図解入門ビジネス 事業継続システム ISO22301:2019のすべてがよ~くわかる本

本の書評(おすすめの本)

今回紹介する本は、「図解入門ビジネス 事業継続システム ISO22301:2019のすべてがよ~くわかる本(打川 和男著 秀和システム)」です。


本書は、以下の14部構成になっています。

  1. ISO及びISOマネジメントシステム規格とは
  2. ISO22300シリーズ規格とは
  3. ISO22301とは
  4. 規格要求事項を理解する① 4.組織の状況
  5. 規格要求事項を理解する② 5.リーダーシップ
  6. 規格要求事項を理解する③ 6.計画
  7. 規格要求事項を理解する④ 7.支援
  8. 規格要求事項を理解する⑤ 8.運用
  9. 規格要求事項を理解する⑥ 9.パフォーマンス評価、10.改善
  10. 事業継続マネジメントシステムを構築する
  11. 新型コロナウィルスを含む感染症の発生時の事業継続計画の作成例
  12. 事業継続マネジメントシステムをレビューする
  13. ISO22301の認証審査を受ける
  14. BCMS文書文例集
  1. 1.ISO及びISOマネジメントシステム規格とは
    1. 1-1 ISO(国際)規格とは?
    2. 1-2 ISO(国際標準化機構)とは?
    3. 1-3 ISOマネジメントシステム規格とは?
  2. 2.ISO22300シリーズ規格とは
  3. 3.ISO22301とは
  4. 4.規格要求事項を理解する① 4.組織の状況
    1. 4.1 組織及びその状況の理解
    2. 4.2 利害関係者のニーズ及び期待の理解
      1. 4.2.1 一般
      2. 4.2.2 法令及び規制の要求事項
    3. 4.3 事業継続マネジメントシステムの適用範囲の決定
      1. 4.3.1 一般
      2. 4.3.2 事業継続マネジメントシステムの適用範囲
    4. 4.4 事業継続マネジメントシステム
  5. 5.規格要求事項を理解する② 5.リーダーシップ
    1. 5.2 方針
      1. 5.2.1 事業継続方針の確立
      2. 5.2.2 事業継続方針の伝達
    2. 5.3 役割、責任及び権限
  6. 6.規格要求事項を理解する③ 6.計画
    1. 6.1 リスク及び機会への取組み
    2. 6.2 事業継続目的及びそれを達成するための計画の策定
    3. 6.3 事業継続マネジメントシステム変更の計画
  7. 7.規格要求事項を理解する④ 7.支援
    1. 7.1 事業継続マネジメントシステム変更の計画
    2. 7.2 力量
    3. 7.3 認識
    4. 7.4 コミュニケーション
    5. 7.5 文書化した情報
      1. 7.5.1 一般
      2. 7.5.2 作成及び更新
      3. 7.5.3 文書化した情報の管理
  8. 8.規格要求事項を理解する⑤ 8.運用
    1. 8.1 運用の計画及び管理
    2. 8.2 事業影響度分析及びリスクアセスメント
      1. 8.2.1 一般
      2. 8.2.2 事業影響度分析
      3. 8.2.3 リスクアセスメント
    3. 8.3 事業継続戦略及び具体策
      1. 8.3.1 一般
      2. 8.3.2 戦略及び具体策の特定
      3. 8.3.3 戦略及び具体策の選択
      4. 8.3.4 資源に関する要求事項
      5. 8.3.5 具体策の実施
    4. 8.4 事業継続計画及び手順
      1. 8.4.1 一般
      2. 8.4.2 対応体制
      3. 8.4.3 警告及びコミュニケーション
      4. 8.4.4 事業継続計画
      5. 8.4.5 回復
    5. 8.5 演習プログラム
    6. 8.6 事業継続の文書及び能力の評価
  9. 9.規格要求事項を理解する⑥ 9.パフォーマンス評価、10.改善
    1. 9. 事業継続の文書及び能力の評価
    2. 9.1 監視、測定、分析及び評価
    3. 9.2 内部監査
      1. 9.2.1 一般(内部監査の目的と頻度)
      2. 9.2.2 監査プログラム(内部監査プログラムに関する基本要件)
    4. 9.3 マネジメントレビュー
      1. 9.3.1 一般
      2. 9.3.2 マネジメントレビューへのインプット
      3. 9.3.3 マネジメントレビューのアウトプット
    5. 10. 改善
    6. 10.1 不適合及び是正処置
    7. 10.2 継続的改善
  10. 10.事業継続マネジメントシステムを構築する
    1. 10-1 BCMSの構築及び導入のステップ
      1. BCMS構築ステップ
    2. 10-2 BCMSの体制の確立
      1. 主要な役割
      2. BCMS推進リーダーの役割
      3. BCMS推進チームの主要な役割
      4. BCMS内部監査に関する役割
    3. 10-3 BCMSの適用範囲の定義① 自社を取り巻く状況の明文化
      1. 適用範囲を定義する
      2. 自社を取り巻く状況を明確にする
    4. 10-4 BCMSの適用範囲の定義② ハイレベルBIA
      1. ハイレベルBIAとは
      2. ハイレベルBIAを実施する
    5. 10-5 事業継続方針の確立①
      1. 事業継続方針に含む内容
    6. 10-6 事業継続方針の確立②
      1. 適用される要求事項を満たすためのコミットメント
      2. 事業継続目的(目標)を設定するための枠組みを示す
    7. 10-7 事業影響度分析(BIA)の実施① 事業活動の洗い出し
      1. 事業影響度分析(BIA)のステップ
      2. 事業(製品/サービスの提供)を支える事業活動の洗い出し
    8. 10-8 事業影響度分析(BIA)の実施② 組織の影響度の特定~RTOの設定
      1. 各事業活動の中断が事業にもたらす経時的な影響の特定
      2. MTPDの特定、RTOの設定、優先事業の決定
    9. 10-9 事業影響度分析(BIA)の実施③ 資源の特定と依存関係の特定
      1. 優先事業を支える資源の特定
      2. 優先事業活動における依存関係の特定
    10. 10-10 リスクアセスメント(RA)の実施① リスクの特定
      1. リスクアセスメントのステップ
      2. リスクの特定
      3. リスクの特定-脅威の明確化
      4. リスクの特定-脅威の発生を抑えるための現状の対策の明確化
    11. 10-11 リスクアセスメント(RA)の実施② リスク分析
      1. リスク分析
      2. 脅威の大きさの評価
      3. 脅威の発生可能性の評価
      4. 想定される脅威の発生の抑えるための対策レベルの評価
      5. リスクの産出
    12. 10-12 リスクアセスメント(RA)の実施③ リスク評価
      1. リスクの評価
      2. リスクの受容
      3. リスクの低減
      4. リスクの除去
      5. リスクの移転
    13. 10-13 事業継続戦略の決定① リスク対応
      1. 事業継続戦略及び具体策の決定
      2. リスク対応
      3. リスクの対応の具体例
    14. 10-14 事業継続戦略の決定② 初期初動対応やBCPの基本要件
      1. 事業継続計画及び手順に関する戦略及び具体策の決定
      2. インシデント発生時の初期初動対応体制や手順に関する基本要件の決定
      3. 事業継続計画(BCP)に関する基本要件の決定
    15. 10-15 事業継続戦略の決定③ 資源の積算①:人~インフラストラクチャー
      1. 事業継続の具体策を実施するためのに必要な資源の積算
      2. 人(要員)
      3. 情報及びデータ
      4. 物理的インフラストラクチャー等
    16. 10-16 事業継続戦略の決定④ 資源の積算②:設備等~資金
      1. 設備及び消耗品
      2. 情報通信技術(ICT)システム
      3. 輸送手順及び物流
      4. 資金、パートナー及びサプライヤー
    17. 10-17 事業継続計画(BCP)の策定① 事業継続計画及び手順の種類
      1. 事業継続計画及び手順の種類
      2. インシデントマネジメント計画(IMP)
      3. 事業継続計画(BCP)
      4. 事業回復計画(BRP)
    18. 10-18 事業継続計画(BCP)の策定② 初期初動対応~BCPの発動
      1. 事業継続計画(BCP)の策定
      2. 初期・初動対応における緊急時体制
      3. 事業継続計画(BCP)の発動
    19. 10-19 事業継続計画(BCP)の策定③ BCP発動後~アクションリスト
      1. 事業継続計画(BCP)発動後の緊急時体制
      2. 代替拠点
      3. アクションリスト
    20. 10-20 演習プログラムの確立及び実施① 演習の種類
      1. 演習の種類
      2. 事業継続計画の策定直後(初回、6か月~1年以内)
      3. 事業継続計画の定着が進展した段階(2~3回目、1年~2年以内)
    21. 10-21 演習プログラムの確立及び実施② 演習の実施
      1. 十分な検討時間を確保する
      2. メンバーの役割を確認する
        1. 参加者
        2. 責任者(コーディネーター)
        3. 事務局
        4. 評価者・観察者
    22. 10-22 BCMSの各プロセスを確立するためのGap&Fit分析
      1. Gap&Fit分析
      2. プロセスマッピング
      3. ギャップ分析及び基本要件の決定
    23. 10-23 BCMS文書の作成① 文書化の基本要件
      1. BCMS文書とは
      2. 文書の範囲と詳しさ
    24. 10-24 BCMS文書の作成② 文書化成功のポイント
      1. BCMSの文書化のポイント
      2. 文書化の対象を決定する
      3. 文書体系を決定する
    25. 10-25 BCMS文書の作成③ 文書の種類
      1. 文書の種類
      2. 文書の例
    26. 10-26 BCMSの導入教育
      1. BCMS導入のための教育
      2. 導入教育の対象
      3. 導入教育の手段及び実施者
    27. 10-27 BCMSの認識向上プログラムの確立及び実施
      1. 認識向上プログラムの目的
      2. BCMSの特性
      3. 認識向上にはどんな方法があるのか
      4. 認識向上プログラムの例
  11. 11.新型コロナウイルスを含む感染症の発生時の事業継続計画の作成例
    1. 11-1 新型コロナウイルスを含む感染症の発生時の事業継続計画の作成例① 事業継続計画作成例の概要
      1. 事業継続計画作成例で想定するリスクシナリオ
      2. 感染症等に対する事業継続計画の特徴
      3. 各ステージの解説
    2. 11-2 新型コロナウイルスを含む感染症の発生時の事業継続計画の作成例② ステージ:海外で感染症発生&海外で感染拡大
      1. 海外で感染症発生
      2. 事業継続戦略で決定すべき事項
      3. 海外での感染拡大
    3. 11-3 新型コロナウイルスを含む感染症の発生時の事業継続計画の作成例③ ステージ:国内での感染症発生
      1. 国内での感染症発生
      2. 事業継続戦略で決定すべき事項
    4. 11-4 新型コロナウイルスを含む感染症の発生時の事業継続計画の作成例④ ステージ:国内での感染拡大
      1. 国内の感染拡大
      2. 事業継続戦略で決定すべき事項
    5. 11-5 新型コロナウイルスを含む感染症の発生時の事業継続計画の作成例⑤ ステージ:国内での感染蔓延
      1. 国内での感染蔓延
      2. 事業継続戦略で決定すべき事項
      3. 在宅勤務(テレワーク)における留意事項
      4. 在宅勤務(テレワーク)における業務統制
      5. その他の社員の活動
    6. 11-6 新型コロナウイルスを含む感染症の発生時の事業継続計画の作成例⑥ ステージ:感染の終息
    7. 感染の終息
      1. 事業継続戦略で決定すべき事項
      2. 実施した活動の評価
  12. 12.事業継続マネジメントシステムをレビューする
    1. 12-1 マネジメントシステム内部監査とは
      1. 事業継続マネジメントシステムにおける内部監査とは
      2. 事業継続マネジメントシステムにおける内部監査の位置付け
      3. マネジメントシステム内部監査の目的
    2. 12-2 監査のガイドライン
      1. 監査の指針ISO19011
      2. 監査プログラムのマネジメント
      3. 監査の実施、監査員の力量及び評価
    3. 12-3 マネジメントシステム内部監査の体制確立
      1. マネジメントシステム内部監査に関する主要な役割
      2. 内部監査責任者の任命と内部監査員の選定
      3. 内部監査責任者と内部監査員の選任及び権限
    4. 12-4 マネジメントシステム内部監査に必要な力量
      1. マネジメントシステム内部監査に必要な力量
      2. 内部監査に関する知識
      3. 内部監査員の個人的特質
      4. 内部監査の実施に関する技術
    5. 12-5 マネジメントシステム内部監査の計画
      1. 監査計画
      2. 担当する内部監査員の割当
    6. 12-6 マネジメントシステム内部監査の準備① 個別スケジュール表
      1. マネジメントシステム内部監査の準備
      2. 監査部門の監査対象業務を理解する
      3. 個別スケジュール表(被監査部門別の個別日程表)
    7. 12-7 マネジメントシステム内部監査の準備② 内部監査チェックリスト
      1. 内部監査チェックリストとは
      2. 内部監査チェックリストの利用上の留意点
    8. 12-8 マネジメントシステム内部監査の実施① 情報の収集
      1. 内部監査の実施(情報の収集)
      2. マネジメントシステム内部監査で期待される情報
    9. 12-9 マネジメントシステム内部監査の実施② インタビューの基本要件
      1. 内部監査におけるインタビューのポイント
      2. 相手が答えやすい環境を整備する
      3. 質問の主眼点をおさえてインタビューする
    10. 12-10 マネジメントシステム内部監査の実施③ インタビューの方法
      1. 意図した回答が得られるような質問をする
      2. インタビュー時の記録
    11. 12-11 マネジメントシステム内部監査の報告
      1. マネジメントシステム内部監査の報告
      2. 内部監査報告書
      3. 不適合報告書
      4. 是正処置の実施
      5. フォローアップ監査
    12. 12-12 マネジメントシステムのレビュー
      1. マネジメントレビューのねらい
      2. マネジメントレビューの実施時期
      3. マネジメントレビューのインプット
      4. マネジメントレビューのアウトプット
  13. 13.ISO22301の認証審査を受ける
    1. 13-1 ISO22301認証取得のメリット
      1. ISO22301取得によるメリット
      2. 内部管理機能の強化
      3. 顧客や利害関係者への安心感の提供
    2. 13-2 認証審査までのステップ① ISO22301の認証取得を実現するためには
      1. 認証取得に必要なこと
      2. 構築及び運用
      3. 審査の受審
    3. 13-3 認証審査までのステップ② 初回認証審査
      1. 第1段階審査
      2. 第2段階審査
    4. 13-4 認証を維持するためには 維持審査と更新審査
      1. 維持審査
      2. 維持審査の範囲
      3. 更新審査
      4. 更新審査の範囲
  14. 14.BCMS文書文例集
  15. 最期に

1.ISO及びISOマネジメントシステム規格とは

「ISO及びISOマネジメントシステム規格とは」では、主に以下のことが述べられています。

1-1 ISO(国際)規格とは?

  • 国際規格とは、国際的な利用を期待されて発行される規格。
  • 国が国家規格(JIS等)を制定する場合、ISO規格がすでに存在している場合は、これに整合させることが義務付けられている。
  • ISO規格の中で製品や規格ではない組織のマネジメントに関する規格が、ISO22301、ISO9001、ISO14001などのマネジメントシステム。

1-2 ISO(国際標準化機構)とは?

  • ISOは1947年2月23日に発足し、非政府組織で本部はスイスジュネーブにおかれている。
  • ISO発行までのプロセス
    規格が決定すると作業原案であるWD(作業原案)が提案され、その後議論、検討を重ね、CD(委員会原案)、DIS(国際規格原案)、FDIS(最終国際規格案)と修正、追加、削除が繰り返され、投票(75%以上の賛成)、IS(国際規格)となる。

1-3 ISOマネジメントシステム規格とは?

  • 本書のテーマでもあるISO22301をはじめ、ISO9001やISO14001などの各種マネジメント規格が紹介されている。

2.ISO22300シリーズ規格とは

「ISO22300シリーズ規格とは」では、主に以下のことが述べられています。

  • ISO22300発行の過程や用語の定義が述べられている。

3.ISO22301とは

「ISO22301とは」では、主に以下のことが述べられています。

  • 事業継続マネジメントシステムに関する国際規格化は、2001年9月の米国同時多発テロがきっかけになり開始された。
  • ISO22301:2019の構成
    • 箇条4:組織の状況
      組織に適用されるBCMS(事業継続マネジメントシステム)の状況設定のために必要な事項、利害関係のニーズ、法的要求事項及び適用範囲が規定されている。
      • 4.1 組織及びその状況の理解
      • 4.2 利害関係者のニーズ及び期待の理解
      • 4.3 事業継続マネジメントシステムの適用範囲の決定
      • 4.4 事業継続マネジメントシステム
    • 箇条5:リーダーシップ
      BCMSにおけるトップマネジメントの役割に固有の要求事項及び事業継続方針の表明とリーダーシップを通じて、その役割をどのように組織に明確に伝えるかが規定されている。
      • 5.1 リーダーシップ及びコミットメント
      • 5.2 方針
      • 5.3 役割、責任及び権限
    • 箇条6:計画
      BCMS全体の戦略目標及び指針を策定するための要求事項が規定されており、以下の要求事項で構成されている。
      • 6.1 リスク及び機会への取組み
      • 6.2 事業継続目的及びそれを達成するための計画策定
      • 6.3 事業継続マネジメントシステム変更の計画
    • 箇条7:支援
      要求される文書類を文書化し、管理し、維持し、保持しながら、人々の力量、ならびに利害関係者との反復的かつ必要に応じたコミュニケーションを確立することを通じて、BCMSの運用支援について規定されており、以下の要求事項で構成されている。
      • 7.1 資源
      • 7.2 力量
      • 7.3 認識
      • 7.4 コミュニケーション
      • 7.5 文書化した情報
    • 箇条8:運用
      事業継続の必要性を明確にし、それらにどのように取り組むかを決定し、事業の中断・阻害の期間中の組織を管理する手順を構築するための要求事項が規定されており、以下の要求事項で構成されている。
      • 8.1 運用の計画及び管理
      • 8.2 事業影響度分析及びリスクアセスメント
      • 8.3 事業継続戦略及び具体策
      • 8.4 事業継続計画及び手順
      • 8.5 演習プログラム
      • 8.6 事業継続の文書及び能力の評価
    • 箇条9:パフォーマンス評価
      事業継続マネジメントのパフォーマンス、BCMSのこの規格への適合及びマネジメントレビューを実施するために必要な要求事項が規定されており、以下の要求事項で構成されている。
      • 9.1 監視、測定、分析及び評価
      • 9.2 内部監査
      • 9.3 マネジメントレビュー
    • 箇条10:改善
      BCMSのこの規格への不適合を特定し、是正処置によって継続的改善を行うことが規定されており、以下の要求事項で構成されている。
      • 10.1 不適合及び是正処置
      • 10.2 継続的改善

4.規格要求事項を理解する① 4.組織の状況

「規格要求事項を理解する① 4.組織の状況」では、主に以下のことが述べられています。

  • 事業継続マネジメントシステムのPDCAのP(計画)の構成要素で、「4.1組織及びその状況の理解」、「4.2利害関係者のニーズ及び期待の理解」、「4.3事業継続マネジメントシステムの適用範囲の決定」及び「4.4事業継続マネジメントシステム」の4つの項で構成されている。

