ISO22301(BCMS)とは?概要やメリット、取得企業まで徹底解説
- ISO22301は事業継続マネジメントシステムに関する国際規格
- 不測の事態に備え、会社を継続できる体制づくりとして、年々、関心が高まっている
東日本大震災やコロナウイルスの流行などの緊急事態が起きていることで、年々、事業継続に関する関心は高まっています。大企業だけでなく、中小企業においても同様に対策を講じることが求められるようになっています。
そこで防災という観点だけでなく、会社を継続させるための事業継続計画(BCP)に関する国際規格であるISO22301が注目されるようになってきました。
この記事では、ISO22301の概要や要求事項、取得するメリットなどを解説しています。ISO22301の取得を検討している企業の方は、ぜひ参考にしてください。
目次
ISO22301とは
ISO22301とは、事業継続マネジメントシステム(BCMS)に関する国際規格です。
自然災害や伝染病、ITシステムの障害などの予測できない非常事態が発生した際にも、事業を継続あるいは中止後にも早期復旧できる体制を構築するために制定されました。
BCMS(事業継続マネジメントシステム)との関係性
BCMSとは、事業継続マネジメントシステムのことです。
ISO22301との関係性を解説する前に、まずBCP・BCM・BCMSについて理解しておくことが大切です。
・BCP(事業継続計画)
緊急事態が発生した際に、事業の継続あるいは中止した事業のすみやかな復旧を実施し、ビジネスを継続させるための計画
・BCM(事業継続マネジメント)
BCPを策定し、緊急事態に実際にBCPに則った対応ができるように、社員の教育や想定訓練などを実施・改善するなど日ごろからBCPを運用・マネジメントすること
・BCMS(事業継続マネジメントシステム)
BCMに関わる活動を経営と一体化して実施することで、長期にわたり、より実効性の高い運用ができるようにシステム化したもの。方針策定やマネジメントレビュー、内部監査の実施が含まれてくる
つまり、BCMSの構築は、緊急事態の備えとしての手段というだけではなく、通常時の経営とも密接に結びついた活動が求められることになります。しかし、どのような取り組みを実施すれば有効なBCMSを構築・運用できるのかは、緊急事態になってみないとわからない側面があります。
そこで、ISO22301は各国のベストプラクティスを考慮し、「どのような手順で取り組むと、有効なBCMSを構築・運用できるのか」を提示しているフレームワークとなっています。また、国際規格という第三者認証であるため、BCMSに取り組む組織が、社会的に評価されるための基準としての役割も果たしているのです。
ISO22301を取得する必要性
東日本大震災や新型コロナウイルスの流行などのさまざまな緊急事態が発生したことで、企業活動を継続あるいは早期復旧するために、有事に備える必要性が増しています。
それは、事業を復旧する方針や手順が定められていなければ、自社の事業活動を行うことができず、その間に自社の顧客を失い、経営が立ち行かなくなるリスクがあるためです。
また、事業活動の一部を他社に依存している企業においては、自社に直接の被害がなくとも、サプライチェーンのどこかで問題が発生することで、事業活動に大きな影響を与えます。
そのため、リスクマネジメントを重視している企業では、取引先に対してもどのような対策を実施しているのかを確認する動きが出てきています。ホームページ上に自社のBCPを明示する企業も増えています。
こうした背景から、ISO22301を取得により事業継続マネジメントシステムを構築・運用するとともに、自社の対策を明示するなどして顧客や取引先に対して自社の事業継続における信頼を高める必要があるのです。
ISO22301の取得企業一覧
ISO22301の取得企業数は、情報マネジメントシステム認定センターのホームページ
から確認できます。
ISO22301は2012年に発行された新しい規格であることと、事業継続への対応という特性上、あまり取得している企業は多くありません。しかし、イオン株式会社やNECグループなどの大手企業が取得するなど業種を問わず取り組んでいる企業も存在します。日本国内における取得数は、2023年2月15日現在では、94社となっています。
ISO22301を取得するメリット
ISO22301を取得することで、緊急事態における事業継続性を高める体制を構築・運用できるようになります。それにより得られるメリットを3つ解説します。
リスクマネジメントの強化
ISO22301では、リスクアセスメントを実施し、さまざまなリスクを洗い出しから低減措置の決定までを行うことが求められます。どの経営資源に対し、どのような脅威があり、どの程度の影響が見込まれるのか、またどのような脆弱性が求められるのかを洗い出し、リスクを見積もっていきます。その結果に基づき、BCPを設計し、演習を実施するなどして運用していくのです。
