務委託先で事業中断が発生することを懸念しています。MS&AD インターリスク総研株式会社が国内上場企業を対象として実施したアンケート調査(注)によると、回答した企業の約 9 割が「サプライヤーが BCP を持つことは必要」だと回答しています。また回答した企業の約半数、製造業に限ると 8 割近くが、顧客から災害対策・BCP 整備に関連して何らかの要請をされたと回答しています。

したがって特に B to B の企業では、BCM に取り組んでいることが競合他社との間で差別化要因になる可能性があります。

もしかしたら読者の皆様の中には、「当社の BCM はまだまだレベルが低いから・・・」と躊躇する方がおられるかもしれません。しかし、完璧な BCM を実現できている企業など、まずありません。逆に、BCM に取り組み始めた企業すら少ない現状においては、取り組み始めただけでもアドバンテージになる可能性さえあります。BCP がまだ作成されていないとしても、「当社では社長を責任者として組織的に BCM に取り組んでいます」というような説明ができて、今後のロードマップを示すことができれば、顧客にとっては好印象です。

ぜひ営業部門や広報部門、マーケティング部門などとも協力して、御社における BCM への取り組みを売上アップや既存顧客との関係向上に役立ててください。売上に繋がる可能性が期待できれば、これらの部署からの協力も得られやすいのではないかと思います。

もちろん、その後の活動が続かなければ、逆にかなり印象が悪くなるリスクもありますので、頑張って活動を続けていただきたいと思います。

 

国際規格のネームバリューを利用する

前項で述べた、顧客に対する説明の中で、国際規格のネームバリューを利用することも一案です。これは特に海外の企業と取引がある企業にとっては有効な方法です。

BCM に関しては「ISO 22301」という国際規格があります。日本ではこれが和訳されて、日本産業規格「JIS Q 22301」となっています。この規格は世界中から BCM のエキスパートが集まって議論を重ね、彼らの持つノウハウや経験を反映させて作られたもので、世界各国で広く活用されています。

そこで、国際規格に書かれている基本的な部分を自社の BCM に採り入れ、社外に対して「当社は国際規格 ISO 22301 に基づいて BCM に取り組んでいます」と説明することができれば、BCM に関して決して場当たり的ではなく、組織的かつ計画的に取り組んでいるという印象を持ってもらえます。

しかしながら、規格に書かれている要求事項を全て実施するのは大変です。そこで、まずは以下に説明する 2 つのポイントを押さえることをお勧めします。

1 つめは用語の定義です。残念ながら日本では、「事業継続計画」、「訓練」、「演習」などといった基本的な用語に関しても、多様な定義が入り乱れているのが現状ですので、まず規格に記載されている用語の定義を確認し、正しい用語を使うようにしてください。

2 つめは活動全体の枠組みです。規格では BCM に必要な活動の全体像(別記事にて説明しています)が説明されています。これら全体をどのくらいのスケジュールで進めていくのか、大枠で構わないので計画を作り、経営層の承認を得て進めてください。

これら 2 つができていれば、社外に対して「当社は国際規格に基づいて BCM に取り組んでいる」と胸を張って言うことができます。

なお、この規格に書かれている要求事項を全て満たしていることを、外部の審査機関に確認してもらい、認証を取得できるという制度があるのですが、これは少々ハードルが高いと思います。したがって認証を取得するかどうかは、BCM の活動がある程度軌道に乗った後に検討されると良いと思います。

 

業務プロセスの効率アップに役立てる

BCM に欠かせない作業のひとつとして「事業影響度分析」があります。事業影響度分析においては、社内の業務プロセスや経営資源の状況を調べていきます。

ここで思わぬ副産物として、日常業務において改善すべき課題が見つかることがあります。

かつて筆者が担当させていただいた大手サービス業のお客様で、事業影響度分析のためのヒアリングを実施した時に、不思議な帳票が見つかったことがありました。複数の部署から業務プロセスのフローチャートを見せてもらい、前工程の部署と後工程の部署との連携を確認していたのですが、前工程で作成された帳票のうち、後工程で使われていないものが一つ見つかったのです。

最初はお客様も半信半疑だったのですが、よくよく調べてみると、後工程の業務改善で手続きが変わったという情報が、前工程の部署に伝わっていなかったことが分かりました。試しに前工程の部署で、その帳票の作成を止めて 1 ヶ月様子を見てみたのですが、業務に全く支障がないことが確認できたため、その帳票は正式に廃止されました。