4.1 組織及びその状況の理解

  • 事業継続マネジメントシステムの意図する成果の一つである、事業の中断・阻害の発生時にも、あらかじめ定めた許容できる能力で、製品及びサービスの提供を継続することを確実にするためには、どのような外部や内部の課題が関連するのか、また、それらの現在の状況はどうなっているのかを整理することが要求されている。
  • 特定された内部の課題
    「4.3事業継続マネジメントシステムの適用範囲の決定」のインプットとなり、適用範囲を決定する上で考慮すべき要素になる。あわせて「6.1リスク及び機会の取組み」のインプットにもなり、取り組む必要があるリスク及び機会を決定する上で考慮すべき要素となる。

4.2 利害関係者のニーズ及び期待の理解

  • 利害関係者の要求事項や法令及び規制要求事項を特定するための要求事項で、「4.2.1一般」と「4.2.2法令及び規制要求事項」の二つの項で構成されている。

4.2.1 一般

  • 事業継続マネジメントシステムに関連する利害関係者を特定すること、それらの利害関係者の事業継続マネジメントシステムに関連する要求事項(ニーズ及び期待)を特定することを要求している。
  • マネジメントシステムを確立する上で出発点となるものであり、この効果的な事業継続マネジメントシステムを確立する上で、考慮すべき利害関係者は誰なのか?またそれらの利害関係者は、当社の事業継続マネジメントシステムに対して、どのような要望や期待、関心を持っているか?を明確にすることを要求している。

4.2.2 法令及び規制の要求事項

  • ①法令及び規制要求事項を特定し、参照し、評価するための仕組みを確立し、導入し、維持すること。②それらの法令、規制、その他の要求事項を考慮し、BCMSを実施し、維持することを確実にすること。③それらの特定した情報を文書化し、最新の状態に保つことを要求している。
  • 法令・規制、その他の要求事項を特定する際は、以下のような要求事項をレビューすることが望ましい。
    • インシデント対応(危機管理及び安全・衛生・厚生の法令を含む)
    • 継続性(BCMSプログラムの適用範囲又は対応の程度若しくはスピードを規定するような要求事項)
    • リスク(リスクマネジメントプログラムの適用範囲や方法を定める要求事項)
    • 危険(所在地に保管されている危険物質に関係する運用上の要求事項)
  • 特定された利害関係者及び法令及び規制要求事項等
    「4.3事業継続マネジメントシステムの適用範囲の決定」のインプットとなり、適用範囲を決定する上で考慮すべき要素となる。「6.1リスク及び機会への取組み」のインプットにもなり、取り組む必要があるリスク及び機会を決定する上で考慮すべき要素となる。

4.3 事業継続マネジメントシステムの適用範囲の決定

  • 組織が確立する事業継続マネジメントシステムの適用範囲を決定するための要求事項であり、4.3.1一般と4.3.2事業継続マネジメントシステムの適用範囲の二つの項で構成されている。

4.3.1 一般

  • 事業継続マネジメントシステムの適用範囲を定めるために、その境界及び適用可能性を決定することを要求している。
  • 適用範囲を決定する際は、特定された内部の課題(4.1組織及び状況の理解)特定された利害関係者の要求事項や法令、規制、その他の要求事項(4.2利害関係者のニーズ及び期待の理解)と組織の任命、到達点(Goal)/目標、ならびに内部、外部の義務事項を考慮することを要求している。
  • BCMSの適用範囲を文書化した情報として利用可能な状態にしておくことも要求している。

4.3.2 事業継続マネジメントシステムの適用範囲

  • 適用範囲を設定する上で、①BCMSに含めるべき、組織の部分を特定すること(組織の所在地)、規模、性質、複雑さを考慮に入れた上で)、②BCMSに含めるべき、製品及びサービスを明確にすることを要求している。
  • 適用範囲で定義すべき事項は以下のものが含まれる。
    • 対象となる事業(製品及びサービス)
    • 対象となるサイト(所在地含む)
    • 対象となる部門やチーム(活動又はプロセス)
  • 適用除外事項がある場合は、文書化し、説明することを要求している。
  • 適用除外事項は事業影響度分析又はリスクアセスメント及び適用される法令又は規制要求事項によって決定された事業を継続する組織の能力及び責任に影響を与えないことが条件。

4.4 事業継続マネジメントシステム

  • ISO22301:2019の要求事項(箇条4〜箇条10)に従って、必要なプロセス及びそれらの相互作用を含む事業継続マネジメントシステムを確立し、実施し、維持し、かつ継続的に改善することを要求している。
    すなわち、自社の特性に応じ、かつISO22301:2019の要求事項に適合した事業継続マネジメントシステムのPDCAサイクルを確立し、運用し、継続的な改善を通じて組織にとって常に最良の状態に維持することを意図している。
  • 事業継続マネジメントシステムのPDCAサイクル
    序文0.3P−D−C−Aでは、組織の事業継続マネジメントシステムを実施、維持及びその有効性を継続的に改善するためにPDCAサイクルを適用することを規定している。
    • PDCAモデルは、以下の主要な要素としている。
      • Plan:組織のニーズならびに事業継続方針及び目的を確立する必要性の理解
      • Do:事業の中断・阻害から組織が生き残ることを確実にするために、プロセス、能力、対応体制の運用及び維持
      • Check:事業継続マネジメントシステムのパフォーマンス及び有効性の監視、レビュー
      • Act:定性的及び定量的な測定に基づく継続的改善

5.規格要求事項を理解する② 5.リーダーシップ

「規格要求事項を理解する② 5.リーダーシップ」では、主に以下のことが述べられています。

  • リーダーシップは事業継続マネジメントシステムにおけるPDCAのP(計画)の構成要素であり、トップマネジメントの役割に関する固有の要求事項と方針の表明を通じて、自身の期待を組織に明確に伝えるための要求事項が規定されている。
    • 事業継続方針及び事業継続目的を確立し、それらが組織の戦略的な方向性と両立することを確実にする。
    • 組織の事業プロセスへの事業継続マネジメントシステム要求事項の統合を確実にする。
    • 事業継続マネジメントシステムに必要な資源が利用可能であること確実にする。
    • 事業継続マネジメントシステムがその意図した成果を達成することを確実にする。

5.2 方針

  • 5.2.1事業継続方針の確立と5.2.2事業継続方針の伝達の二つの項で構成されている。

5.2.1 事業継続方針の確立

  • トップマネジメントが事業継続方針を確立することを要求しており、その内容は以下を満たすことを要求している。
    • 組織の目的に対して適切であること(5.2a))
    • 事業継続目的の設定のための枠組みを示すこと(5.2b))
    • 適用される要求事項を満たすことへのコミットメントを含むこと(5.2c))
    • 事業継続マネジメントシステムの継続的改善へのコミットメントを含むこと(5.2d))

5.2.2 事業継続方針の伝達

  • 事業継続方針は、以下を満たすことを要求している。
    • 文書化した情報として利用可能であること。
    • 組織内に伝達すること。
    • 利害関係者が入手可能であること。

5.3 役割、責任及び権限

  • 事業継続マネジメントシステムにおける役割に対して、責任及び権限をすべての階層に割り当て、自社内に伝達されることを確実にすることを要求している。
  • 事業継続マネジメントシステムに関連するそれぞれの業務について、責任を持つ部門や人を決めることと、それぞれの業務の責任や権限をどの部門が持っているかを、当事者を含む関係者にわかるようにすることを要求している。
  • 事業継続マネジメントシステムに関連する役割を担う部門や担当者には、以下のものが規定されている。
    1. 定常時
      • 事業継続マネジメントシステム推進担当者や推進事務局
      • 事業継続マネジメントシステムの内部監査責任者や内部監査員(チーム)
      • コンプライアンス担当者や法務部などの法令・規制要求事項の管理部門
      • リスクマネジメントに関する担当者や危機管理の主管部門
      • スタッフの職能要件の管理や教育・研修に関する担当者や人事部などの部門
      • 防災計画や立案及び実施に関する役割を持つ人や組織
    2. 非定常時
      • インシデントマネジメントチーム
      • 救急救命班
      • 初期消火班
      • 避難誘導班
      • 事業継続チーム
  • マネジメントにおける特別の役割
    • トップマネジメントが、次のような固有の責任及び権限を割り当てることを要求している。
      • 事業継続マネジメントシステムがISO22301の規格要求事項に適合することを確実にすること(5.3a))
      • 事業継続マネジメントシステムのパフォーマンスを、トップマネジメントに報告をすること(5.3b))

6.規格要求事項を理解する③ 6.計画

「規格要求事項を理解する③ 6.計画」では、主に以下のことが述べられています。

  • 事業継続マネジメントシステムのPDCAのP(計画)の構成要素で、事業継続マネジメントシステム全体の戦略目標及び指針を策定するための要求事項が規定されている。

6.1 リスク及び機会への取組み

  • 事業継続マネジメントシステム(BCMS)の計画を策定する際に、特定された内外部の課題(4.1組織及びその状況理解)と利害関係者からの要求事項(4.2利害関係者のニーズ及び期待の理解)を考慮し、以下のために取り組む必要がある。リスク及び機会を決定することを要求している。
    • BCMSが、その意図した成果を達成できるという確信を与えるため
    • BCMSにおける、望ましくない影響を防止又は低減するため
    • BCMSの継続的改善を達成するため
  • あわせて取り組む必要があると決定されたリスク及び機会については、以下を計画することを要求している(6.1.2)
    • 決定したリスク及び機会への取組み
    • その取組みのBCMSプロセスへ統合する方法及び実施する方法(①)
    • その取組みの有効性を評価する方法(②)
      • ①は「箇条8運用」、「8.1運用の計画及び管理」に引き継がれる。
      • ②は「箇条9パフォーマンス評価」、「9.1監視、測定、分析及び評価」に引き継がれる。
    • リスク及び機会は、事業継続マネジメントシステムの有効性に係るものであり、事業の中断・阻害に関わるリスクは「箇条8運用」、「8.2事業影響度分析及びリスクアセスメント」で取り扱われる。

6.2 事業継続目的及びそれを達成するための計画の策定

  • 事業継続マネジメントシステムの関連する機能及び階層で以下を満たした事業継続目的を確立することを要求しており、また、それらを文書化した情報を保持することを要求している。
    • 事業継続方針と整合していること(6.2.1a))
    • (実行可能な場合)達成度が測定可能であること。(6.2.1b))
    • 適用される要求事項を考慮に入れること(6.2.1.c))
    • 達成度や進捗状況などを監視すること(6.2.1.d))
    • 関連するスタッフなどに伝達すること(6.2.1.e))
    • 必要に応じて更新すること(6.2.1.f))
  • 事業継続目的をどのように達成するかについて計画するときに、以下に関する事項を決定することを要求している。
    • 事業継続目的を達成するための実施事項(6.2.2.a))
    • 事業継続目的を達成するために必要な資源(6.2.2.b))
    • 事業継続目的を達成するための役割を担う責任者(6.2.2.c))
    • 事業継続目的を達成するための実施事項の達成期限(6.2.2.d))
    • 事業継続目的の実施結果の評価方法(6.2.2.e))
  • ISO22301:2019では、この事業継続目的を管理するためのPDCAサイクルが存在しており、その目標管理のPDCAの計画(P)に関する規格要求事項は、この要求事項である「6.2事業継続目的及びそれを達成するための計画の策定」が該当する。
    目標管理のPDCAの実行(D)に該当する規格要求事項が、8運用の「8.1運用の計画及び管理」に該当する。
    目標管理のPDCAの確認(C)に該当する規格要求事項は、9パフォーマンス評価の「9.1監視、測定、分析及び評価」が該当する。
    目標管理のPDCAの見直し(A)に関連する規格要求事項が10改善の「10.2不適合及び是正処置」に該当する。

6.3 事業継続マネジメントシステム変更の計画

  • 箇条10改善で特定したものを含め、事業継続マネジメントシステムの変更の必要性を決定したときは、その変更を計画的は方法で行うことを要求しており、以下の事項を考慮することを要求している。
    • 変更の目的、及び変更によって起こり得る結果を考慮すること(6.3a))
    • 事業継続マネジメントシステムの”完全に整っている状態”(integrity)を考慮すること(6.3b))
    • 資源の利用可能性を考慮すること(6.3c))
    • 責任及び権限の割当又は再割当を考慮すること(6.3d))
  • 変更したものに移行する際、いきなり変更後の新しいものに移行すると混乱や不具合の発生が予想される。そのため事前の準備や移行期間を持たせるなどの配慮が必要となる。(6.3b))
    例えば、変更前の事前の教育やテスト、役割変更などであれば、その引継ぎ期間を持たせることが考えられる。
  • ISO22301:2019では、変更に関連する要求事項が、以下のように二つに規定されている。
    • 6.3 事業継続マネジメントシステム変更の計画
    • 8.1 運用の計画及び管理

7.規格要求事項を理解する④ 7.支援

「規格要求事項を理解する④ 7.支援」では、主に以下のことが述べられています。

  • 事業継続マネジメントシステムにおけるPDCAの計画(P)の構成要素であり、要求される文書類を文書化し、管理し、維持し、保持しながら、人々の力量、ならびに利害関係者との反復的かつ必要に応じてコミュニケーションを確立することを通じて、BCMSの運用と支援のための要求事項が規定されている。

7.1 事業継続マネジメントシステム変更の計画

  • 事業継続マネジメントシステムの確立、実施、維持及び継続的改善に必要な資源を決定し、提供することを要求している。
    すなわち、事業継続マネジメントシステムのPDCAを回すために必要な人、もの、金、方法論などを明確にして提供することを指している。
  • 事業継続マネジメントシステムに必要な資源
    事業継続マネジメントシステムに必要な資源には、以下が含まれる。
    • 代替え要員を含む、人員及び人員関連の資源(定常時には、事業継続マネジメントシステムを維持管理する。非定常時には、インシデントへの対応、事業継続などを担う。)
    • 代替サイトを含む、施設(適切な作業環境やインフラストラクチャー、ユーティリティを含む)
    • 代替設備を含む、設備や装置(適切な維持管理やユーティリティの確保を含む)
    • 資機材や原材料(非定常時の際の保護、保管、取得に関する手順を含む)
    • 情報技術(テレワークなどのインフラストラクチャーを含む)
    • 技術(プログラムの管理を支援するアプリケーションを含む)
    • 情報や技術(コンタクトリスト、BCP(事業継続計画)、在庫表、作業要領書など)
  • 事業継続マネジメントシステムで準備する資源には、定常時のみならず、非定常時に使用する資源及びその維持管理が含まれる。

7.2 力量

  • 事業継続パフォーマンスに影響を与える要員に必要な力量を決定すること(7.2a))、要員が適切な教育、訓練又は経験に基づいて、力量を満たしていることを確実にすること(7.2b))、該当する場合には、必ず、必要な力量を維持するための処置をとり、その処置の有効性を評価すること(7.2c))、力量の証拠として、適切な文書化した情報を保持すること(7.2d))を要求している。すなわち力量マネジメントのPDCAの仕組みを講じることを要求している。
  • 力量マネジメントのPDCAの仕組み
    • 力量マネジメントの計画(P)にあたるプロセスは、事業継続マネジメントシステムにおける各職務の役割や業務を規定した「職務定義書」の作成。これは箇条5リーダーシップの「5.3役割、責任及び権限」にあたる。
      あわせてその「職務定義書」に基づいた「職務要件表」の作成。職務要件のベースは、事業継続マネジメントシステムに関連する役割にあり、その役割や責任及び権限が規定されたものが「職務定義書」となる。
      この二つは常に整合を図ることが重要であり、「職務定義書」の改訂時は、「職務要件表」の見直しを行うタイミングとなる。
    • 力量マネジメントの実行(D)にあたるプロセスは、「職務要件表」に基づいた力量分析の実施で、この力量分析は、新しい要員が職務に就く前や「職務定義書」の改訂に伴う職務要件の変更時、定期的に実施される。
      あわせて力量が不足していると判断された場合の処置の実施もこの実行(D)プロセス。例えば、教育・訓練の提供、もしくは配置転換又は力量のある要員の新規雇用もしくは契約。
    • 力量マネジメントの確認(C)と見直し(A)にあたるプロセスは、とった処置の有効性の評価。
      教育や訓練を実施することは手段であり、目的ではない。受講した要員が当初に目的としていた必要な力量を満たすことが教育や訓練を提供する目的で、その効果測定を行うことが重要。

7.3 認識

  • 要員や関連する外部の要員に、事業継続マネジメントシステムの鍵となる事項についての認識を持たせることを要求している。
  • その認識の対象として以下を挙げている。
    • 自社の事業継続方針(7.3a))
    • 事業継続パフォーマンスの向上によって得られる便益を含む、事業継続マネジメントシステムの有効性に対する自らの貢献(7.3b))
    • 事業継続マネジメントシステム要求事項に適合しないことの意味(7.3c))
    • 事業の中断・阻害の発生前、発生後の自らの役割及び責任(7.3d))
  • 認識される意図
    この認識向上の目的は、最終的に自社の文化に事業継続マネジメントシステムを組み込むこと(組織の基本的価値観及び経営の一部にすること)にあり、事業継続のための取組みを、自社の日常業務に取り込み、事業継続マネジメントシステムを自社に根付かせるためのものである。
    せっかく素晴らしい事業継続マネジメントシステムの仕組みを構築しても、それを実行する要員や関連する外部要員が、その重要性や必要性を認識していなければ、絵に描いた餅になる。
    したがって、組織の事業継続マネジメントシステムの成否を左右する重要な要素は、組織の事業継続マネジメント文化の醸成であり、その根源は要員の事業継続マネジメントに関する認識レベルであると考えられる。

7.4 コミュニケーション

  • 事業継続マネジメントシステムの関連する内部及び外部のコミュニケーションの仕組みを確立することを要求している。
  • そのコミュニケーションを含む項目として、以下を挙げている。
    • 伝達する内容(7.4a))
    • コミュニケーションの実施時期(7.4b))
    • コミュニケーションの方法(7.4c))
    • コミュニケーションを行う人(7.4e))
  • コミュニケーションの内容
    コミュニケーションの対象は、定常時のコミュニケーションと非定常時のコミュニケーションが考えられる。
  • 定常時のコミュニケーションには、以下のようなものが期待される。
    • ニーズの期待の把握を含む、利害関係者のコミュニケーション
    • 適用法令の取得や改廃の確認
    • 事業継続方針の内部への伝達や外部への公開
    • 役割、責任及び権限の伝達
    • BCMSの変更の伝達
    • 各計画の伝達(教育計画、演習計画、監査計画 など)
  • 非定常時のコミュニケーションは、「8.4.3警告及びコミュニケーション」に規定されている。

7.5 文書化した情報

  • 事業継続マネジメントシステムにおける文書及び記録の管理に関する要求事項が規定されている。

7.5.1 一般

  • 事業継続マネジメントシステムにおける管理対象の文書化した情報には、以下を含むことを要求している。
    1. ISO22301:2019で要求されている文書化した情報
    2. 事業継続マネジメントシステムの有効性のために必要であると組織が決定した文書化した情報
      • ”1”には「4.2.2法令及び規制の要求事項」、「4.3.1一般」、「4.3.2事業継続マネジメントシステムの適用範囲」、「5.2.2事業継続方針の伝達」、「6.2.1事業継続目的の設定」、「7.2力量」、「8.1運用の計画及び管理」、「8.4.1一般」、「8.4.3警告及びコミュニケーション」、「8.4.4事業継続計画」、「8.4.5復旧」、「9.1監視,測定,分析及び評価」、「9.2.2監査プログラム」、「9.3.3マネジメントレビューのアウトプット」、「10.1不適合及び是正処置」が含まれる。

7.5.2 作成及び更新

  • 文書化した情報を作成、更新する際は、以下のことを確実にすることを要求している。
    1. 適切な識別及び記述
    2. 適切な形式や媒体の使用
    3. 適切性及び妥当性のためのレビュー及び承認 
      • 識別及び、記述の例として、タイトル、日付、作成者、参照番号がある。
      • 適切な形式の利用の例として、言語、ソフトウェアのバージョン、図表、また適切な媒体(メディア)の例として、紙媒体、電子媒体を挙げている。

7.5.3 文書化した情報の管理

  • 事業継続マネジメントシステム及びISO22301:2019で要求されている文書化した情報を管理することを要求しており、以下のことを要求している。
    1. 文書化した情報が必要なときに、必要なところで、入手可能かつ利用に適した状態であること。
    2. 文書化した情報が十分に保護されていること(例えば、機密性の喪失、不適切な使用及び完全性の喪失からの保護)
  • 文書化した情報の管理にあたり、該当する場合は、以下を確実にすることを要求している。
    • 配布、アクセス、検索及び利用
    • 読みやすさが保たれることを含む保管及び保存
    • 変更の管理(例えば、版の管理)
    • 保持及び廃棄
  • 識別、管理することも要求している。

8.規格要求事項を理解する⑤ 8.運用

「規格要求事項を理解する⑤ 8.運用」では、主に以下のことが述べられています。

  • 事業継続マネジメントシステムのPDCAの計画(D)の構成要素であり、事業継続の必要性を明確にし、それらをどのように取り組むかを決定し、事業の中断・阻害の期間中の組織を管理する手順を構築するための要求事項が規定されている。

8.1 運用の計画及び管理

  • 以下に示す事項の実施によって、事業継続マネジメントシステム要求事項を満たすため及び箇条6.1で決定した取組みを実施するために必要なプロセスを計画し、実施し、管理し、かつ維持することを要求している。
    • プロセスに関する基準の設定(8.1a))
    • その基準に従った、プロセスの管理の実施(8.1b))
    • プロセスが計画どおりに実施されたという確信を持つために必要な程度の文書化した情報の保持(8.1c))
  • 箇条6.1で決定した取組みとは、事業継続マネジメントシステムの有効性に関わるリスク及び機会への取組みを指す。
  • 変更管理と外部委託したプロセスの管理
    • 変更の管理と外部委託したプロセスの管理に関しても要求している。
    • 変更の管理では、「6.3事業継続マネジメントシステム変更の計画」で立案した変更計画を管理し、変更を実装することを求めている。
    • 計画外の変更(意図しない変更)があった場合には、その変更によって生じた結果をレビューし、有害な影響を軽減する処置をとることを求めている。
    • 自社が外部委託したプロセスとサプライチェーンについても管理することを要求している。

8.2 事業影響度分析及びリスクアセスメント

  • 優先事業活動を確立し、保護するための影響度分析(BIA)とリスクアセスメント(RA)に関する要求事項が規定されている。

8.2.1 一般

  • 事業影響度分析とリスクアセスメントに関する共通事項として、
    1. 事業影響度分析とリスクアセスメントのための体系的なプロセスを実施し、維持すること。
    2. あらかじめ定められた感覚で、及び組織内または組織を取り巻く著しい変化、変更がある場合に、事業影響度分析及びリスクアセスメントをレビューすることを要求している。
  • したがって、”1”が仕組みの確立、”2”が仕組み及び結果の見直しに関することを指している。
  • 注記では、事業影響度分析とリスクアセスメントを実施する順序を組織が決めることを言及している。

8.2.2 事業影響度分析

  • 事業継続の優先順位付け及び要求事項を決定するため、事業影響度分析のプロセスを利用すること。
  • 事業影響度分析プロセスでは、以下のことを要求している。
    1. 組織の状況に相応した影響の種類及び基準を定めること
    2. 製品及びサービスの提供を支援する活動を特定すること
    3. ”2”で特定した業務の中断・阻害が引き起こす経時的影響を評価するために、”1”で定めた影響の種類及び基準を利用すること
    4. 活動を再開しないことによる影響が、組織にとって許容できなくなるまでの時間枠を特定すること
    5. 中断・阻害された活動を、規定された最低限の許容できるレベルで再開するまでの優先すべき時間枠を、”4”で明確にした時間内に設定すること
    6. 優先事業活動を決定するために、事業影響度分析を利用すること
    7. 優先事業活動を支援するため必要な資源を決定すること
    8. パートナー及びサプライヤーなどの依存関係、及び優先事業活動の相互依存関係を決定すること

      ”1”で評価基準を設定し、
      ”2”で活動や仕事の棚卸しを行い、
      ”3”で各活動や仕事が中断した際に、時間の経過と共にどのような影響があるのかを評価する(”1”の評価基準を使用)
      ”4”で最大許容停止時間(MTPD)を特定し、
      ”5”で目標復旧時間(RTO)を設定し、
      ”6”で優先事業活動を決定する
      ”7”でその優先事業活動に必要な資源を明確にし、
      ”8”で外部依存関係や優先事業活動の相互依存関係を明確にする。
      これらの情報は、次のプロセスのリスクアセスメントプロセスに引き渡される。
  • 製品やサービスの提供を支える業務(活動)が中断した際に、時間の経過とともにどのような影響があるかを評価し、製品やサービスの提供を支える業務(活動)の復旧の優先順位に応じて分類し、優先事業活動を特定することを指している。

8.2.3 リスクアセスメント

  • 優先事業活動及びそれを支える資源に対するリスクアセスメントを実施することを要求しており、以下のことを要求している。
    1. 組織の優先事業活動及びそれらの必要とする資源に対する、事業の中断・阻害のリスクを特定すること
    2. 特定されたリスクを分析及び評価すること
    3. 対応を必要とするリスクを決定すること
      • ”1”がリスクの特定に該当し、優先事業活動及びそれを支える資源に対してどのような中断・阻害の脅威があるのか、また脅威を発生させないための対策の状況はどうなっているのかを明確にすることを指している。
      • ”2”のリスクの分析とは、”1”で特定された脅威の影響の大きさや発生の可能性、原状の対策レベルを考慮し、リスクの大きさを明確にすることを指している。
        ”2”のリスク評価とは、リスク分析で算出されたリスク値を、自社で定めたリスク受容基準と比較し、リスク対応の必要性を明確にすることを指している。
      • リスク評価の結果に基づき、”3”で対応を必要とするリスクが決定され、後述する「8.3.2戦略及び具体策の特定」で、リスク対策が決定される。

8.3 事業継続戦略及び具体策

  • 事業影響度分析(BIA)とリスクアセスメント(RA)に基づき決定される、事業継続の戦略及び具体策に関する要求事項が規定されている。

8.3.1 一般

  • 事業継続戦略に関する基本要件を規定しており、以下のことを要求している。
    • 事業影響度分析及びリスクアセスメントからのアウトプットに基づくこと
    • 事業の中断・阻害の発生前、発生中、発生後の選択肢を考慮した戦略を特定し、選択すること。
    • 戦略は、一つ又は複数の具体策で構成すること。

8.3.2 戦略及び具体策の特定

  • 事業継続戦略及び具体策を特定することを要求しており、その対象は以下の通り。
    1. 特定した時間枠で、かつ合意されたレベルの範囲内で、優先事業活動を復旧し、継続するための要求事項を満たすこと
    2. 優先事業活動を保護すること
    3. 事業の中断・阻害の発生の起こりやすさを低減すること
    4. 事業の中断・阻害の時間を短縮すること
    5. 事業の中断・阻害が組織の重要な製品及びサービスに及ぼす損害の大きさを抑制すること
    6. 適切な資源の可用性を提供すること
      • ”1”が事業継続計画(BCP)に関する戦略的及び具体策であり、
        ”2~5”が事前防災や初期初動対応を含む、リスク対応に関する戦略及び具体策となる。
        ”3”は発生可能性の低減であり、
        ”4”は発生した場合の時間の短縮
        ”5”は発生した場合の影響の限定化になる

8.3.3 戦略及び具体策の選択

  • 事業継続戦略及び具体策を選択する際の考慮事項等を規定しており、その項目は以下の通り。
    1. 特定した時間枠で、かつ合意されたレベルの範囲内で優先事業活動を復旧し、継続するための要求事項を満たすこと
    2. リスクの量及び種類を考慮すること(組織が受けるか又は受けないかもしれないリスク)
    3. 関連する費用及び便益を考慮すること

8.3.4 資源に関する要求事項

  • 選択した事業継続の具体策を実施するために、資源に関する要求事項を決定することを要求しており、考慮すべき資源として以下の事項を含むが、これらに限定するものではないとしている。
    2. 情報及びデータ
    3. 建物、職場その他の施設などの物理的インフラストラクチャー及び関連ユーティリティ
    4. 設備及び消耗品
    5. 情報通信技術(ICT)システム
    6. 輸送手段及び物流
    7. 資金
    8. パートナー及びサプライヤー

8.3.5 具体策の実施

  • 必要な時に発動ができるように、選択した事業継続の具体策を実施及び維持することを要求している。

8.4 事業継続計画及び手順

  • 事業継続戦略に基づき策定される体制や計画、手順に関する要求事項が規定されている。

8.4.1 一般

  • 事業継続計画及び手順に関する基本要件を規定しており、以下のことを要求している。
    • 関連する利害関係者への時宜を得た警告及びコミュニケーションの発信を可能とする対応体制の確立と維持
    • 計画及び手順の事業継続の具体策を実行に移す必要が生じたときの利用
  • 事業継続計画及び手順の特定及び文書化
    • 事業継続戦略の結果に基づき、事業継続計画及び手順を特定し、文書化することを要求している。
      その内容は以下のとおり。
      1. 具体的であること(事業の中断・阻害時に取るべき緊急処置について)
      2. 柔軟性があること(変化する事業の中断・阻害の内外の状態に対応することについて)
      3. インシデントの影響に焦点を当てること(事業の中断・阻害を引き起こす可能性があるインシデント)
      4. 効果的であること(適切な具体策の実施によって、その影響を最小化する上で)
      5. それらの中で、任務(業務)に関わる役割及び責任を割り当てること

8.4.2 対応体制

  • 事業の中断・阻害を担当する体制に関する要求事項を規定しており、以下のことを要求している。
    • 事業の中断・阻害への対応を担当するチーム(一つ又は複数)を明確にした体制の導入及び維持(8.4.2.1)
    • 各チームの役割及び責任とチーム間の関係の明確化(8.4.2.2)
    • チーム(複数)がその集合体として、全体に備える事項(8.4.2.3)
    • 各チームに必要な事項(8.4.2.4)
      • チームが全体的に備えるべき事項(8.4.2.3)
        1. 事業の中断・阻害及びその潜在的な影響の性質(特徴)及び程度を評価すること
        2. 正式な対応の発動の正当な根拠を示すものとして、あらかじめ定めた基準に照らして影響を評価すること
        3. 適切な事業継続対応を発動すること
        4. 講じる必要のある取組みを計画すること
        5. 優先順位を確立すること(人命の安全を最優先にして)
        6. 事業の中断・阻害の影響及び組織の対応状況を監視すること
        7. 事業規模の具体策を発動すること
        8. 関連する利害関係者、関係当局及びメディアとのコミュニケーションをとること
          • ”1”が初期評価(何が起こったのか、何がどの位影響を)受けたのか
            ”2”が発動するか否かのインシデントや中断・阻害の影響評評価となる
            ”3”は”2”の情報に基づいたインシデントマネジメントプラン(IMP)の発動
            ”4”は”3”の発動に基づいた必要な取組みの明確化となる
            ”5”は”4”の取組みの優先順位付けになる
            ”6”は取組み状況と中断・阻害の影響の監視となる
            ”7”は”6”の監視結果に応じた事業継続計画(BCP)の発動となる
            ”8”は関係者とのコミュニケーションとなる
      • 各チームに必要な事項(8.4.2.4)
        1. 指定された役割を遂行するために必要な責任、権限及び力量を備えた、指名された要員及びその代理要員
        2. 対応の発動、運用、調整及びコミュニケーションに関わるものを含む、チーム構成員の取組みを導く、文書化された手順
          なお、”2”が事業継続計画(BCP)となる。

8.4.3 警告及びコミュニケーション

  • 有事の際のコミュニケーションに関する要求事項を規定しており、手順を文書化することを求めている。(8.4.3.1)
    その内容は以下のことが含まれる。
    1. 内部コミュニケーション(内容、実施時期、対象者及び方法を含む)と外部コミュニケーション(関連する利害関係者との)
    2. 利害関係者からのコミュニケーションの受理、文書化及び対応(国若しくは地域の災害情報提供システム又は同等のシステムを含む)
    3. 事業の中断・阻害時の通信手段の確保
    4. 緊急事態対応機関との組織化されたコミュニケーションの促進
    5. インシデント発生後の組織によるメディア対応の詳細の提供(コミュニケーション戦略を含む)
    6. 事業の中断・阻害、講じた処置、及び決定事項の詳細の記録
      • なお、”1”の内部コミュニケーションには、インシデントが発生した際の従業員の安否確認などが含まれる。
  • 該当する場合に含む事項(8.4.3.2)
    • 規格要求事項では、該当する場合には、必ず以下のことを実施することを要求している。
      1. 実際に発生した、又は発生が迫っている事業の中断・阻害によって影響を受ける可能性がある利害関係者への警報を発信すること
      2. 複数の(緊急事態)対応組織の間の適切な調整及びコミュニケーションを確保することも考慮し、実施すること
    • あわせて警告及びコミュニケーションの手順を、演習プログラムの一環として、演習を実施すること要求している。

8.4.4 事業継続計画

  • 事業継続計画に関する要求事項を規定しており、以下のことを要求している。
    • 事業継続計画及び手順の文書化及び維持(8.4.4.1)
    • 事業継続計画の目的(チームによる事業の中断・阻害への対応を助け、組織による対応及び復旧を助ける手引き及び情報の提供)(8.4.4.1)
    • 事業継続計画(複数)にその集合体として、全体的に含める事項(8.4.4.2)
    • 各事業継続計画に含める事項(8.4.4.3)
      • 全体的に含める事項(8.4.4.2)
        規格要求事項では以下のことを含めることを要求している。
        1. チームが講じる処置の詳細
          • 優先事業活動の継続又はあらかじめ定めた時間枠内での復旧
          • 事業の中断・阻害の影響及びそれに対する組織の対応の監視
        2. 対応の発動に関してあらかじめ定めた基準及びプロセスの参照
        3. 合意したレベルで製品及びサービスを提供することを可能にする手順
        4. 事業の中断・阻害の直接的影響に対するための詳細
          • 個人の福祉
          • 波及する損害又は優先事業活動が実施できなくなることの防止
          • 環境への影響に対してしかるべき留意を払う
            • 事業継続の活動に照らすと
              ”1”が代替サイトへの移送を含む復旧活動
              ”3”が代替サイトなどでの継続的活動
      • 各事業継続計画に含める事項(8.4.4.3)
        規格要求事項では以下のことを含めることを要求している。
        1. 目的及び適用範囲ならびに達成目標
        2. 計画を実施するチームの役割及び責任
        3. 具体策を実施するための取組み
        4. チームの取組みの発動(発動基準を含む)、運用、調整及びコミュニケーションに必要な支援情報
        5. 内部及び外部の相互依存
        6. 資源に関する要求事項
        7. 報告に関する要求事項
        8. 収束(解除)のプロセス
  • 事業継続計画(BCP)の可用性の確保
    • 規格要求事項では、各事業継続計画(BCP)を必要な時と場所で、使用可能かつ利用可能な状態にすることを要求している。
    • メインサイトが被災した場合でも。事業継続計画(BCP)が利用できるように代替サイトにも保管しておくことやクラウドベースのシステム上に保管しておくなどの処置を講じ、どのような状況下でも、事業継続計画(BCP)が使用できるようにすることを要求している。

8.4.5 回復

  • 事業の回復計画に関する要求事項を規定しており、事業の中断・阻害の発生時及び発生後に採択されていた暫定的な対応から、事業活動を回復し、原状復帰するための文書化されたプロセスを備えることを要求している。
    すなわち代替サイトなどによる事業継続状態から、メインサイトでの通常業務に戻すための回復のための活動を指す。
    この回復のための活動は、通常はインシデントの終息が確認された時点で事業継続計画(BCP)による事業継続活動と並行して行われ、破損した設備等の修理やサイト(施設)の修繕、ならびに保険金の回収などが行われる。
    この回復のための活動に関する手順は、事業回復計画(BRP)と呼ばれる。

8.5 演習プログラム

  • 策定した事業継続計画(BCP)を含む、体制や計画及び手順の実効性を検証するための演習に関する要求事項が規定されている。
  • 規格要求事項では、策定した自社の事業継続戦略及び具体策の有効性が継続されているかを確認するために、演習及び試験のプログラムを実施し、維持することを要求している。
  • 演習や試験では、以下のことを要求している。
    1. 自社の事業継続目的と整合していること
    2. 明確に定められた狙いと達成目標をもって、周到に計画された適切なシナリオに基づいていること
    3. 事業の中断・阻害に関連して遂行すべき役割を持つ人々のチームワーク、力量、自身及び知識を育成すること
    4. 自社の事業継続戦略及び具体策について、長期にわたる妥当性を確認すること
    5. 結果や成果、提言及び改善を実施するための処置を盛り込んだ、正式な演習実施報告書を作成すること
    6. 継続的改善を促進する観点からレビューすること
    7. あらかじめ定められた間隔で、及び組織内又は組織が活動する状況に大きな変化があった場合に実施すること
  • あわせて変更及び改善を実施するために、演習及び試験の実施結果を受けて対応をとることを要求している。
  • 演習と訓練の違い
    • 訓練の目的は、事業継続戦略及び具体策に携わる要員に対して、それらの計画や手順を理解させることや実際にやるべき活動を習得させること、実施するための力量をもたせること。
    • 演習の役割は、有事の際を想定し、策定された事業継続戦略及び具体策が有効に機能するのか?を確認すること。
      すなわち実効性を検証すること。

8.6 事業継続の文書及び能力の評価

  • 策定した事業継続計画(BCP)を含む体制や計画及び手順の評価に関する要求事項が規定されている。
  • 要求事項では以下のことを要求している。
    1. 事業影響度分析、リスクアセスメント、戦略、具体策、計画及び手順の適正性、妥当性及び有効性を評価すること
    2. レビュー、分析、演習、試験、インシデントの発生後の報告書及びパフォーマンス評価を通じて評価すること。
    3. 関連するパートナー及びサプライヤーの事業継続能力を評価すること
    4. 適用される法令・規制要求事項の順守、業界のベストプラクティスとの適合、ならびに組織の事業継続方針及び目的との適合を評価すること
    5. 文書及び手順を適時更新すること
      • ”1”が評価の対象(事業継続マネジメント)
        ”2”が評価方法
        ”3”が評価対象(外部の関係者)
        ”4”が評価対象(事業継続マネジメントシステム)
        ”5”が評価後のアクション
  • これらの評価は、あらかじめ定められた間隔で、インシデント又は対応の発動後、又は大きな変更があった場合にも実施することを求めている。

9.規格要求事項を理解する⑥ 9.パフォーマンス評価、10.改善

「規格要求事項を理解する⑥ 9.パフォーマンス評価、10.改善」では、主に以下のことが述べられています。

9. 事業継続の文書及び能力の評価

  • 事業継続マネジメントのパフォーマンス、事業継続マネジメントシステムのISO22301:2019への適合、及びマネジメントレビューを実施するために必要な要求事項が規定されている。