事業影響度分析では、業務プロセスの最初から最後まで通して確認していきますので、日常業務の中では見落とされているような問題やムダが見つかる場合があります。このような成果が得られる可能性もあることを含めて、経営層や各部署の方々に説明していただくと、協力を得られやすくなるのではないでしょうか。

 

損害保険の見直しにつなげる

多くの企業で建物の火災保険などの損害保険を契約されていると思いますが、御社にとって現在の契約内容は十分でしょうか?また、逆に、手厚く保険をかけ過ぎているものはありませんか?

これまで保険会社や保険代理店から様々な損害保険を勧められたと思いますが、残念ながら御社にとって必要な保険と、保険会社が売りたい保険とが常に一致しているとは限りません。

事業影響度分析の中で、製品やサービスの優先順位や資源の状況などを調べていくと、事業継続という観点から考えて必要な損害保険と、現在の契約内容とのギャップが見えてくることがあります。もしそのようなギャップが見つかった場合は、それをもとに保険会社や保険代理店と相談することをお勧めします。結果として従来の保険で不十分だった部分がカバーされるようになったり、過剰にかけすぎていた部分を減らして保険料の支払額を削減できる可能性があります。

企業によっては BCM と損害保険とでは担当部署が別かもしれませんが、その場合でも部署間で協力しあって、BCM と損害保険との相乗効果を発揮できるような取り組みを目指してください。

 

(注)
MS&AD インターリスク総研株式会社(2019 年 2 月)『第 8 回 事業継続マネジメント(BCM)に関する日本企業の実態調査 報告書』 https://www.irric.co.jp/pdf/reason/research/bcm/bcm_8.pdf (アクセス日:2021 年 3 月 15 日)

–   –   –   –   –

本稿は、拙書『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)の一部に手を加えたものです。是非拙書もお読みいただければ幸いです。

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

「できるだけ早く復旧させる」ことが事業継続マネジメントの目的ではない

このエントリーをはてなブックマークに追加

本稿は、拙書『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)の一部に手を加えたものです。

より早く復旧させるには、より多くのお金がかかる

事故や災害で事業活動が中断されてしまった場合(例えば製造業であれば工場で製品を作れなくなった、など)、「一日でも早く復旧させたい」と誰もが考えると思います。事業中断が一週間、二週間と続いた場合に、損害や各方面への悪影響がどれだけ大きくなるかを考えると、少しでも早く事業活動を元通りに再開させたい、と思わずにはいられないでしょう。

しかしながら、事業活動をより早く再開させようと思ったら、それなりのお金が必要になります。例えば、工場が大規模な地震や火災などで致命的な被害を被った場合でも、「一日で」製品の生産を再開させたいとしたら、どのような準備が必要になるでしょうか?同じような設備を有する工場をもう一ヶ所建設しておかないと無理かもしれません。もちろんそのためには膨大な設備投資が必要になります。

ところが、もし「一ヶ月以内で」、「三ヶ月以内で」、「半年以内で」再開させたいという条件だったらどうでしょうか?御社ならどのような方法で実現できそうか、想像してみてください。「一日で」再開させるための準備に比べたら、より少ない投資で済むのではないでしょうか。

 

BCM の目的は投資対効果のバランスを最適に保つこと

一般論として、より早く事業を再開・復旧させようと思ったら、事前の投資や事後の費用により多くのお金が必要になりますが、もし事業継続のための投資にお金をかけすぎて、災害が発生する前に経営状況が悪化してしまっては本末転倒です。したがって事業継続マネジメント(BCM)においては、どのくらいの期間で事業を再開・復旧させるのが自社にとってちょうど良いかを見極めていくことが重要です。

もし仮に、一ヶ月以内に事業を再開できれば十分だという会社があったとしたら、一週間以内に再開できるような対策方法はその会社にとっては過剰です。BCM の目的は、自社にとって必要な事業継続を、お金をかけすぎずに実現できるよう、事業継続に関する投資対効果のバランスを最適に保つことなのです。

 