9.1 監視、測定、分析及び評価

  • 規格要求事項では、以下のことを決定するを要求している。
    • 監視及び測定が必要な対策
    • 該当する場合は、必ず妥当な結果を確実にするための、監視、測定、分析及び評価の方法
    • 監視及び測定の実施時期ならびに実施者
    • 監視及び測定の結果の分析及び評価の時期ならびに実施担当者
  • 事業継続マネジメントシステムが意図したように実施され、期待した成果が出ているか、また改善を必要としているものはないかを確認するための活動を実施することを要求している。
    • 誰が、いつ、何を、どのようにチェック(監視・測定)すべきか?そのチェック結果を誰が、いつ、どのように集計し、特性を導き出し(分析)、結果を出すのか(評価)?を明確にすることを指している。
  • あわせて規格要求事項では、以下のことを要求している。
    • 監視、測定、分析及び評価を証拠として、文書化した情報を保持すること
    • 監視、測定、分析及び評価の活動を通じて、事業継続マネジメントシステムのパフォーマンスを評価すること
    • 監視、測定、分析及び評価の活動を通じて、事業継続マネジメントシステムのパフォーマンスの有効性を評価すること

9.2 内部監査

  • 事業継続マネジメントシステムの内部監査に関する要求事項を規定されている。

9.2.1 一般(内部監査の目的と頻度)

  • 内部監査の目的については、以下のことを確認すること要求している。
    1. 構築した事業継続マネジメントシステムが自社が規定した要求事項に適合しているか
    2. 構築した事業継続マネジメントシステムがISO22301:2019の規格要求事項に適合しているか
    3. 構築した事業継続マネジメントシステムが有効に実施され、維持されているかを確認すること
      • ”1”と”2”が体制面の適合性の判定にあたり、”3”が運用面の適合性の判定にあたる。
  • 内部監査は、自社でその必要な間隔を定め、実施することが必要。

9.2.2 監査プログラム(内部監査プログラムに関する基本要件)

  • 規格要求事項では、以下のことを要求している。
    1. 頻度、方法、責任、計画に関する要求事項及び報告を含む、監査プログラムを計画し、確立し、実施し、維持すること。
    2. 監査プログラムを確立するときは、関連するプロセスの重要性と前回までの監査の結果を考慮に入れること。
    3. 各監査について、監査基準及び監査範囲を明確にすること
      • 監査基準とはh、ISO22301:2019の要求事項や関連する法令・規制要求事項、自社のBCMSの計画や手順が含まれる。
        また、監査範囲とは、監査を実施する監査対象部門や監査対象プロセスが含まれる。
  • 内部監査実施及び報告に関する基本要件
    規格要求事項では、以下のことを要求している。
    1. 監査プロセスの客観性と公平性を確保するために、監査員を選定して監査を実施すること
    2. 監査の結果を関連する管理層に報告することを確実にすること
    3. 監査プログラムの実施及び監査結果の証拠として文書化した情報を保持すること
    4. 検出した不適合及びその原因を排除するために、必要な是正処置が不当に遅延することなく実施されることを確実にすること
    5. フォローアップ監査の活動には、実施された処置の検証及び検証結果の報告を含むことを確実にすること
      • 監査結果の証拠として期待される文書化した情報には、「内部監査計画書」、「内部監査チェックリスト」、「内部監査報告書」、「不適合報告書」などが考えられる。

9.3 マネジメントレビュー

  • トップマネジメントのマネジメントレビューに関する要求事項を規定している。

9.3.1 一般

  • マネジメントレビューの目的を規定しており、トップマネジメントは、自社のBCMSが引き続き適切、妥当かつ有効であることを確実にするために、あらかじめ定めた間隔でBCMSをレビューすることを要求している。

9.3.2 マネジメントレビューへのインプット

  • 以下のことを考慮することを要求している。
    1. 前回のマネジメントレビューの結果とった処置の状況
    2. BCMSに関連する外部及び内部の課題の変化
    3. 次の傾向を含めたBCMSのパフォーマンスに関する情報
      • 不適合及び是正処置
      • 監視及び測定の結果
      • 監査結果
    4. 利害関係者からのフィードバック
    5. 方針と目的を含む、BCMSの変更の必要性
    6. BCMSのパフォーマンス及び有効性の改善に組織内で利用できる手順及び資源
    7. 事業影響度分析及びリスクアセスメントからの情報
    8. 事業継続の文書及び能力の評価からのアウトプット
    9. 過去のいずれかのリスクアjセスメントでも適切に対処していなかったリスク及び課題
    10. ニアミス及び事業の中断・阻害から学んだ教訓及び実施した処置
    11. 継続的改善の機会

9.3.3 マネジメントレビューのアウトプット

  • 規格要求事項の9.3.3.1では、マネジメントレビューからのアウトプットには、継続的改善の機会に関する決定及びBCMSの有効性を改善するためのあらゆる文書の必要性を含むことを要求している。
    また以下も含めることを要求している。
    1. BCMSの適用範囲の変更
    2. 事業影響度分析、リスクアセスメント、事業継続の戦略及び具体策、事業継続計画の更新
    3. BCMSに影響する可能性がある内部及び外部の課題に対応するための手順及び管理策の修正
    4. 管理策の有効性の測定方法
  • 規格要求事項の9.3.3.2では、以下のことを要求している。
    1. マネジメントレビューの実施結果の証拠として、文書化した情報を保持すること
    2. マネジメントレビューの実施結果を関連する利害関係者に伝達すること
    3. それらの実施結果に関わる適切な処置を講じること

10. 改善

  • 事業継続マネジメントシステムのISO22301:2019の規格要求事項への不適合を特定し、是正処置によって、継続的改善を行うための要求事項が規定されている。

10.1 不適合及び是正処置

  • 事業継続マネジメントシステムにおける不適合への対応と不適合の再発防止を確実にするための、修正(処置)と是正処置に関する要求事項を規定している。
  • 規格要求事項では、事業継続マネジメントシステムの意図した成果を達成するために、改善の機会を決定し、必要な処置を実施することを要求している。(10.1.1)
  • 修正の実施(10.1.2a))
    以下のことを要求している。
    1. 不適合を管理し、修正するための処置をとること
    2. その不適合によって起こった結果に対処すること
      • ”1”は応急処置(修正する処置)を講じることを指す。
        ”2”は不適合における問題が拡大しないように管理することを指す。
  • 是正処置の実施(10.1.2b)~e))
    • 規格要求事項では、不適合が再発又は他のところで発生しないようにするために、不適合の原因を除去するための処置をとる必要性を評価することを要求している。
    • その活動は、以下のことを要求している。(b))
      1. 不適合をレビューすること
      2. 不適合の原因を特定すること
      3. 類似の不適合の有無、又はそれが発生する可能性を明確することとしている。
    • 次に以下のことを要求している。
      • 必要な処置を実施すること(c))
      • 実施したすべての是正処置の有効性をレビューすること(d))
      • 必要に応じて、事業継続マネジメントシステムを変更すること(e))
  • 文書化した情報の保持(10.1.3)
    規格要求事項では、以下について文書化して維持することを要求している。
    1. 不適合の性質及び取った処置
    2. 是正処置の結果
      • ”1”が修正処置の記録
        ”2”が是正処置の記録

10.2 継続的改善

  • 規格要求事項では、以下ことを考慮することを要求している。
    1. 事業継続マネジメントシステムの適切性、妥当性及び有効性を継続的に改善すること
    2. 継続的改善の一環として取り組まなければならない必要性又は機会があったかどうかを明確にするために、分析及び評価の結果ならびにマネジメントレビューからのアウトプット

10.事業継続マネジメントシステムを構築する

「事業継続マネジメントシステムを構築する」では、主に以下のことが述べられています。

10-1 BCMSの構築及び導入のステップ

  • 自社の特性に応じたBCMSを構築することが成功のポイント

BCMS構築ステップ

  • 事業継続マネジメントシステム(BCMS)の構築及び導入のステップは以下の通り。
    1. BCMSの体制の確立
    2. BCMSの適用範囲の定義
    3. 事業継続方針の確立
    4. 事業影響度分析(BIA)の実施
    5. リスクアセスメント(RA)の実施
    6. 事業継続戦略及び事業継続計画(BCP)の策定
    7. 演習プログラムの確立及び実施
    8. BCMSの各プロセスを確立するためのGap&Fit分析
    9. BCMS文書の作成
    10. BCMSの導入教育
    11. BCMSの認識向上プログラムの確立・実施
      1. BCMSの体制の確立
        • BCMSの確立、推進、維持、その成果の報告に必要な要員の任命やチームの設置、BCMSの適合性及び有効性の判定、その結果を報告するために必要な要員の任命やチームの設置など、BCMSの攻めと守りの体制を確立することを指す。
        • 関連する要求事項は、「5.3役割、責任及び権限」
      2. BCMSの適用範囲の定義
        • BCMSの管理の対象を明確にするために、組織の状況や利害関係者の要求事項など、必要なインプットに基づき、BCMSの適用範囲と境界線を明文化する。
        • 関連する要求事項は、「4.1組織及びその状況の理解」、「4.2利害関係者のニーズ及び期待の理解」、「4.3一般」
      3. 事業継続方針の確立
        • 自社の事業継続に関する原則や方法性を明確にするための基本方針を策定することを指す。
        • 関連する要求事項は、「5.2方針」
      4. 事業影響度分析(BIA)の実施
        • 事業継続の対象である優先事業活動を特定し、復旧及び継続に必要な経営資源を明確にすることを指している。
        • 関連する要求事項は、「8.2.2事業影響度分析」
      5. リスクアセスメント(RA)の実施
        • 事業影響度分析(BIA)の結果で特定された、優先事業活動とそれらを支える経営資源に対するリスクを明確にし、分析・評価し、その取扱いを決定することを指す。
        • 関連する要求事項は、「8.2.3リスクアセスメント」
      6. 事業継続戦略及び事業継続計画(BCP)の策定
        • 事業影響度分析やリスクアセスメントに基づき、事業継続戦略を決定し、事業継続に必要な要件をもとに、事業継続計画(BCP)を策定することを指す。
        • 関連する要求事項は、「8.3事業継続戦略及び具体策」、「8.4事業継続計画及び手順」
      7. 演習プログラムの確立及び実施
        • 事業継続計画(BCP)の実効性を評価するための演習プログラムを確立し、実施することを指す。
        • 関連する要求事項は、「8.5演習プログラム」
      8. BCMSの各プロセスを確立するためのGap&Fit分析
        • BCMSの各プロセスを確立するすために、ISO22301:2019の規格要求事項のGapを分析し、規格要求事項実現のための基本要件を決定することを指す。
      9. BCMS文書の作成
        • ”8”のGap&Fit分析で決定した基本要件に基づき、各手順を明文化することを指す。
      10. BCMSの導入教育
        • ”9”で策定したBCMS文書を実際の業務に適用するための教育を実施することを指す。
        • 関連する要求事項は、「7.2力量」
      11. BCMSの認識向上プログラムの確立・実施
        • すべての要員にBCMSの必要性や自己の役割を認識させるための、認識向上プログラムを確立し、実施することを指す。
        • 関連する要求事項は、「7.3認識」

10-2 BCMSの体制の確立

  • BCMS推進リーダーとBCMS推進チームが中心となって、事業継続マネジメントシステム(BCMS)の確立、推進、維持、報告の役割を担う。

主要な役割

  • トップマネジメントが任命すべき、事業継続マネジメントシステム(BCMS)に関する主要な役割は、「BCMSを確立、推進、維持し、その結果と成果をトップマネジメントに報告する役割」と「BCMSの適合性や有効性を判定し、トップマネジメントに報告する役割」の二つに大別される。
    前者がBCMS推進リーダーとBCMS推進チームで、後者がBCMS内部監査責任者とBCMS内部監査チーム。

BCMS推進リーダーの役割

  • BCMSを構築。導入するための推進的な役割を担う。

BCMS推進チームの主要な役割

  • 適用範囲を決定する上で必要な情報の収集や分析(必要に応じたハイレベルBIAやハイレベルリスクアセスメントの実施)
  • 事業影響度分析(BIA)やリスクアセスメント(RA)の手法の決定と実施(又は部門への実施の指示と指揮監督)
  • 事業継続戦略を決定する上で必要な情報の収集と分析、事業継続計画(BCP)の策定と演習計画の立案、実施ならびに必要な報告。
  • BCMS文書の維持管理
  • 教育訓練の策定と実施管理
  • 認識向上プログラムの策定と実施
  • マネジメントレビューのインプット作成とトップマネジメントへの報告
  • BCMS全体に関わる是正処置の立案、実施、報告          など

BCMS内部監査に関する役割

  • BCMS内部監査責任者とBCMS内部監査チームの主要な役割は、内部監査の計画、内部監査の実施、内部監査の報告。

10-3 BCMSの適用範囲の定義① 自社を取り巻く状況の明文化

適用範囲を定義する

  • 事業継続マネジメントシステム(BCMS)の適用範囲は、以下のようなものをインプットに定義される。
    • 自社を取り巻く状況(外部及び内部の課題)
    • 自社の事業上の義務の優先順位
    • 自社の事業目的(ゴール)
    • 顧客やオーナー、株主などを含む、利害関係者のニーズや期待
    • 適用される法令及び規制要求事項
  • 適用範囲で定義する内容は、以下のことが含まれる。
    • BCMSの対象となる事業(製品/サービス)
    • 対象となるサイト/事業所(代替サイトなどを含む)
    • 対象となる部門やチーム(活動又はプロセス)
  • 適用除外がある場合は、除外の説明も文書化する必要がある。
  • ISO22301:2019で要求される、「4.1組織及びその状況の理解」の意図は、効果的なBCMSを確立するために、自社を取り巻く状況を明確にし、整理することを指す。

自社を取り巻く状況を明確にする

  • 自社を取り巻く状況を明確にするために実施される、「4.1組織及びその状況の理解」で考慮すべき、外部環境には以下のことなどが考えられる。
    1. 政治的、法的及び規制の環境
    2. 社会的、文化的、自然的な環境
    3. サプライチェーンの構造及び合意している事項
    4. リスクに関する内部調査の検討結果
    5. 自社の事業に対する主要な促進力及び傾向
    6. 外部の利害関係者との関係、彼らの知見や価値観
  • 内部環境には以下のことなどが考えられる。
    1. 自社の製品やサービス、事業活動、経営資源
    2. 要員、プロセス、システム、技術などの自社の能力
    3. 組織内の利害関係者
    4. 自社の知見、価値観、文化
    5. 将来の機会や事業の優先順位
    6. ガバナンス、役割、アカウンタビリティなど、自社の組織構造

10-4 BCMSの適用範囲の定義② ハイレベルBIA

ハイレベルBIAは、複数の事業(製品/サービス)の中から優先順位付けし、特定の事業(製品/サービス)をBCMSの対象と選択する際に実施される。

ハイレベルBIAとは

  • ハイレベルBIAとは、複数の事業(製品/サービス)を提供している場合に、各事業が持つ状況や特性を理解して、事業に優先順位を付けるために実施するハイレベルな事業影響度分析のことを指す。
  • ハイレベルBIAを実施することで、必ずしも事業継続を考えることが適当だとは言えない事業を正当な理由付けとともに事業継続マネジメントシステムの対象から外すことが可能になる。
    また、事業レベルで最大許容停止時間(MTPD)を明確にすることもできる。

ハイレベルBIAを実施する

  • 組織の義務や利害関係者の期待や関心の例としては、以下のものが考えられる。
    • 契約上の義務やSLAなどの合意事項(顧客からのニーズや期待の例)
    • 事業継続に関する法規制上の義務(規制当局からのニーズや期待の例)
    • 売上や利益構造比(オーナーや株主などからのニーズや期待の例)
    • 製品/サービスの市場におけるシェア(オーナーや株主などからのニーズや期待の例)
    • 製品/サービスの将来性(オーナーや株主などからのニーズや期待の例)
  • 事業レベルでの最大許容停止時間特定する例としては、次のものが挙げられる。
    • 企業規模が比較的大きい会社における、事業レベルでの最大許容停止時間の例
      • 一定のマーケットシェアが低下するまでの時間
      • 受注金額や売上金額が一定のラインを超えるまでの時間
      • 企業のキーパーソン(主要人物)が離職し始めるまでの時間
    • 企業規模が比較的小さい会社における、事業レベルでの最大許容停止時間の例
      • 会社のキャッシュフローが枯渇するするまでの時間
      • 最初の債務不履行がでるまでの時間(支払不渡を含む)
      • 複数の主要顧客が離れることが決定的になるまでの時間(顧客との契約違反を含む)

10-5 事業継続方針の確立①

事業継続方針は、自社の事業継続マネジメントシステムのねらいや方向性、基本的な原則を示す文書であり、トップマネジメントにより確立される。

事業継続方針に含む内容

  • 事業継続方針とは、トップマネジメントが自社の事業継続に関する取組みの基本的な考え方や方向性、及び基本的な原則を表明する重要な文書。
  • 事業継続方針の作成に当たっては、以下のことを満たすことを要求している。
    • 自社の目的に対して適切であること(5.2a))
    • 事業継続目的の設定のための枠組みを示すこと(5.2b))
    • 適用される要求事項を満たすことへのコミットメントを含むこと(5.2c))
    • 事業継続マネジメントシステムの継続的改善へのコミットメントを含むこと(5.2d))
      • 自社の目的に対して適切であること
        自社の経営理念や経営ビジョンなどに対して適切であることを指している。
        また、自社の事業継続における目的を指す。すなわち自社が事業継続マネジメントシステムを確立し、運用するねらいや自社の事業継続を確実にするねらいなどがある。(なぜ、自社が事業継続マネジメントシステムを確立し、維持するのか、その事業継続マネジメントシステムのねらいと必要性ならびに重要性など)
      • 自社の事業の継続を確実にする狙いには、以下のものが考えられる。
        • お客様の事業への影響を最小化することを確実にすることを確実にする(非定常時の顧客満足)
        • 自社の社員の安全確保を確実にする。
        • 利害関係者からの期待に応え、仕事を獲得する。
      • BCMS(事業継続マネジメントシステム)の継続的改善のコミットメント
        以下のような活動を通じて、継続的改善を実施することに対するトップマネジメントの制約を指す。
        • 事業継続方針や事業継続目的(目標)の達成状況の評価
        • 事業継続方針(BCP)に対する演習結果
        • BCMS内部監査結果の不適合への対応
        • パフォーマンスの監視及び測定の結果の分析及び評価
        • マネジメントレビューの活動
        • 不適合への対応及び是正処置の活動

10-6 事業継続方針の確立②

事業継続目的(目標)は、事業継続方針より導かれて、設定され、その目的(目標)の達成のための活動が実施される。

適用される要求事項を満たすためのコミットメント

  • 事業継続マネジメントシステムを計画した際に、「4.2法令及び規制の要求事項」の活動を通じて特定した以下の要求事項を順守することを指す。
    • 満たすべき利害関係者の要求事項(4.2.1一般)
    • 適用される法令及び要求事項(4.2.2法令及び規制要求事項)
  • 事業継続マネジメントシステムを計画した際に、特定した法令・規制要求事項を順守すること、及び利害関係者のニーズや期待に応えることに対するトップマネジメントの制約(コミットメント)を指す。

事業継続目的(目標)を設定するための枠組みを示す

  • 事業継続目的(目標)を設定するための枠組みとは、以下のような事業継続に関する目的(目標)をどのように設定するかを明確にすることを指す。
    • 事業防災の改善
    • 事業継続計画及び手順の改善による、目標復旧時間の短縮
    • 事業継続に関する文化の醸成(促進)

10-7 事業影響度分析(BIA)の実施① 事業活動の洗い出し

事業影響度分析(BIA)は、事業継続マネジメント(BCMS)の構築で最も重要なプロセスであり、事業継続計画(BCP)は、この事業影響度分析(BIA)の結果に基づいて策定される。

事業影響度分析(BIA)のステップ

  • 事業影響度分析(BIA)は、事業機能を理解し、事業の中断(阻害)が事業に与える影響を分析するプロセス。
    事業継続計画(BCP)はこのBIAの結果に基づいて策定される。
  • BIAのステップは以下の通り。
    1. 事業(製品/サービスの提供)を支える事業活動の洗い出し
    2. 各種事業活動の中断が事業にもたらす経時的な影響の特定
    3. 最大許容停止時間(MTPD)の特定
    4. 目標復旧時間(RTO)の設定
    5. 優先事業活動の決定
    6. 優先事業活動を支える資源の特定
    7. 優先事業活動における依存関係の特定

事業(製品/サービスの提供)を支える事業活動の洗い出し

  • 事業(製品/サービスの提供)を支える事業活動を洗い出す際の活動の単位は、企業の組織構造のあり方や事業規模の大きさなどを考慮して決定することが重要
  • 洗い出しのポイントは、主として以下の3点となる。
    • 目標を主眼におく
    • 業務分掌規程やQC工程図、業務フローチャートなど必要な情報を準備する
    • 大項目から洗い出してみる
      • ”目標を主眼におく”とは、後のステップで優先事業活動の復旧目標値(RTO)の設定と優先事業活動を支える経営資源の特定を実現できる程度に分解した活動レベルの洗い出しを行うことを意味する。
      • ”業務分掌権限やQC工程図、業務フローチャートなど必要な情報を準備する”とは、業務分掌規程やQC工程図、業務フローチャートなどで規定された業務単位や部門単位の役割や責任範囲を業務活動の一つの単位として洗い出してみるという意味。

10-8 事業影響度分析(BIA)の実施② 組織の影響度の特定~RTOの設定

経時的な影響の評価とは、時間の経過とともに、事業活動の中断による影響がどのように変化するのかを明確にすることを指す。この評価のアウトプットによって最大許容停止時間(MTPD)が特定される。

各事業活動の中断が事業にもたらす経時的な影響の特定

  • インシデントが直面した際に、各事業活動の中断が事業に与える影響(種類及び範囲など)が時間の経過とともにどのように変化するかを理解することを指す。
  • 例えば、ある企業で顧客より半期、四半期で所要ローリング表を入手し、生産計画を立てており、×××製品がだいたいnヵ月で7日分の在庫量で、×××製品のオプション品がだいたいnヵ月で10日分の在庫量であると想定する。
    この情報から導き出せる、製造ラインの中断が事業にもたらす経時的な影響の変化は以下のとおり。
    • 仮に”生産ライン”が停止して7日以内は、在庫があるので、×××製品の顧客への提供には影響なし(受注業務や出荷業務が停止していなければ、注文を受けることや製品を出荷することはできる)。
    • 停止が8日を経過すると、×××製品のオプション品は出荷可能だが、×××製品の顧客への提供が停止する。
    • さらに10日経過すると、×××製品も×××製品のオプション品も顧客への提供が停止する。

MTPDの特定、RTOの設定、優先事業の決定

  • 最大許容停止時間(MTPD)の特定及び目標復旧時間(RTO)の設定では、
    • それぞれの事業活動が中断した場合の影響が許容できなくなるまでの時間を明確にする(最大許容停止時間 [MTPD]の特定)
    • 次に中断・阻害された事業活動を規定された最低限の許容できるレベルで再開するまでの優先すべき時間枠を設定する(目標復旧時間[RTO]の設定 )
  • これらを通じて、優先事業活動を明確にする。
    前述の製造業の例を当てはめると、以下のようなケースが考えられる。
    • 優先事業活動:×××製品の生産
    • 最大許容停止時間(MTPD):7日
    • 目標復旧時間(RTO):6日以内に、×××製品の提供を再開する
  • 優先事業活動は、予め自社で定めた基準で決定され、その基準としては、中断の影響が大きく、最も短い時間で復旧する必要性が高い事業活動などが考えられる。

10-9 事業影響度分析(BIA)の実施③ 資源の特定と依存関係の特定

  • 事業影響度分析(BIA)で特定された、優先事業活動を支える資源は、次に続くリスクアセスメントのインプットになり、現在の防災レベルが評価される。 

優先事業を支える資源の特定

  • これまでのステップ(活動の洗い出し、経時的影響の評価、最大許容停止時間の特定、目標復旧時間の設定)によって、特定された、それぞれの優先事業活動を支える資源を特定する。
  • 資源には以下が含まれる。
    • 優先事業活動を実施する要員
    • 優先事業活動を行う場所(作業環境を含む)
    • 優先事業活動で使用される設備
    • 優先事業活動で使用される物資(材料や資機材)
    • 優先事業活動で使用されるIT
    • 優先事業活動で使用される情報
  • この優先事業活動を支える資源の特定によるアウトプットが、次に続くリスクアセスメントのインプットになる。

優先事業活動における依存関係の特定

  • 各優先事業活動における外部の依存関係(サプライヤー、外注委託先、その他関連する利害関係者)、及び優先事業活動と他の優先事業活動との相互依存関係を特定することを指す。
  • 例えば、ある優先事業活動において、外注委託先に作業を委託している場合、その外注委託先からの供給が停止すると、当該優先事業活動も停止する可能性が高いので、能力のある外注委託先の選定が必要。
  • 優先事業活動と他の優先事業活動との相互依存関係の例としては、ある優先事業活動が停止すると他の優先事業活動も停止するなどの単一障害点を特定することを指す。

10-10 リスクアセスメント(RA)の実施① リスクの特定

  • 事業影響度分析(BIA)が終了すると、優先事業活動とそれらを支える資源が特定される。その特定された活動とそれらを支える資源に対するリスクを明確にするためにリスクアセスメントが実施される。

リスクアセスメントのステップ

  • リスクアセスメントとは事業影響度分析(BIA)の結果で特定された、優先事業とそれらを支える資源に対するリスクを明確にし、評価し、その取扱いを決定するプロセスを指す。
  • リスクアセスメントのステップは以下の通り。
    1. リスクの特定
    2. リスクの分析
    3. リスクの評価
  • リスクアセスメントの実施後に、具体的な対策を決定するリスク対応を実施する。

リスクの特定

  • 優先事業活動とそれらを支える資源にどのようなリスク(脅威)が存在しているのか、そのリスク(脅威)の発生を抑えるための現状の対策はどうなっているのかを明確にする。

リスクの特定-脅威の明確化

  • 優先事業活動とそれらを支える資源に対する脅威の明確化では、それぞれの資源にどのような脅威が想定されているかを可視化する。
  • 例えば、事前災害や火災による施設の使用停止、サイバーテロによるシステム障害などが考えられる。

リスクの特定-脅威の発生を抑えるための現状の対策の明確化

  • 脅威の発生を抑えるための現状の対策の明確化では、想定される脅威の発生を抑えるための現状の対策状況(対策レベル)を可視化する。
  • 例えば、オフィス工場などに対する脅威への対策では、施設の耐震構造や消防設備の対策状況など。

10-11 リスクアセスメント(RA)の実施② リスク分析

  • リスク特定の結果に基づき、特定された脅威の影響の発生の可能性、脅威を抑えるための現状の対策レベルを分析する。

リスク分析

  • 特定されたリスクの発生可能性や結果の重大性を評価する。
  • リスクの特定で明確にした優先事業活動とそれらを支える資源、その資源に想定される脅威、脅威の発生を抑えるための対策レベルに関する情報を体系的に使用する。
  • リスクの大きさ(リスク値)は、脅威の影響の大きさ、脅威の発生可能性、脅威の発生を抑えるための対策のレベルを評価した結果で産出される。

脅威の大きさの評価

  • 脅威が発生した場合の影響の範囲(程度)について評価することを指す。
  • 影響範囲とは、影響の広さとと影響の深さを指す。
    • 影響の広さは、被害が及び横の範囲(半径何キロメートルまで被害が及ぶかなど)のことを指す。
    • 影響の深さは、被害の大きさ(半壊なのか、全壊なのかなど)のことを指す。
  • 定量化を行う際には、この二つの側面を考慮に入れた数値化が必要になる。

脅威の発生可能性の評価

  • 特定した脅威の発生確率を評価することを指す。

想定される脅威の発生の抑えるための対策レベルの評価

  • 想定される脅威の発生の抑えるための現状の対策レベルを評価することを指す。
  • 各資源に想定される脅威に対する現状の対策水準(十分、改善の余地あり、不十分など)を定性的もしくは定量的に評価すること。

リスクの産出

  • これまでの評価で得た情報をもとに、リスクの大きさを特定する。
  • 資源に影響を与える可能性のある脅威の重大性、資源に影響を与える可能性のある脅威の発生性、及び資源に想定される脅威に対する現状の対策水準の三つの組み合わせをもとに、算出し、リスクを明確にする。

10-12 リスクアセスメント(RA)の実施③ リスク評価

  • リスク分析の結果に基づき算出されたリスク値を、自社で定めたリスク受容基準と比較し、評価し、追加の対策の必要性を判断する。

リスクの評価

  • リスク分析の結果に基づき、それぞれの取り扱いを決定する。
  • なお、リスクの取り扱いは、以下の4つの選択肢が一般的。
    • リスクを受容する
    • リスクを低減する
    • リスクを除去する
    • リスクを他に移転する

リスクの受容

  • リスクの評価の結果で産出されたリスク値が、自社であらかじめ定めたリスク受容基準を満たしているリスクに対して、適切な承認を受けた上で、それ以上の対策の追加を行わないことを指す。
  • 想定される脅威の発生を抑えるための現状の対策が十分であると判断されたリスク(値)に対して、選択される選択値のことを指す。

リスクの低減

  • 自社であらかじめ定めたリスク受容基準を満たさないリスクに対して、何らかの対策を追加し、リスク受容基準を満たすまでリスクの大きさを低減することを指す。
  • 想定される脅威の発生を抑えるための現状の対策が不十分であると判断されたリスク(値)に対して、選択される選択肢のことを指す。

リスクの除去

  • リスク受容基準を満たさないリスクに対して、これ以上の対策ができない場合に、そのリスクそのもの(原因そのもの)をなくす場合に選択される選択肢のことを指す。
  • 事業継続に関するリスクアセスメントでは、あまり一般的ではない。

リスクの移転

  • リスク受容基準を満たさないリスクに対して、これ以上の対策ができない場合に、そのリスクを自社以外の組織に移す場合に選択される選択肢のことを指す。
  • 事業継続に関するリスクアセスメントでは、あまり一般的ではない。

10-13 事業継続戦略の決定① リスク対応

  • 事業影響度分析(BIA)やリスクアセスメント(RA)の結果に基づき、事業継続戦略や具体策を決定する。

事業継続戦略及び具体策の決定

  • 事業継続戦略では、主として、リスク対応と事業継続計画の手順に関する戦略及び具体策が決定される。
  • リスク対応のインプットは、リスクアセスメントの結果の、低減を必要とするリスク。
  • 事業継続計画及び手順における戦略のインプットは、事業影響度分析(BIA)で特定された、優先事業活動及びその関連事業となる。

リスク対応

  • リスク評価で受容できない(想定される脅威を抑えるための現状の対策が不十分)と判断したリスクについて、組織として、どのような対応を行うのか決定する。
  • 主として以下に関する対策の決定をする。
    1. 事業の中断・阻害の発生の起こりやすさの低減
    2. 事業の中断・阻害の時間の短縮
    3. 事業の中断・阻害が組織の重要な製品及びサービスに及ぼす損害の大きさの抑制

リスクの対応の具体例

  • ”1”の「事業の中断・阻害の発生の起こりやすさの低減」の具体例としては、以下のものが考えられる。
    • 施設など
      耐震構造の改善を図ることによって、想定される地震による施設の倒壊による事業中断を低減する。
    • ITシステムなど②アンチウイルスソフトの導入等によってウイルス感染の可能性を低減する。
  • ”2”の「事業の中断・阻害の時間の短縮」の具体例としては、以下のものが考えられる。
    • 設備
      保守業者との災害時優先契約や保守部品を確保することにより、障害発生から修理までの時間を短縮する。
    • 製品
      ある程度の製品在庫を多く持ち、生産ラインが停止してもある一定の期間は、在庫の中から顧客への製品を提供する。
    • ITや設備
      無停電電源装置などの導入により、停電が発生した際に、停止時間を短縮する。
  • ”3”の「事業の中断・阻害が組織の重要な製品及びサービスに及ぼす損害の大きさの抑制」の具体例としては、以下のものが考えられる。
    • 施設
      部品倉庫などを分散し、施設の倒壊による部品の喪失を部分的なものにする。
    • IT
      システムを分散化し、システム障害発生の影響を部分的なものにする。

10-14 事業継続戦略の決定② 初期初動対応やBCPの基本要件

事業影響度分析(BIA)で特定された、優先事業活動及び関連情報に基づき事業継続計画及び手順に関する戦略や具体策を決定する。

事業継続計画及び手順に関する戦略及び具体策の決定

  • 事業影響度分析(BIA)で特定された、優先事業活動及びその関連情報(目標復旧時間や資源、依存関係など)に基づき、事業継続計画及び手順に関する戦略及び具体策が決定される。
  • 事業継続計画及び手順に関する戦略及び具体策には、以下が含まれる。
    • インシデント発生時の初期初動対応体制や手順に関する基本方針
      (インシデントの性質や影響の評価、被害拡大防止の手順を含む)
    • コミュニケーション手順に関する基本要件
      (非定常時の通信手段や安否確認方法などを含む)
    • 事業継続計画(BCP)に関する基本要件
      (特定した時間枠で、かつ合意されたレベルの範囲内で、優先事業活動を復旧し、継続するための要求事項)
    • 事業回復計画(BRP)に関する基本要件
      (平常の状態に戻るための手順)

インシデント発生時の初期初動対応体制や手順に関する基本要件の決定

  • 初期初動対応に関する基本要件には、以下のものが考えられる。
    • インシデントの検知、その性質や影響の評価
    • 安否確認や緊急連絡網などのコミュニケーション
    • インシデントの拡大防止を防ぐための活動を含む、初動対応
      (初期消火や救急救命、避難誘導など)

事業継続計画(BCP)に関する基本要件の決定

  • 事業影響度分析(BIA)で特定された情報に基づき、優先事業活動を、「どこで」、「誰によって」、「どのように復旧し、継続するのか」をシミュレーションし、事業継続計画(BCP)に関する基本要件を決定する。
  • リスクアセスメントで想定した、あらゆるリスク(脅威)を想定し、特定した時間枠で、かつ合意されたレベルの範囲内で、優先事業活動を復旧し、継続するための戦略や具体策が決定される。

10-15 事業継続戦略の決定③ 資源の積算①:人~インフラストラクチャー

選択した戦略及び具体策を実施するために必要な資源を特定し、基本要件を決定する。資源には、人や場所、関連するユーティリティなどが考えられる。

事業継続の具体策を実施するためのに必要な資源の積算

  • 事業継続計画(BCP)に関する基本要件の決定で選択した、具体策を実施するために必要な資源を積算する。
  • 資源には以下のものが含まれる。
    1. 人(要員)
    2. 情報及びデータ
    3. 建物、職場、その他の施設などの物理的インフラストラクチャー、及び関連ユーティリティ
    4. 設備及び消耗品
    5. 情報通信技術(ICT)システム
    6. 輸送手段及び物流
    7. 資金
    8. パートナー及びサプライヤー

人(要員)

  • 人(要員)の基本要件を決定する上で、考慮すべき事項は、必要な役割ごとの人数、必要な力量(業務を遂行する上で必要な知識、経験、技術、能力)が挙げられる。
  • どこから人(要員)を収集するのか(どの部門から代替サイトなどに移動させるかなど)、外部の人(要員)の利用可否なども考慮する必要がある。

情報及びデータ

  • 情報及びデータの基本要件を決定する上で、考慮すべき事項は、優先事業活動の復旧や継続に必要な手順書、試験要領書や仕入れ先一覧などの文書や在庫リストなどの情報が考えられる。
  • 保存媒体や保管場所も考慮の対象になる。
  • 情報及びデータの機密性、完全性、可用性をどのように維持するかも考慮が必要。

物理的インフラストラクチャー等

  • 建物、職場、その他の施設などの物理的インフラストラクチャー、及び関連ユーティリティの基本要件を決定する上で、考慮すべき事項は、そのサイトで活動を継続するために必要な作業条件やそこで使用される電気、水道、ガスなどの確保が考えられる。
  • 代替サイトのロケーションも重要なポイント。近いとインシデントの影響を一緒に受ける可能性があり、遠いと移動時間がかかり目標復旧時間(RTO)を満たせない可能性もある。

10-16 事業継続戦略の決定④ 資源の積算②:設備等~資金

情報通信技術(ICTシステム)の要件決定では、優先事業活動の継続に必要なシステムに関する基本要件に加え、リモートアクセスの必要性の判断(テレワークの採用など)なども考慮する必要がある。

設備及び消耗品

  • 設備及び消耗品に関する基本要件の決定では、優先事業活動の継続に必要な設備、機器、部品、資機材及び消耗品のリストアップ、それらの保管場所の確保(常時設置の場合)、また常時設置しない場合の、それらの通常サイトや常時保管場所からの移動手段と据付手順などを考慮する必要がある。
  • サプライヤーの倉庫に保管してもらう手段も考えられる。

情報通信技術(ICT)システム

  • 情報通信技術システムに関する基本要件決定では、優先事業活動の継続に必要なシステム、端末数やトランザクションデータのリストアップ、システムの地理的分散の必要性の判断、ITサポート要員数や必要なスキルの特定、リモートアクセスの必要性の判断、サプライヤーや顧客との接続方法などを考慮する必要がある。

輸送手順及び物流

  • 輸送手段及び物流に関する基本要件の決定では、メインサイトから代替サイトまでの輸送手段、代替サイトから顧客への製品の輸送手段などを考慮する必要がある。

資金、パートナー及びサプライヤー

  • パートナー及びサプライヤーに関する基本要件の決定では、優先事業活動の継続に必要なパートナーやサプライヤーのリストアップ、事前の先方との契約内容の再確認、第二者監査などを通じた、先方のBCM能力の評価、評価結果に基づく代替可能可否の判断などを考慮する必要がある。
  • 資金に関する基本要件の決定では、優先事業活動の継続に必要な緊急購入品の予測、及びそれらを購入するための資金などを考慮する必要がある。

10-17 事業継続計画(BCP)の策定① 事業継続計画及び手順の種類

事業継続計画及び手順には、「初期初動対応からインシデントの終息までを管理する計画」、「優先事業活動を復旧し、継続するための計画」、「通常の状態に回復するための計画」がある。

事業継続計画及び手順の種類

  • 組織が事業を中断させるようなインシデントに直面した場合、適切な初期初動対応を実施し、優先事業活動の復旧や事業継続、回復を実現させるために必要な手続きを示した計画を指す。
  • 事業継続計画及び手順の種類には以下のものがある。
    • インシデントマネジメント計画
      (インシデント発生後に実施される初期初動対応からインシデントの終息までの全体を管理する計画)
    • 事業継続計画(BCP)
      (優先事業活動を復旧し、継続するための計画)
    • 事業回復計画(BRP)
      (通常事業レベルへ戻すための計画)

インシデントマネジメント計画(IMP)

  • インシデントマネジメント計画の役割は、インシデントの検知、被害の影響評価、安否確認、被害の拡大防止を含むインシデントへの対応、BCPの発動、インシデントの状況に関する監視などが含まれる。
  • 事業戦略におけるインシデント発生時の初期・初動対応やインシデントマネジメントの実施体制や手順に関する基本要件の決定に基づき、作成される。

事業継続計画(BCP)