これは国際的に受け入れられている考え方

ちなみに前述のような考え方は国際的に合意され、受け入れられているものです。

BCM に関して「ISO 22301」という国際規格があります。これは BCM に関する用語や概念、方法論などについて、世界中のエキスパートが議論を重ねて作られた国際規格で、日本ではこの内容を忠実に和訳したものが、日本産業規格「JIS Q 22301」として発行されています。この中で「事業継続」という用語は次のように定義されています。

事業継続(business continuity)

事業の中断・阻害を受けている間に、あらかじめ定められた範囲で、許容できる時間枠内に、製品及びサービスを提供し続ける組織の実現能力 (出典:JIS Q 22301:2020/下線は筆者)

これをご覧いただければ分かるとおり、「できるだけ早く」とは書かれていません。「あらかじめ定められた範囲で、許容できる時間枠内に」再開できるための能力だと定義されています。

そして、この範囲をどのように定めるか、自社にとって許容できる時間枠というのがどのくらいなのかを見極めた上で、事業継続のための能力が自社にとって最適な状態になるようマネジメントすることが「事業継続マネジメント」ということになります。

ここでいう「範囲」や「許容できる時間枠」については、事業影響度分析というプロセスの中で見極めていきます。これについては別の記事であらためて説明していければと思いますが、まずは「闇雲に早く再開・復旧させるのが良いとは限らない」ということを覚えておいていただければと思います。

 

–   –   –   –   –

本稿は、拙書『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)の一部に手を加えたものです。是非拙書もお読みいただければ幸いです。

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

YouTube: JIS Q 22301 2020 年改訂版はココを特に読んで欲しい

このエントリーをはてなブックマークに追加

YouTube の『事業継続マネジメントについて語りつくすチャンネル』に新しい動画をアップロードしました。

第 13 回: JIS Q 22301 2020 年改訂版はココを特に読んで欲しい

今回は 11 月 20 日に発行された、日本産業規格 JIS Q 22301 「事業継続マネジメントシステム – 要求事項」について語っております。

ちなみにこの規格は日本規格協会の Web サイトで購入できます。
https://webdesk.jsa.or.jp/books/W11M0090/index/?bunsyo_id=JIS+Q+22301%3A2020

なお、今回の動画の中で触れている「business continuity strategies and solutions」の意味については、かつて下記の通り文章にしておりますので、合わせてお読みいただければ幸いです。

弊社 Web サイト:ISO 22301 2019 年版における「solutions」の意味(2019/12/07 掲載)
https://office-src.biz/39NVyA4

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

YouTube> BCM においてリスクアセスメントはどんな風にやればいいのか

このエントリーをはてなブックマークに追加

YouTube の『事業継続マネジメントについて語りつくすチャンネル』に新しい動画をアップロードしました。

第 11 回: BCM においてリスクアセスメントはどんな風にやればいいのか

今回は BCM におけるリスクアセスメントの考え方や方法論について語っております。
第 9 回「目標復旧時間をどのように決めるか」および第 10 回「BCP では被害想定をどう使うか」とも関連の深い内容ですので、こちらと合わせてご覧いただけると、より腑に落ちやすくなるのではないかと思います。

《参考》

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

note> BCP を「ISO 規格と同じように作らなければいけない」という誤解がいまだにある

このエントリーをはてなブックマークに追加

当サイトにアクセスされた方であれば、事業継続マネジメント(BCM)に関する国際規格として「ISO 22301」という規格があるのをご存じの方も多いと思いますが、この規格に関して重大な誤解をされている方がおられるようなので、少しでもそのような誤解を解消していければと思って文章にまとめてみました。下記リンク先よりお読みいただければ幸いです。

note: BCP を「ISO 規格と同じように作らなければいけない」という誤解がいまだにある
https://office-src.biz/2E46An2

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

note> 「BCP とは何か?」に関する情報が入り乱れているので整理したい

このエントリーをはてなブックマークに追加

「事業継続計画」の略である「BCP」という用語が、数年前から世間で広く使われるようになってきました。私自身が仕事で BCP に関わるようになったのは 2001 年ごろですが、それ以降に大規模な地震や感染症の流行が発生するたびに、BCP が話題に上ってきたように思います。

このような用語が広く認知されるようになるのは良いことなのですが、一方で本来の意味から微妙に外れた解釈や自己流の定義、さらには明らかな誤用まで入り乱れ、混沌とした状況となっています。

そこで、国際的に受け入れられている「BCP」の標準的な定義のポイントを、ISO 規格に基づいて解説させていただきました。下記リンク先よりお読みいただければ幸いです。

note:「BCP とは何か?」に関する情報が入り乱れているので整理したい
https://office-src.biz/3h1v5Qs

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

ISO 22301 2019 年版における「solutions」の意味

このエントリーをはてなブックマークに追加

事業継続マネジメントシステム(BCMS)に関する要求事項を定めた国際規格『ISO 22301』が 2019 年 11 月に、これに関するガイドラインである規格『ISO 22313』も 2020 年 2 月に、それぞれ改訂されました。この改訂において BCMS の概念や方法論が大きく変わったわけではありませんが、いくつかの用語に関しては重要な変更が行われています。その中で本稿では「solutions」という用語について解説したいと思います。

ISO 22301 および 22313 では、項番 8.3 のタイトルが「Business continuity strategies and solutions」となっています。これは改訂前の旧版では「Business continuity strategies」であり、両規格の日本語訳である JIS 規格では「事業継続戦略」と訳されています。改訂版ではこれに「and solutions」が追加されました。

では「Business continuity strategies」と「Business continuity strategies and solutions」とでは何が違うのか?という話になりますが、結論から申し上げると、これらの実質的な意味はほとんど変わらないと考えて差し支えありません。

このような説明だと単に無駄な変更が加えられたように思われるかもしれませんので、このような変更が行われた背景を説明させていただきたいと思います。

この部分の改訂は、BCI から発行されている『Good Practice Guidelines』(略称 GPG)の影響を受けています。GPG の 2013 年版では ISO 規格と同様に「business continuity strategies」という用語が使われていましたが、2018 年版にむけて改訂される際に「business continuity solutions」に変更されました。このような変更が行われた理由については、GPG 2018 年版の 9 ページ目に次のような記述があります。

The previous use of the term ‘business continuity strategies’ in the Design stage of the business continuity management lifecycle has caused some confusion with organizational level strategies. Consequently, the GPG 2018 edition adopts the term “business continuity solutions”.

つまり、BCM の範疇で使われる business continuity strategies と、例えば経営戦略、ビジネス戦略といったような組織全体としての strategies との間で若干の混乱があったため、BCM の中では「strategies」という用語を使うのをやめて、これを「solutions」で置き換えたということです。つまり GPG においては「business continuity strategies」と「business continuity solutions」とは同じ意味で使われています。

その後、ISO の委員会で ISO 22301 の改訂に関する議論が始まったときに、BCI のメンバーから、同様の用語変更が提案されたそうです。この提案を行ったのが具体的に誰なのかは聞いていませんが、ISO においてこの規格を担当している技術委員会 TC292 には、BCI のメンバーが複数含まれていますので、それらのうちの誰かだと思われます。しかしながら「strategies」を「solutions」で置き換えることについては合意に至らず、いわば折衷案のような形で「strategies」が残されたまま「solutions」が追加された形となったようです。

そして合意され正式に発行された ISO 22301 においては、8.3.1 節に次のように説明されています。

The business continuity strategies shall be comprised of one or more solutions.

つまり「business continuity strategies」は 1 つまたは複数の「solutions」の集まりだと定められています。また、もし solutions が 1 つだけならば strategies = solutions ということになります。

また両規格のどこにも、strategies や solutions の違いや要件が説明されている箇所はありませんし、多くの箇所で「strategies and solutions」としてまとめて扱われています。そう考えると BCM においては、strategies と solutions との間に実質的な違いはほとんど無いと言ってよいでしょう。

実務的には、自組織における BCM の中では「business continuity solutions」という用語を使っておき、外部の方々に対してなにか説明する必要があるとき(例えば認証審査など)には、その solutions を指して「これがうちの strategies です」と言えばよいでしょう。

もちろん strategies、solutions という単語そのものが持つニュアンスの違いがありますので、全く同じと言うと語弊があると思いますが、実務上問題となるような違いはないと考えられます。どちらを使うべきか迷うくらいでしたら、前述のとおり GPG に述べられている理由から、「solutions」を使うことをお勧めしたいと思います。

なお現時点(2020 年 3 月)ではまだ JIS 規格の方が改訂されていませんので、この solutions がどのように訳されるかは分かりません。直訳すると「解決策」などということになりますが、事業継続に関して「解決策」というのは違和感があります。どう訳されるのでしょうか?

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加