  • 事業継続計画の役割は、代替サイトへの移動、代替設備や要員の手配を含む、合意されたレベルでの製品及びサービスの提供などが含まれる。
  • 事業継続戦略における事業継続計画(BCP)の基本要件の決定(特定した時間枠で、かつ合意されたレベルの範囲内で、優先事業活動を復旧し、継続するための戦略や具体策)に基づき、作成される。

事業回復計画(BRP)

  • 事業回復計画の役割は、インシデントの終息後、被災した施設や設備の損傷修理や交換の手順、代替サイトから通常サイトへの移転手順、保険会社から費用の回収手続きなどが含まれる。

10-18 事業継続計画(BCP)の策定② 初期初動対応~BCPの発動

事業継続戦略で決定された、その戦略や具体策をもとに「事業継続計画(BCP)」を策定する。

事業継続計画(BCP)の策定

  • 事業継続戦略で決定された、戦略及び具体策をもとに、事業継続計画(BCP)を作成する。
  • オールインワンタイプの事業継続計画(BCP)の基本的な構成要素としては、以下の項目が考えられる。
    • 基本項目(目的及び適用範囲、対象者、文書管理責任者など)
    • 初期・初動対応における緊急時体制
    • 事業継続計画(BCP)の発動
    • 事業継続計画(BCP)発動後の緊急時体制
    • 代替拠点
    • 事業復旧の優先順位
    • アクションリスト(事業継続計画(BCP)発動後に実施すべき事項の一覧)
    • 参照すべき下位マニュアル類の一覧

初期・初動対応における緊急時体制

  • 事業継続戦略で決定された、初期・初動対応やインシデントマネジメントの実施体制に関する計画内容を記載する。
    具体的には、以下の内容について記述することが一般的。」
    • 緊急時体制の組織構成と構成要員
    • 各組織及び構成要員の役割・責任・権限
    • 緊急時体制における指揮命令系統
    • 緊急対策本部の設置基準及び設置場所
  • 一般的な緊急時体制の組織構成としては、緊急時の最高意思決定機関として、緊急対策本部を設置し、その傘下に初期・初動対応やインシデントの管理を実施する緊急対策チームを配置する。

事業継続計画(BCP)の発動

  • 事業継続計画の発動では、主としてBCP発動基準やBCP発動についての役割や責任について詳しく記述する。
  • BCP発動基準は、どのような条件に合致した場合に、事業継続計画に基づいた行動を開始するのかについて示した基準。

10-19 事業継続計画(BCP)の策定③ BCP発動後~アクションリスト

  • アクションリストは、いろいろなケースを想定し、状況に応じた選択肢を用意した、実効性の高い内容が求められる。

事業継続計画(BCP)発動後の緊急時体制

  • 事業継続戦略で決定された、事業継続計画(BCP)発動後の緊急時体制に関する計画内容を記載する。
  • 具体的な内容は、初期・初動対応における緊急時体制と同様。
  • BCPの発動後の組織構成として、優先事業活動ごとに復旧対応チームを設置するのが一般的。

代替拠点

  • 代替拠点では、事業継続戦略で決定された、代替拠点への移動が必要になった場合の計画内容について記載する。
  • 以下の内容について記述することが一般的。
    • 代替拠点へ移転する優先事業活動(業務機能)
    • 代替拠点へ移動する要員(あるいはその選定基準)
    • 要員の代替拠点への移動手段
    • 設備や資機材の代替拠点への移送手段

アクションリスト

  • アクションリストとは、BCP発動後に実施する内容を示したもの。
  • リストに含むべき項目は、以下を含む、具体的なアクションの内容と実施者や責任者、参照する情報。
    • 従業員の安否情報や緊急連絡
    • 顧客との連絡
    • パートナーやサプライヤーとの連絡
    • メディア対応
    • 代替サイトへの移送手段
    • 代替サイトでの優先事業活動の復旧、再開、継続に関する手順
    • 代替サイトから通常サイトへの回復に関する手順

10-20 演習プログラムの確立及び実施① 演習の種類

  • 策定した事業継続計画(BCP)の実効性を確保するためには、適切な事前の評価が必要。
    その評価として、演習がある。

演習の種類

  • 事業継続計画(BCP)の改善を目的とする演習は、作成して間もない事業継続計画(BCP)の評価を行う机上チェックから、参加者の意思決定までを含むロールプレイング、装置の補修や切り替えを含む実働演習等、さまざまな形態がある。
  • 「机上チェック」とは、事業継続計画(BCP)の整合性を机上でレビューし、内容の有効性を検証することを指し、「ウォークスルー」とは、事業継続計画(BCP)の有効性について実施活動をイメージしながら検証することを指す。
  • 「シミュレーション」とは、計画発動時に予想される状況を前提として、事業継続計画(BCP)の実行に必要かつ十分な情報が記載されていることを検証することを指し、「ロールプレイング」とは、実施の途中で状況を追加付与し、参加者の状況判断や意思決定の適切さを検証することを指す。
  • 「実演演習」とは、実際の設備などを用いて、切替、応急、復旧などの活動を実施し、手順の有効性をを検証することを指す。
  • 事業継続計画(BCP)の策定から、数年後までで行うことが望ましい演習の形態には、次のものが考えられる。

事業継続計画の策定直後(初回、6か月~1年以内)

  • 演習計画の策定も初めてであり、比較的取り組みやすい机上チェックやウォークスルーを行う事が望ましい。

事業継続計画の定着が進展した段階(2~3回目、1年~2年以内)

  • 基本的な事項は改善された計画となっており、より臨場感の高い演習として、シミュレーションやロールプレイングを行う事が望ましい。

10-21 演習プログラムの確立及び実施② 演習の実施

  • 実際の演習では、討議や意見のとりまとめ、観察記録を作成するなど、参加者や事務局にさまざまな作業がある。

十分な検討時間を確保する

  • 討議や意見の取りまとめを含む演習では、参加者に十分な時間を与えることが必要。
  • 事業継続計画(BCP)が十分浸透していない段階では、教育的なパートも入れて参加者のレベルを整えてから、参加してもらうことも全員の活発な議論を引き出すために必要。

メンバーの役割を確認する

参加者
  • 演習の参加者に必要なことは、疑問や心配される事項について意見を積極的に出させること。
  • 事業継続計画(BCP)の発動時に自部門と関係部署などで何を実施すべきかを、あらかじめイメージしてもらうことも大切。
責任者(コーディネーター)
  • 責任者の主要な役割は以下に関する対応などが考えれる。
    1. タイムスケジュールに「ずれ」が発生した場合の対応や設定時間の変更判断
    2. 演習に対する想定外の質問や問題が発生した場合の作業ルールなどの再設定
    3. 議論が沈滞しているときの追加の指示や情報の提供
    4. その他不測の事態に対する対応                 など
事務局
  • 責任者の補佐として、以下のことを行う。
    1. 資料や事務用品の事前手配
    2. 参加チームのメンバー編成
    3. 会場設営(及び撤収)
    4. スケジュールの進行支援
    5. 各種作業の説明
    6. 欠席者が発生した場合の代理やサポート
    7. 各討議チームへの巡回による質問受付
    8. 進捗や状に問題が発生した場合の責任者への報告と指示伝達などの作業を含め、演習の準備から終了までの推進を幅広く行う。
評価者・観察者
  • 演習の実施状況、各作業への取り組み状況などの確認を行う。
    それらを演習評価シートへ記録し、気付き事項の取りまとめと報告を行う。

10-22 BCMSの各プロセスを確立するためのGap&Fit分析

  • ISO22301:2019の規格要求事項の管理の方法を比較し、規格要求事項を実現するための基本要件を決定する。

Gap&Fit分析

  • 事業継続マネジメントシステムの各プロセスの確立は、「Gap&Fit分析アプローチ」で実施するのが望ましい。
    • 「Gap&Fit分析アプローチ」とは、ISO22301:2019の規格要求事項と現状の管理の方法を対比してギャップを特定し、そのギャップを埋める作業を通じて、事業継続マネジメントシステムの各プロセスを確立する手法を指す。
    • Gap&Fit分析アプローチのステップは、「プロセスマッピング」、「ギャップ分析」、「基本要件の決定」の三つのステップで実施される。

プロセスマッピング

  • ISO22301:2019の規格要求事項が、現状のどの仕事や業務にあたるのかを特定する事を指す。
  • 主となる規格要求事項は、「法令及び規格要求事項の管理手順(4.2)」、「方針の管理手順(5.2)」、「事業継続目的(目標)の管理手順(6.2)」、「要員の職能要件の管理手順(7.2)」、「コミュニケーションの手順(7.4)」、「文書や記録の管理手順(7.5)」、「内部監査の手順(9.2)」、「不適合への対応や再発防止の手順(10.1)」などが対象となる。

ギャップ分析及び基本要件の決定

  • ギャップ分析』は、プロセスマッピングで特定された各業務が規格要求事項に適合しているか否かを確認することを指す。
  • 現状の管理方法などが、該当する規格要求事項に合致していれば”〇”、合致していなければ”×”、”△”は基本的に現状の管理の方法は該当する規格要求事項に合致しているが、現状の管理方法に課題がある場合などが考えられる。
  • ギャップ分析の結果、×や△をどのように実現するかを決めることが、『基本要件の決定』となる。

10-23 BCMS文書の作成① 文書化の基本要件

  • 事業継続マネジメントシステム(BCMS)の文書化の実現方法は、マニュアル、フローチャート、チェックリストや役割分担表など様々な手段がある。

BCMS文書とは

  • 一般的にマネジメントシステム文書の例として、方針文書、計画書、プロセス記述書、手順書やマニュアルなどが挙げられる。
  • マネジメントシステム文書とは、マネジメントシステムが適切に確立されている証拠を指す。
    (記録は、マネジメントシステムの活動の証拠を指し、マネジメントシステムを適切に運用している証拠)

文書の範囲と詳しさ

  • ISO22301:2019の規格要求事項「7.5.1 一般」では、文書の範囲と詳しさについて、文書の程度(範囲と詳しさ)は、①組織の規模、並びに活動、プロセス、製品及びサービスの種類、②プロセス及びその相互作用の複雑さ、③人々の力量によって、その組織や各プロセスの特性に応じた範囲と詳しさで文書化を実現実現してもよいとされている。
  • 重要なポイントは、その対象となる要員の力量によっても、文書化の範囲と詳しさが変わる。
    • 「限られた有資格者が実施するプロセス」では、訓練された有資格者を割り当てる方がプロセスの質を担保するためには必要
    • 「定型業務や特に専門的な力量や経験等を要さないプロセス」の場合は、詳細な手順を規定したマニュアルやフローチャートを準備し、適切な教育訓練も必要。

10-24 BCMS文書の作成② 文書化成功のポイント

  • 手順を文書化することとは、各プロセスに関する業務の流れ、業務の進め方、業務のやり方、判断基準、参照する資料や情報、及び作成する資料(記録)を明文化することを指す。

BCMSの文書化のポイント

  • ISO22301:2019の規格要求事項「7.5.2 作成及び更新」では、適切な文書の形式や媒体を選択することは要求しているが、文書化の手段や文書体系などは要求していないので、チェックリストやフローチャートなど利用しやすいものを活用するとよい。
  • 手順を明文化することとは、業務の流れ、業務の進め方、業務のやり方、判断基準、参照する資料や情報、及び作成する資料(記録)を特定し、明文化すること。
  • 文書化の成功のポイントは、事業継続マネジメントシステムの各プロセスのための各手順において、参照する要員が、具体的に以下を理解し、実行できることが重要。
    • 何をしなければならないのか?(又は何をしてはいけないのか?)
    • どのようにすべきか(順序や判断基準など)?
    • 誰が実施すべきか?

文書化の対象を決定する

  • 手順の文書化の対象は、文書化されていないと事業継続マネジメントシステムの計画、運用及び管理に影響を与えるプロセスになる。

文書体系を決定する

  • 文書体系とは、事業継続方針などの基本方針、BCMS基本規程といった基本規程などから、法規制管理規定、業務分掌規程、職務権限規程、職能要件・教育訓練規程、文書管理規程、目的(目標)管理規程、事業継続マネジメントシステムに関する規程(BIA、RA、戦略、計画及び手順、演習、評価)、内部監査規程、マネジメントレビュー実施規程、是正処置規程などの各管理規程がどのような関連になっているかを示したものを指す。

10-25 BCMS文書の作成③ 文書の種類

  • 「文書化されていないと計画、運用及び管理に影響を与えるプロセス」を特定し、その特定された手順書」を作成することが重要。

文書の種類

  • 一般的には、方針→基本規程→各管理規程という体系が多い。
  • 事業継続方針(基本方針)とは、事業継続マネジメントシステムに関する基本的な考え方及び順守すべき事項を規定した文書。
  • BCMS基本規程とは、事業継続方針に基づき、事業継続マネジメントシステムに関する管理項目及びBCMSの概要を規定した文書を指す。
  • 各規程とは、BCMS基本規程から引用され、実際の業務を実施する際に必要となる手順を規定した文書を指す。
  • 様式とは、手順書に定められた記録などを記載するための書式文書であり、記録とは、自社の事業継続マネジメントシステムの実施結果(BCMSの適合性を実証するための記録文書)を指す。

文書の例

  • ISO22301:2019で、手順の文書化が要求されるものは、「8.4.1 一般の事業継続計画及び手順(8.4.3 警告及びコミュニケーション、8.4.4 事業継続計画書、8.4.5 復旧)」だけとなる。
  • それ以外の手順の文書化は、自社で必要性を判断することとなる。
  • 以下を事前に確認してから、文書化の実現を行うことが重要なポイントとなる。
    • 文書化の対象を明確にする
      (文書化されていないとBCMSの計画や運用、管理に影響を与えるプロセスの明確化)
    • 既存の文書で利用できるものを明確にする
      (現在利用しており、実効性の高い文書はBCMS文書として利用)
    • 新しく文書の作成を必要とした場合は、文書化の方法(実効性を考慮した)を工夫する

10-26 BCMSの導入教育

  • BCMS文書(方針、基本規程、各管理規程、書式)を作成し、制定すると、次は、実際の導入に移る。導入時に実施する導入教育は以下のとおり。

BCMS導入のための教育

  • 事業継続マネジメントシステムの文書化が完了し、制定されると、次のステップとして、事業継続マネジメントシステムの適用範囲の要員に対する導入教育を実施する。
  • 導入教育の実施に当たり明確すべきポイントは、導入教育の対象、導入教育の手段、導入教育の実施者になる。

導入教育の対象

  • 導入教育の対象は、事業継続マネジメントシステムの適用範囲内の要員であり、特に事業継続パフォーマンスに影響を与える業務をその管理下で行う要員(及び該当する場合は、それらの役割を担う外部の要員)が主となる。
  • 教育内容は、以下のようなテーマはが含まれる。
    • 事業継続マネジメントシステムの目的及び概要について
    • 事業継続方針について
    • 事業継続目的(目標)及び事業継続目的(目標)を達成するためのアクションプランについて
    • 事業継続マネジメントシステムの役割、責任及び権限について
    • 事業継続マネジメントシステムの手順や基準について

導入教育の手段及び実施者

  • 導入教育の手段としては、対象の要員を集めた、集合教育、eラーニングの活用、各部門で実施される規程などの読み合わせが考えられる。
  • 導入教育の実施者も、トップマネジメントからの示達(事業継続方針についての説明など)、教育主管部門による実施、BCMS推進リーダーによる実施(事業継続マネジメントシステムの目的及び概要の説明など)、BCMS推進チームによる実施(リハーサルを通じた、初期初動対応や安否確認、初期消火、救急救命などの方法など)、外部の専門機関の利用(事業影響度分析やリスクアセスメントなどの専門機能研修など)が考えられる。

10-27 BCMSの認識向上プログラムの確立及び実施

  • 最終的にBCMSを自社の文化に組み込むためには、すべての要員がBCMSの必要性や自己の役割を確実に認識する必要がある。これを実現する手段が「認識向上プログラム」。

認識向上プログラムの目的

  • 認識向上プログラムの目的は、最終的に自社の文化にBCMSを組み込むこと(組織の基本的価値観及び経営の一部にすること)にあり、事業継続のための組み込みを組織の日常業務に取り込み、BCMをその組織に根付かせるため。
  • ISO22301:2019では、力量マネジメントの確立に加えて、すべての要員に対して、以下を認識させることを要求している。
    • 自社の事業継続方針(7.3a))
    • 事業継続パフォーマンスの向上によって得られる便益を含む、事業継続マネジメントシステムの有効性に対する自らの貢献(7.3b))
    • 事業継続マネジメントシステム要求事項に適合しないことの意味(7.3c))
    • 事業の中断・阻害の発生前、発生時、発生後の自らの役割及び責任(7.3d))

BCMSの特性

  • 事業継続マネジメントシステムは、他のマネジメントシステムと異なり、取り扱う管理の対象が非定常時の事柄。
  • すべての要員に、重要性の認識(何のために行うか、誰のためにおこなうか、など)と必要な認識(やらないとどうなるか、など)を持たせることが、効果的な事業継続マネジメントシステムの構築及び運用に欠かせない重要な活動といえる。

認識向上にはどんな方法があるのか

  • 認識向上の方法として、「BCMに関する認知度を上げるためのプログラム」、「BCM知識レベルを上げるためのプログラム」、「BCMの力量を上げるためのプログラム」などが挙げられる。
    1. BCMに関する認知度を上げるためのプログラム
      • 社内報、社内掲示板などへのBCM関連情報の公開、全社ミーティングなどでの経営陣からのBCMに関する取り組み情報の紹介などがある。
    2. BCM知識レベルを上げるためのプログラム
      • 社内講習会の開催、外部トレーニングコースの受講奨励、新入社員研修へのBCM関連プログラムの導入などがある。
    3. BCMの力量を上げるためのプログラム
      • 社内講習会の開催、外部トレーニングコースの受講奨励、テスト、演習、リハーサルの実施などがある。

認識向上プログラムの例

  • 意識向上プログラムについて、BCMSの手引きであるISO22313では、以下のような方法を例示している。
    • BCM構築及び管理に関する組織全体に渡るスタッフとの協議プロセスを確立する。
    • 組織のニュースレター、説明、紹介プログラム又は専門誌(新入社員のオリエンテーションを含む)において、事業継続について掲載する。
    • 関連のあるウェブページへ事業継続について掲載する。
    • BCMをスタッフと経営陣の会議テーマに加える。
    • インシデント後のレビューレポートを選択的に発表する。
    • トップマネジメントチーム向けの説明会を開催する。
    • 指定の代替場所へ訪問や見学をさせる。
    • 組織の事業継続の取り決めについて、主要なサプライヤー及び販売業へ説明を行う。

11.新型コロナウイルスを含む感染症の発生時の事業継続計画の作成例

「新型コロナウイルスを含む感染症の発生時の事業継続計画の作成例」では、主に以下のことが述べられています。

11-1 新型コロナウイルスを含む感染症の発生時の事業継続計画の作成例① 事業継続計画作成例の概要

  • 地震や大規模停電、設備やITシステムの障害等に対する事業継続計画と異なり、感染予防を含む事前の活動が重要となる。

事業継続計画作成例で想定するリスクシナリオ

  • 事業継続計画の作成例におけるリスクは、事業継続影響度分析の結果で特定された優先事業活動は、人の依存度が高いと評価され、リスクアセスメントの結果で、その人という資源に対する脅威として、新型コロナウイルス等に感染していまうことにより、事業が停止するという想定となっている。

感染症等に対する事業継続計画の特徴

  • 感染症等のインシデントは、地震や火災、停電、設備やITシステムの障害などのインシデントと異なり、突発的に優先事業活動が中断するのではないため、その感染予防である事前対応が重要視される。
  • 感染症等に対する事業継続計画は、そのインシデントの特性により、各ステージに分けて、作成されることが望ましい。

各ステージの解説

  • 事業継続計画作成例におけるステージの分類は、以下の通り。
    • 海外での感染症発生
      海外の特定の地域で感染症が発生した状況
    • 海外での感染拡大
      海外の不特定多数の地域に感染が拡大した状況
    • 国内での感染症発生
      日本国内で一部の都道府県に感染者が発生した状況
    • 国内での感染拡大
      日本国内の複数の複数の都道府県で感染者が発生し、感染が拡大した状況
    • 国内での感染蔓延
      自社の所在及び近隣並びに自社の活動地域の都道府県で感染者が増大した状況
    • 感染の終息
      国内で感染症が終息し、感染の危険が低減された状況

11-2 新型コロナウイルスを含む感染症の発生時の事業継続計画の作成例② ステージ:海外で感染症発生&海外で感染拡大

  • 海外で新型コロナウイルスを含む感染症が発生した時点と海外での感染拡大になった時点の行動計画の作成例

海外で感染症発生

  • 海外の特定地域で感染症が発生した状況。
    正確な情報を収集し、緊急対策本部の設置準備を行うこととなる。
  • ここでの主となるアクションは以下の通り。
    • 緊急対策本部の準備チームの設置
    • 準備チームによる情報収集の開始
    • 準備チームからの社員への情報提供や要請

事業継続戦略で決定すべき事項

  • 事業継続戦略で決定すべき事項は、以下の通り。
    • 準備チームのメンバー構成
    • 収集する情報ソース
    • 社員への情報提供手段
  • 準備チーム
    緊急対策本部の設置までに至らない段階において、必要な情報収集や社員への感染を予防するための情報発信を担うチーム。
  • 収集するソース
    新型の感染症に関する情報は、いろいろなものが錯綜する。あらかじめ信頼できる情報ソースを決定しておき、時機を得た正確な情報を提供することが重要になる。

海外での感染拡大

  • 海外の不特定多数の地域に感染が拡大した状況。海外での感染症発生の場合と比べ、日本国内での発生が危ぶまれるので、情報収集の強化を行う。(情報収集の頻度、収集する情報ソースの拡大)
  • ここでの主なアクションは以下の通り。
    • 準備チームによる情報収集の強化
    • 準備チームからの社員への情報提供及び要請の強化

11-3 新型コロナウイルスを含む感染症の発生時の事業継続計画の作成例③ ステージ:国内での感染症発生

  • 日本国内で新型コロナウイルスに含む感染症が発生した時点の行動計画の作成例。

国内での感染症発生

  • 日本国内で一部の都道府県に感染者が発生した状況。
    自社の従業員への感染リスクが高まったことから、準備チームを解散し、緊急対策本部の設置が行われる。
  • 準備チームの情報収集活動は、緊急対策本部のコミュニケーションチームに引き継がれる。
  • ここで主となるアクションは以下の通り。
    • 準備チームの解散及び緊急対策本部の設置
    • 緊急対策本部のコミュニケーションチームによる情報収集の強化
    • コミュニケーションチームからの社員への情報提供及び要請
    • 衛生管理チームによる感染予防策の開始

事業継続戦略で決定すべき事項

  • 事業継続戦略で決定すべき事項は、以下の通り。
    • 緊急対策本部のメンバー構成
    • 衛生管理チームが設置する感染予防に関する資源
      • 衛生管理チームが設置する感染予防に関する資源には、消毒用アルコール、マスク、社員や会社への来訪者の検温で使用する非接触型の体温計、測定した体温を記録する書式などが挙げられる。
      • 事業継続戦略の段階で、それらの必要な数量なども含め、資源の積算を行っておく。

11-4 新型コロナウイルスを含む感染症の発生時の事業継続計画の作成例④ ステージ:国内での感染拡大

  • 日本国内で新型コロナウイルを含む感染症が拡大し、インシデントマネジメント計画の発動が必要となった時点の行動計画の作成例。

国内の感染拡大

  • 日本国内で複数の都道府県で感染者が発生し、国内感染が拡大した状況。
    更に自社の社員への感染リスクが高まったことから、緊急対策本部によって、「インシデントマネジメント計画(IMP)の発動」が発動され、優先事業活動に従事する社員及び代替要員の保護が開始される。
  • ここで主となるアクションは以下の通り。
    • 緊急対策本部による「インシデントマネジメント計画(IMP)」の発動
    • 衛生管理チームによる感染予防の強化
    • 事業継続チームによる、優先事業活動に従事する社員及び代替要員の保護
      • 「衛生管理チームによる感染予防の強化」には、以下のものが含まれる。
        • 不要不急の会議の中止又は延期
        • 不要不急の社内研修や会合の中止又は延期
        • 不要不急の取引先訪問の中止又は延期

事業継続戦略で決定すべき事項

  • 事業継続戦略で決定すべき事項は、以下の通りとなります。
    • 「インシデントマネジメント計画(IMP)」の発動基準
    • 会議、社内研修、会合の延期や中止の基準
    • 優先事業活動に従事する社員及び代替要員の保護の方法
      • 「優先事業活動に従事する社員及び代替要員の保護」には、以下のものが含まれるが、事業継続戦略において、人命優先の見地から、優先事業活動を支える社員以外にも、基礎疾患を持つ社員や高齢の社員にも適用することや、その他の社員にも適用することが考えられる。
        • 通勤方法又は通勤時間の変更
        • 社内の人が集まる場所への立入制限
        • 社外の者との面談の禁止
        • 休日の人が集まる場所への外出自粛

11-5 新型コロナウイルスを含む感染症の発生時の事業継続計画の作成例⑤ ステージ:国内での感染蔓延

日本国内で新型コロナウイルを含む感染症が蔓延し、事業継続計画の発動が必要となった時点の行動計画の作成例。

国内での感染蔓延

  • 自社の所在及び近隣ならびに自社の活動地域の都道府県で感染が増大した状況。
    緊急対策本部によって、「事業継続計画(BCP)」が発動され、優先事業活動が事業継続体制に移管される。
  • ここで主となるアクションは以下の通り。
    • 緊急対策本部による「事業継続計画(BCP)」の発動
    • 事業継続チームによる、優先事業活動に従事する社員及び代替要員への事業継続体制への移行
    • 衛生管理チームによる、その他社員への要請

事業継続戦略で決定すべき事項

  • 事業継続戦略で決定すべき事項は、以下の通りとなる。
    • 「事業継続計画(BCP)」の発動基準
    • 優先事業活動を復旧し、継続する方法(代替要員の選定も含む)
    • 優先事業活動以外の業務に従事する社員の活動
      • 「優先事業活動を復旧し、継続する方法」では、想定するインシデントの特性に応じて、以下を明確にし、それぞれの形態によって、具体的にどのような方法で優先事業活動を行わせるかを明確にする必要がある。
        • 在宅勤務(テレワーク)によって継続する業務
        • 限定された作業環境及び方法によって継続する業務
          • 在宅勤務(テレワーク)を採用する場合は、以下の資源に関する検討も必要となる。
            • PCは会社から貸与するか、社員の所有のものを使用させるか?
            • 業務の遂行にはどのような社内システムやデータが必要か?
            • 在宅勤務(テレワーク)で課題となる処理はどのようなのもがあるか、またその解決策はどのようにするか?

在宅勤務(テレワーク)における留意事項

  • 在宅勤務(テレワーク)を採用する際は、通常時の就業環境とことなることから、主として情報セキュリティと労働安全衛生に関する取り決め事を、事業継続戦略の段階で明確にする必要がある。
  • 在宅勤務(テレワーク)における情報セキュリティの考慮事項には、以下のようなものが考えられる。
    • 会社より貸与されたPC以外での業務の禁止
    • 個人所有のPCの利用を許可された場合の以下の順守
      • 個人アカウントの作成、会社のパスワードポリシーに準拠したパスワードの設定
      • 会社が指定するウイルス対策ソフトのインストール及びその設定
    • 会社のシステムやネットワークにアクセスする場合の、会社規定のセキュリティを保った専用ツールの使用
    • クリアースクリーンポリシーの順守による、ショルダーハックの防止(家族を含む第三者によるPCへの不正アクセス防止)
    • 情報セキュリティ事象及びインシデントが発生した場合の、可及的速やかな上司への報告と、指示されたインシデントの拡大防止策の実施
  • 在宅勤務(テレワーク)における労働安全衛生の考慮事項には、以下のようなものが考えられる。
    1. 作業環境管理
      • 【照明及び採光】
        • 室内は、できるだけ明暗の対照が著しくなく、かつ、まぶしさを生じさせないようにすること。
        • ディスプレイ画面上の照度、及び書類上のキーボード上における照度は、適切なルクスにすること。また、ディスプレイ画面の明るさ、書類及びキーボード面における明るさと周辺の明るさの差は、なるべく小さくすること。
        • ディスプレイの画面に直接または間接的に太陽光が入射する場合は、必要に応じて窓にブラインド又はカーテン等を設け、適切な明るさとなるようにすること。
      • 【グレアの防止】
        • ディスプレイ画面の位置、前後の傾き、左右の向き等を調整させること。
        • 反射防止型ディスプレイ画面を用いること。
        • 間接照明等のグレア防止照明器具を用いること。
    2. 作業の管理
      • 作業と作業の間に10~15分程度の休憩時間をとり、連続VDT作業は、1時間を超えないようにすること。

在宅勤務(テレワーク)における業務統制

  • 在宅勤務(テレワーク)を採用する際は、通常時の就業環境と異なることから、業務の統制を行う方法も事業継続戦略の段階で明確にする必要がある。
  • 在宅勤務(テレワーク)における業務の統制方法には、以下のようなものが考えられる。
    • 社員の業務状況を把握するための「業務計画書兼報告書」の作成指示
    • 「業務計画書兼報告書」による、状況の把握と問題や課題の特定ならびにその解決
    • テレビ会議システムを用いた、部門のメンバーとのコミュニケーションの実施
  • コミュニケーションには、業務の統制に加え、在宅勤務(テレワーク)で働く、社員のモチベーションやストレスの確認も含まれる。

その他の社員の活動

  • 優先事業活動以外の業務に従事する社員の活動を明確にするために、事業継続戦略の段階で、その他の業務の優先順位付けを行う必要がある。
  • 優先順位の分類は、以下のようなものが考えられる。
    • 通常時と同様に継続すべき業務
    • 規模・頻度を減らすことが可能な業務
    • 休止・延期できる業務
  • 「通常時と同様に継続すべき業務」は、優先事業活動であり、事業継続計画によって継続される。
  • 優先事業活動以外で、「規模・頻度を減らすことが可能な業務」については、在宅勤務(テレワーク)が可能な場合は、業務範囲を縮小した上で継続される。
  • 「休止・延期できる業務」は、その業務に従事する社員は、優先事業活動の応援にまわるか、または、感染予防の観点から自宅待機などの判断が下される。

11-6 新型コロナウイルスを含む感染症の発生時の事業継続計画の作成例⑥ ステージ:感染の終息

日本国内で新型コロナウイルを含む感染症が終息し、事業継続計画の解除から回復へ移行する時点の行動計画の作成例。

感染の終息

  • 国内で感染症が終息し、感染の危険が低減された状況。
    緊急対策本部によって、「事業継続計画(BCP)」が解除され、「事業回復計画(BRP)」が発動される。
  • ここで主となるアクションは以下の通り。
    • 緊急対策本部による「事業継続計画(BCP)」の解除
    • 緊急対策本部による「事業回復計画(BRP)」の発動
    • 優先事業活動の平常時の業務形態への回復
    • その他の業務の平常時の業務形態への回復
    • 緊急対策本部による、実施した活動の評価及び改善

事業継続戦略で決定すべき事項

  • 事業継続戦略で決定すべき事項は、以下の通り。
    • 「事業継続計画(BCP)」の解除基準
    • 「事業回復計画(BRP)」の発動基準
    • 優先事業活動の平常時の業務形態への回復方法
    • その他の業務の平常時の業務形態への回復方法
    • 実施した活動の評価方法

実施した活動の評価

  • 実施した活動を正しく評価するためには、事業継続戦略の段階で、どのような情報を、どのような書式を用いて記録しておくかを明確にする必要がある。
  • 評価の対象は、以下のようなものが考えられる。
    • 各計画(IMP、BCP、BRP)の妥当性
    • コミュニケーション手順の妥当性(方法、対象やタイミング)
    • アクションリストの適切性(わかりやすさ、抜け漏れ)

12.事業継続マネジメントシステムをレビューする

「事業継続マネジメントシステムをレビューする」では、主に以下のことが述べられています。

12-1 マネジメントシステム内部監査とは

事業継続マネジメントシステムにおける内部監査とは、事業継続マネジメントシステムの適合の度合いと有効性を判定するために実施されるチェックのプロセスを指す。

事業継続マネジメントシステムにおける内部監査とは

  • 監査の指針であるISO19011:2018では、監査基準が満たされている程度を判定するために、客観的に証拠を収集し、それを客観的に評価するための体系的で、独立し、文書化されたプロセスとしている。
  • ISO22301:2019の規格要求事項や適用される法令及び規制要求事項、組織が策定した事業継続マネジメントシステムの手順などの明確な監査基準に基づき、被監査者に対するインタビューや文書、記録の確認、現場の観察などによって、客観的な証拠を収集し、適合の度合いや有効性を判定するプロセスであるとしている。

事業継続マネジメントシステムにおける内部監査の位置付け

  • 自社の事業継続マネジメントシステムが適切に構築され、また、常に最良の状態であるかを確認するための、体系的でかつ独立的な活動が内部監査。
  • 効果的な内部監査手順の確立及び実施は、自社の事業継続マネジメントシステムの適切性、妥当性、及び有効性の継続的改善にきわめて重要なポイントとなる。

マネジメントシステム内部監査の目的

  • 事業継続マネジメントシステムに対する内部監査の目的は、適合性の判定と有効性の判定の二つに大別される。
    1. 適合性の判定
      適合性の判定も、「体制面の適合性判定」と「運用面の適合性判定」に大別される。
      • 体制面の適合性の判定
        ISO22301:2019の規格要求事項、自社が取り決めたBCMSに関する独自の要求事項と、構築した事業継続マネジメントシステムとの適合性を確認することを指す。
      • 運用面の適合性の判定
        事業継続マネジメントシステムの実際の運用状況を確認することを指す。
    2. 有効性の判定
      構築した事業継続マネジメントシステムの実施結果がISO22301:2019の規格要求事項の意図に合致し、適切に成果が得られているかを確認することを指す。

12-2 監査のガイドライン

ISO19011:2018は監査の体制を確立し、実施するためのガイドラインなので、ISO19011:2018を参考にして、内部監査の仕組みを構築するとよい。

監査の指針ISO19011

  • ISO19011:2018は、監査を行うための専門のガイドライン。
  • 監査に関する用語の定義(箇条3)、監査に関する原則(箇条4)、監査プログラムのマネジメント(箇条5)、監査の実施(箇条6)、監査員の力量及び評価(箇条7)などの監査体制の確立及び実施に必要な事項を規定している。

監査プログラムのマネジメント

  • 監査プログラムのマネジメントでは、監査プログラムの目的の設定、監査プログラムのリスク及び機会の決定及び評価、監査プログラムの確立、監査プログラムの実施、監査プログラムの監視、監査プログラムのレビュー及び改善など、組織が監査の仕組みを確立する際に必要な要件を規定している。

監査の実施、監査員の力量及び評価

  • 監査の実施
    監査の開始、監査活動の準備、監査活動の実施、監査報告書の作成及び配布、監査の完了、監査のフォローアップの実施など、実際に監査を実施する際に必要なガイダンスを規定している。
  • 監査員の力量及び評価
    監査員の力量の決定、監査員の評価基準の確立、監査員の適切な評価方法の選定、監査員の評価の実施、監査員の力量の維持及び向上など、力量マネジメントに関する基本的な要件を規定している。

12-3 マネジメントシステム内部監査の体制確立

マネジメントシステム内部監査の体制は、内部監査の実施に責任を持つ内部監査責任者と、その内部監査責任者の配下の内部監査チーム(内部監査部門)によって構成される。

マネジメントシステム内部監査に関する主要な役割

  • マネジメントシステム内部監査の体制を確立する場合、一般的には、事業継続マネジメントシステムにおける内部監査の実施に責任を持つ内部監査責任者が任命される。
    内部監査責任者の配下には、内部監査チームが設置される。
  • 内部監査チームは、内部監査責任者の指揮のもと、内部監査を実施し、報告する役割を担う。

内部監査責任者の任命と内部監査員の選定

  • BCMS推進リーダーをけん制できる立場の人間が内部監査責任者の任を担うのが望ましい。
  • 内部監査員の選定については、ISO22301:2019では、内部監査員の選定及び実施は、監査プロセスの客観性及び公平性を確実にすることを要求していることから、内部監査員の選定時に独立性を確保することが必要となる。

内部監査責任者と内部監査員の選任及び権限

  • 内部監査責任者の主要な役割
    以下のものが考えられる。
    • 内部監査計画書の作成
    • 内部監査の指揮及び監督
    • 内部監査員の選定、育成及び配置
    • 内部監査報告書(全体報告・要約)の作成
    • トップマネジメントへの報告
  • 内部監査員の主要な職務
    以下のものが考えられる。
    • 内部監査責任者によって割り当てられた被監査部門への内部監査のための準備
    • 監査日程表の作成・被監査部門への提出・被監査部門との監査日程の合意
    • 被監査部門へ赴きオープニングミーティングの実施、監査の実施、監査報告書・不適合報告書の作成、クロージングミーティングの実施、フォローアップ監査の実施
    • 内部監査責任者への報告

12-4 マネジメントシステム内部監査に必要な力量

内部監査を適切かつ効果的に実施するためには、内部監査員の力量が非常に大きなポイントとなる。

マネジメントシステム内部監査に必要な力量

  • 適切にかつ効果的に実施するためには、内部監査員の力量は重要な要素となるので、教育の受講や内部監査の実務経験を積むなどを通じて、必要な力量を保有させる必要がある。
  • 必要な力量の例としては、以下のものが挙げられる。
    • 内部監査に関する知識
    • 内部監査員の個人的特質
    • 内部監査の実施に関する技能

内部監査に関する知識

  • 内部監査に必要な知識は、以下のものが挙げられる。
    • 自社の内部監査の体制(役割や責任及び権限)に関する知識
    • マネジメントシステム内部監査の実施方法に関する専門的な知識
    • 内部監査ツールに関する知識など、自社の内部監査手順に関する知識とISO22301:2019の規格要求事項に関する知識
    • 自社の事業継続マネジメントシステム(被監査部門の手順)に関する知識

内部監査員の個人的特質

  • 内部監査員の選定では、個人的特質も重要な要素。
  • ISO19011:2018の7.2.2個人行動ではその特質の例として以下の13点を挙げている。
    • 倫理的であること
    • 心が広いこと
    • 外交的であること
    • 観察力があること
    • 知覚が鋭いこと
    • 適応性があること
    • 粘り強いこと
    • 決断力があること
    • 自律的であること
    • 不屈の精神をもって行動すること
    • 改善に対して前向きであること
    • 文化に対して敏感であること
    • 協力的であること

内部監査の実施に関する技術

  • 内部監査の実施に関する技術については、以下のものが挙げられる。
    • 被監査者に行うインタビュー時に必要な「質問技術」
    • 記録や実施状況の確認時に必要な「客観的証拠の判定能力」
    • 指摘事項の報告書作成に必要な「報告文書の作成スキル」

12-5 マネジメントシステム内部監査の計画

  • 内部監査計画書は、内部監査責任者が作成する年度内内部監査計画書と監査実施前に内部監査員が作成する被監査部門別の個別日程表がある。

監査計画

  • 監査計画に含む項目について、ISO19011:2019では含むことが望ましい項目として以下を規定している。
    • 監査目的
    • 監査範囲
    • 監査基準
    • 監査活動の場所
    • 日時
    • 使用される監査方法
    • 監査チームメンバーの役割及び責任
    • 監査の重要な領域への適切な資源の割当
  • 必要に応じて含んでもよい項目として、以下を規定している。
    • 監査に対する被監査者の代表者
    • 監査及び報告書に使用する言語
    • 監査報告書の記載項目
    • 監査の対象となる場所に対する特別な手配を含む、監査の後方支援及びコミュニケーションに関する手配事項
    • 監査目的の達成に対する不確かさの影響への特別な対応策
    • 機密保持及び情報セキュリティに関係する事項
    • 前回の監査の結果に対するフォローアップ
    • 計画した監査に対するフォローアップ
    • 合同監査の場合は他の監査活動との調整

担当する内部監査員の割当

  • 内部監査員の割当は、内部監査員と被監査部門との関係(客観性・公平性)を十分に考慮しなければならない。
  • 事前に教育・訓練を行った内部監査員をマネジメントシステム内部監査員登録簿(各内部監査員の現在や過去の所属部門を明確にした)などに登録して活用することも必要。

12-6 マネジメントシステム内部監査の準備① 個別スケジュール表

内部監査の準備には、被監査部門の手順の理解、根拠となる証拠の特定(記録など)、内部監査チェックリストの作成(又は更新)、個別スケジュール表の作成が挙げられる。

マネジメントシステム内部監査の準備

  • 内部監査の準備について、ISO19011:2018では、以下を規定している。
    • 監査に備えた文書レビューを実施すること
    • 監査計画を作成すること
    • 監査チームへの作業の割り当てを行うこと
    • 作業文書を作成すること
      • チェックリストや監査サンプリング計画
      • 根拠となる証拠
      • 監査所見
      • 会議議事録などの情報を記録するための書式

監査部門の監査対象業務を理解する

  • 各内部監査員は、事業継続方針、BCMS基本規程、個別規程や手順書、各部門の事業継続目的(目標)と達成のためのアクションプランや教育計画などを入手し、被監査部門の事業継続マネジメントに関する主要な業務を理解する。
  • 被監査部門の事業継続マネジメントに関する特性や鍵となる管理のポイント、実施すべき手順、役割などを理解することが、効果的な内部監査を実施することにとって重要。
  • これらの情報に基づいて内部監査チェックリストや被監査部門ごとの個別スケジュール表が作成される。

個別スケジュール表(被監査部門別の個別日程表)

  • 各内部監査員は、監査実施前に担当する被監査部門用の個別(被監査部門別の個別日程表)を作成する。
    その目的は、対象の被監査部門へ日時ベースのスケジュール、監査目的・依頼事項を通知し、事前に同意すること。
  • 個別スケジュール表に含むことがの望ましい内容は、以下のものが挙げられる。
    • 監査日時
    • 担当する内部監査員(リーダーとメンバーの名前と役割)
    • 監査方法
    • 被監査部門への依頼事項(参加してほしいスタッフや書類の準備など)

12-7 マネジメントシステム内部監査の準備② 内部監査チェックリスト

内部監査チェックリストとは

  • 内部監査チェックリストとは、被監査部門の内部監査対象を網羅的に示した作業文書を指す。
  • 内部監査チェックリストのメリットは、次のようなことが考えられる。
    • 内部監査の時間配分と継続性を維持することができる。
    • 内部監査員の偏見を低減することができる。
    • 内部監査時の作業負荷を低減することができる。
    • 内部監査時に期待された証拠を特定することができる。
  • 内部監査中に内部監査チェックリストに記録している内容は、内部監査を実施した証拠(監査記録)にもなる。

内部監査チェックリストの利用上の留意点

  • 内部監査チェックリストは、手順が存在しているか?、担当者は手順を理解しているか?、定められた手順通りに実施しているか?などの適合性の判定には向いている。
  • その実施している手順は有効に機能しているか?などの有効性の判定には不向き。
  • 内部監査チェックリスト以外の質問も監査現場には存在するので、内部監査チェックリストを埋めるだけでは、効果的な内部監査はできない。

12-8 マネジメントシステム内部監査の実施① 情報の収集

内部監査の実施(情報の収集)

  • 内部監査の実施は、内部監査員が被監査者と面談し行うインタビュー、内部監査員が現場へ赴き被監査者が実施している状況や活動の観察、及び文書や記録の確認などを行って実施される。
  • 内部監査員が実際の情報に基づき適合性と有効性について、判定する活動になる。
    なお、ISO19011:2018ではの付属書B」では、その情報源として、以下の9つを挙げている。
    • 従業員及びその他の人との面談の結果で得られた情報
    • 活動、周囲の作業環境及び作業条件の観察で得られた情報
    • 方針、目的、計画、手順、規格、指示、許認可、仕様、図面、契約及び注文といった文書から得られた情報
    • 検査記録、会議の議事録、監査報告書、監視プログラムの記録及び測定結果といった記録から得られた情報
    • データの要約、分析及びパフォーマンス指標から得られた情報
    • 被監査者のサンプリング計画に関する情報、ならびにサンプルプロセス及び測定プロセスを管理するための手順に関する情報
    • その他の出所からの報告書(例えば、顧客からのフィードバック、外部の調査及び評価結果、外部関係者からのその他の関連情報及び供給者のランク付け)か得られた情報
    • データベース及びウェブサイトから得られた情報
    • シミュレーション及びモデリングから得られた情報

マネジメントシステム内部監査で期待される情報

  • 内部監査で期待される情報は以下のものが考えられる。
    • 事業継続方針
    • BCMS基本規程、個別の規程や手順書
    • 各部門や階層における事業目的(目標)や達成のためのアクションプラン及び教育計画
  • その被監査部門の事業継続マネジメントに関する特性に応じた情報(計画や結果の記録など)を収集し、意図した結果になっているかを確認することが重要。
  • 内部監査員が作業現場に赴き、被監査者が実施している活動を確認する際に、望ましい観察の対象は以下のようなものが挙げられる。
    • 実際の手順
      (スタッフが実施している手順は、マニュアルや手順書に規定された通りの手順になっているか?)
    • 記録の保管
      (規定された場所及び方法で保管されているか?)
    • 現場の状況
      (施設や設備の防災の状況や備蓄品の管理状況など)

12-9 マネジメントシステム内部監査の実施② インタビューの基本要件

内部監査におけるインタビューのポイント

  • 内部監査におけるインタビューの本質は、マネジメントシステムに対する適合性と有効性について、監査員が直接担当者に聞いて心証を得ること。

相手が答えやすい環境を整備する

  • 相手が答えやすい環境を整備することとは、「すべきこと」と「してはならないこと」に分けられる。
  • 「すべきこと」の例は以下のようなものが挙げられる。
    • 相手の目を見て話す
    • 理解していることを示す
    • 興味を持っていることを示す
    • 質問は意図を明確にし、確実に理解されるようにする
    • 質問に答える時間を与える
    • 常に公平である
    • ほめるときはほめる
    • 思いやりを持つ
  • 「してはならないこと」は以下のようなものが挙げられる。
    • 一度にたくさんの質問をする
    • 曖昧な質問をする
    • 話の腰をおる
    • 答えに対して批判する
    • いらいらした姿勢をとる
    • 怠けた態度や姿勢をとる
    • 休みなく話す
    • 議論してしまう
    • わかっていないのにわかったという   

質問の主眼点をおさえてインタビューする

  • 質問の主眼点をおさえてインタビューするとは、心証を確立するポイントとなる”ルールの確立、理解、実施、有効性”を体系的にとらえてインタビューすることを指す。
  • 質問の主眼点は、以下のステップを踏んで行うのが望ましい。
    • 担当者が実施する手順は決まっているか(体制面の監査/整合性の判定)
    • 担当者は手順を理解しているか(体制面の監査/適合性の判定)
    • 定められた手順自体に有効性など問題はないか(運用面の監査/有効性の判定)

12-10 マネジメントシステム内部監査の実施③ インタビューの方法

内部監査のインタビューの方式には、オープンクエスチョンとクローズドクエスチョンがある。
質問内容で使い分けることがよいインタビューをする上でのポイント。

意図した回答が得られるような質問をする

  • 意図した回答が得られるような質問をすることとは、「はい」、「いいえ」でしか答えられない質問を極力控えることを指す。
  • 特定の事実を確認するには、「はい」、「いいえ」で答えられるクローズドクエスチョン形式を用いる。
  • 相手の考え方や理解度、問題点の確認などは、「その手順を簡単に説明してもらえますか?」「その記録を見せてもらえますか?」「そのやり方を見せてもらえますか?」「その現場をみせてもらえますか?」「××が実施されていないとどうなりますか?」などのオープンクエスチョン形式を用いる。

インタビュー時の記録

  • インタビュー時の記録は、内部監査チェックリストが主となり、内部監査チェックリストは監査を実施した証拠(監査記録)として有用。
    単に〇×だけ記入するのではなく、「なぜ適合としたのか」又は「なぜ不適合としたのか」その根拠を記入することが重要。
  • 特に不適合と判断した根拠は、監査の報告時に作成する指摘事項報告書(不適合報告書など)のインプットになることから、できるだけ判断した根拠(客観的証拠)を明確にする必要がある。

12-11 マネジメントシステム内部監査の報告

内部監査の報告は、「実施した監査がどのような結果だったのかを報告する」ためと、「発見された不適合(改善点)がどのような内容であったのかを報告する」ために行われる。

マネジメントシステム内部監査の報告

  • 内部監査が終了すると、内部監査の報告を行う。
  • 内部監査の報告には、内部監査の結果を報告する「内部監査報告書」、発見された不適合を報告する「不適合報告書」がある。

内部監査報告書

  • ISO19011:2018では、監査報告書に含むことが望ましい項目として、以下を規定している。
    • 監査目的
    • 監査範囲(組織単位及び部門単位又はプロセス単位)
    • 監査依頼者の名称
    • 監査チーム及び監査への被監査者からの参加者
    • 監査活動を行った日時及び場所
    • 監査基準
    • 監査所見及び関連する証拠
    • 監査結論
    • 監査基準が満たされた程度に関する記述
  • 監査報告書は、被監査部門単位で発行する。

不適合報告書

  • 不適合報告書は、指摘事項単位に発行する。
  • 事業継続マネジメントシステムの改善の鍵となる重要な報告書となる。
  • 不適合報告書に含むべき項目は以下の通り。
    • 監査実施日時
    • 不適合(観察事項)の発見場所
    • 監査者
    • 被監査者
    • 指摘事項の分類(不適合や改善の機会)
    • 指摘事項の内容
    • 客観的証拠
  • 被監査部門はその内容に基づき、不適合の修正及び是正処置を実施する。

是正処置の実施

  • 内部監査の結果、事業継続マネジメントシステムにおける不適合が発見された場合、被監査部門ではその不適合を修正し、また再発防止をするために不適合の原因を特定し、是正処置を行う。

フォローアップ監査

  • 内部監査員は、不適合を報告した被監査部門に対して、フォローアップ監査を実施する。
  • フォローアップ監査では、被監査部門が行った修正処置と再発防止策の有効性の両方の評価を行う。
  • フォローアップ監査の時期は、不適合の重要性に応じて、次回の監査時に実施する場合と臨時でフォローアップ監査を計画して実施する場合がある。

12-12 マネジメントシステムのレビュー

マネジメントレビューのねらい

  • 内部監査実施後に、トップマネジメントは、その他のインプットを含め、事業継続マネジメントシステムに対してマネジメントレビューを実施する。
    組織の事業継続マネジメントシステムが常に最良の状態であることを維持するため。
  • 確認すべきポイントは、マネジメントシステムの適切性、妥当性及び有効性。
    以下の着眼点に基づき、マネジメントレビューが実施され、適切なアウトプットがトップマネジメントから出される。
    • 適切性のレビューとは、事業継続マネジメントシステムが組織の特性を考慮し、フィットしているかを確認することを指す。
    • 妥当性のレビューとは、その事業継続マネジメントシステムで設定されている管理レベルが妥当であるかを確認することを指す。
    • 有効性のレビューでは、その事業継続マネジメントシステムで期待された成果が出ているか否かを確認することを指す。

マネジメントレビューの実施時期

  • あらかじめ定めた間隔で行う必要がある。
  • マネジメントレビューの開催頻度や開催時期を規定する必要がある。

マネジメントレビューのインプット

  • マネジメントレビューのインプットは以下の項目を含む。
    1. 前回のマネジメントレビューの結果取った処置の状況
    2. BCMSに関連する外部及び内部の課題の変化
    3. 傾向を含めたBCMSパフォーマンスに関する情報
      (不適合及び是正処置、監視及び測定の結果、監査結果)
    4. 利害関係者からのフィードバック
    5. 方針と目的を含む、BCMSの変更の必要性
    6. BCMSのパフォーマンス及び有効性の改善に組織内で利用できる手順及び資源
    7. 事業影響度分析及びリスクアセスメントからの情報
    8. 事業継続の文書及び能力の評価からのアウトプット
    9. 過去のいずれのリスクアセスメントでも適切に対処していなかったリスク及び課題
    10. ニアミス及び事業の中断・阻害から学んだ教訓及び実施した処置
    11. 継続的改善の機会

マネジメントレビューのアウトプット

  • マネジメントレビューのアウトプットでは、「改善の機会」と「次の1~4」に関する決定及びBCMSの有効性を改善するためのあらゆる変更の必要性などについて、トップマネジメントがBCMS推進リーダーまたは適切な部門長に必要な改善の指示を行うことを指す。
    1. BCMSの適用範囲の変更
    2. 事業影響度分析、リスクアセスメント、事業継続の戦略及び具体策、事業継続計画の更新
    3. BCMSに影響する可能性がある内部及び外部の課題に対応するための手順及び管理策の修正
    4. 管理策の有効性の測定方法

13.ISO22301の認証審査を受ける

「ISO22301の認証審査を受ける」では、主に以下のことが述べられています。

13-1 ISO22301認証取得のメリット

ISO22301取得によるメリット

  • ISO22301認証取得のメリットは大きく分けると二つのメリットに分類される。
    1. 内部的なメリットで、ISO22301に基づく事業継続マネジメントシステムのフレームワークを用いた管理効果、すなわち内部管理機能の強化。
    2. 外部的なメリットで、第三者認証を取得することによる効果、すなわち、利害関係者に対する安心感の提供

内部管理機能の強化

  • 事業継続マネジメントシステムのフレームワークを用いた管理効果には、代表的なものとして、次のようなものが考えられる。
    • 適切な事業影響度分析及びリスクアセスメントの実施により自社の特性に応じた効果的な「事業継続計画(BCP)」が策定できる。
    • 自社のサプライチェーンマネジメント(SCM)の仕組みの見直しや改善を行うことができる。
    • 効果的かつ継続的な演習プログラムの実現により、策定した「事業継続計画(BCP)」を形骸化させず、常に実行可能な事業継続体制を維持することができる。
    • 認識向上プログラムの確立及び実施により、全社員が常に事業継続を意識できる企業文化の形成を実現できる。

顧客や利害関係者への安心感の提供

  • 顧客や利害関係者に対して、ISO22301認証取得企業とアピールでき、「安心」を提供できる。

13-2 認証審査までのステップ① ISO22301の認証取得を実現するためには

認証取得に必要なこと

  • ISO22301に基づく事業継続マネジメントシステムの認証取得を実現するためには、ISO22301の規格要求事項の理解、推進体制の確立、構築手法の理解と決定、事業継続マネジメントシステムの構築、運用、内部監査の実施とマネジメントレビューの実施に加え、認証機関からの審査を受審する必要がある。

構築及び運用

  • 最初のステップはISO22301規格要求事項を推進メンバーが正しく理解し、10~12に記載の構築、導入、レビューを行う。

審査の受審

  • 予備審査(任意)→第1段階審査(初回の認証に関する審査)→第2段階審査(初回の認証に関する審査)の認証を取得するための審査と、その認証を維持するための維持審査及び更新審査がある。
  • 初回認証に必要な審査は、以下の通り。
    • 第1段階審査
      事業継続マネジメントシステムの枠組みとシステム文書の構築状態を確認する審査
    • 第2段階審査
      事業継続マネジメントシステムの実施状況を確認する審査
    • 予備審査
      任意の審査で、構築した事業継続マネジメントシステムが初回審査に進めるかを判断するためには有効。

13-3 認証審査までのステップ② 初回認証審査

第1段階審査

  • 事業継続マネジメントシステムの枠組みが確立され、必要な文書が作成されており、ISO22301の規格要求事項に適合していることを確認することが審査の主な目的。

第2段階審査

  • 構築した事業継続マネジメントシステムが実際に運用され、ISO22301の規格要求事項への適合と組織の事業継続方針や目的にかなった仕組みであることを確認するのが目的。

13-4 認証を維持するためには 維持審査と更新審査

維持審査

  • 認証取得後に定期的に実施される審査。
    審査の頻度は1年ごと実施。
  • 事業継続マネジメントシステムの鍵となる活動をサンプリングで確認する。

維持審査の範囲

  • 維持審査の内容には以下の確認が含まれる。
    • 内部監査及びマネジメントレビュー
    • 前回の審査で特定された不適合についてとられた処置のレビュー
    • 苦情の処理
    • 被認証顧客の目的の達成及び各マネジメントシステムの意図した結果の達成に関するマネジメントシステムの有効性
    • 継続的改善を狙いとする計画的活動の進捗状況
    • 継続的な運用管理
    • 変更があればそのレビュー
    • マークの使用及び/又は認証に関する引用
  • 維持審査において指摘事項があった場合は、受審組織は是正処置を実施する必要がある。
  • 維持審査で検出された指摘事項に対する是正処置の完了が確認できるまで、認証機関からの登録維持は得られない。(重大な不適合が発見された場合は、是正処置の確認は現地で実施される。)

更新審査

  • ISO22301の認証登録の有効期限は3年。
    認証登録を更新する場合は、3年に一度の更新審査を受ける必要がある。

更新審査の範囲

  • 認定基準のISO/IEC17021-1:2015の「9.4 再認証」では、更新審査の内容に以下を含むとしている。
    • 内部及び外部の変更に対するマネジメントシステム全体としての有効性、ならびに認証範囲に対するマネジメントシステムの継続的な関連性及び適用可能性。
    • 全体のパフォーマンスを高めるために、マネジメントシステムの有効性を維持し、改善し続けることに対する実証されたコミットメント。
    • 被認証組織の目的の達成及び各マネジメントシステムの意図した結果の達成に関するマネジメントシステムの有効性。
  • 維持審査と同様に指摘事項があった場合は、受審組織は是正処置を実施する必要がある。
  • 更新審査で検出された指摘事項に対する是正処置の完了が確認できるまで、認証機関からの登録更新は得られない。

14.BCMS文書文例集

ISO22301の認証取得の準備に参考となる以下の文書のサンプルが掲載されています。

  • BCMS基本規程
  • BCMS事業影響度分析実施規程
  • 事業影響度分析シート
  • BCMSリスクアセスメント実施規程
  • リスクアセスメントシート
  • リスク対応計画計画書兼リスク対応完了報告書
  • 新型コロナウイルスを含む感染症発生時の事業継続計画

最期に

この本はISOに関することから始まり、ISO22301:2019の規格要求事項の解説、事業継続マネジメントシステムの構築、運用から審査の受審に至るまで幅広く、かつ、詳しく書かれています。
ISO22301の理解には有用だと思います。

コメント

タイトルとURLをコピーしました