ISO22301ではPDCAサイクルでの運用が求められるため、継続的改善が期待でき、長期的なリスクマネジメントの強化につながります。
企業価値の向上
ISO22301を取得し、自社の事業継続性を対外的にアピールすることで、企業価値の向上が期待できます。なぜなら、自社の事業を継続できると、自社の事業活動を復旧するだけでなく取引先や顧客、その他の利害関係者に対する社会的責任を果たすことにもつながるためです。
また、取引先からの信頼を高め、他社に対する優位性を得られる可能性もあります。緊急事態に対して迅速な対応ができるよう取り組んでいる会社とまったく取り組んでいない会社とでは、どちらの方が取引先に選ばれるかは明らかでしょう。
事業体制の強化
ISO22301の取得により、緊急事態における対応が可能になりますが、事業体制そのものの強化につながります。緊急事態での対応を明らかにするためには、自社の事業体制における構造や人材配置、業務フローなどのさまざまな点を整理して把握する必要があります。その過程で、無駄な人員配置や業務フロー、責任の所在が不透明な業務などが発見される可能性があるのです。
そうした課題を把握し是正することで、業務効率化や組織環境の見える化などにつながり、組織全体の事業体制の強化が期待できるでしょう。
ISO22301の要求事項
それでは、ISO22301を取得するために、組織はどのようなBCMSを構築・運用する必要があるのでしょうか。ここでは、ISO22301で定められている要求事項について解説します。
1.適用範囲~3.用語及び定義
「1.適用範囲」~「3.用語及び定義」においては、ISO22301の概要の解説となっており、具体的な要件を述べているのは「4.組織の状況」以降です。
4.組織の状況
「4.組織の状況」では、現在の組織の状況を、以下の3つを考慮して把握することが求められています。
- 組織の能力に影響する組織内外における課題の特定
- 利害関係者のニーズや期待の特定
- 法令や規制の要求事項の特定
組織の状況を把握したのち、BCMSを構築・運用する適用範囲を確定します。
5.リーダーシップ及び働く人の参加
「5.リーダーシップ及び働く人の参加」では、トップマネジメントに求める責任と働く従業員の参加について求めています。
トップマネジメントは、BCMSに関するリーダーシップやコミットメントを実証する必要があります。事業継続方針や事業継続目的を確立し、従業員や利害関係者がBCMSに参加できるよう支援しなければなりません。
6.計画~7.支援
「6.計画」では、危険源やリスクの特定・分析・評価(リスクアセスメント)を達成するための計画策定が求められます。
BCMS特有の書類としては主に以下のものが挙げられます。
- 事業影響度分析(BIA)手順書
- リスクアセスメント実施手順書
- 事業継続計画策定・管理手順書
- インシデント対応手順書
「7.支援」は、BCMSの運用に必要なヒト、モノ、情報などの資源管理・社内外のコミュニケーション・文書管理における要件です。
8.運用
「8.運用」では、「6.計画」で立案した対策を確実に実施することに加えて、緊急事態が起きた場合の準備や対応についても規定しています。事業影響度分析やBCPの策定なども実施します。
BCMSにおいては、緊急事態を想定した演習プログラムを実施し、事業継続戦略や具体策の有効性が継続されているかどうかを検証しなければなりません。また、そのためには自社に関わる人々への教育も必要になってきます。
9.パフォーマンス評価~10.改善
「9.パフォーマンス評価」および「10.改善」は、マネジメントレビューや内部監査の実施について記載されており、BCMSをどのように評価し、改善していくかに関する要件です。運用したことではじめて修正点が見つかる可能性があるため、BCMSの有効性を保つのに欠かせない要求事項になっています。
ISO22301の取得や有効なBCMSの構築・運用を目指す場合には、要求事項をよく理解することが必要です。専門性の高い内容になっているため、コンサルティング会社に相談してみるのも一つの手といえるでしょう。
ISO22301の取得・維持に必要な認証審査とは
それでは、最後にISO22301の取得・維持に必要な認証審査について解説します。
ISO22301を取得するための審査
ISO22301を取得するためには、登録審査(認証審査)を受ける必要があります。登録審査では以下の2回の審査が行われます。
- 文書審査;BCMSを構築・運用した際に作成した事業継続方針やBCP、リスクアセスメントなどの文書や記録などを審査する
- 実地審査;取得する組織に審査員が訪問し、トップマネジメントへのインタビューや現場を確認し、BCMSと要求事項の適合性やBCMSの有効性を審査する
これらの審査を受け、問題なければ認証となります。もし、要求事項への不適合などが見つかった場合には指摘事項に対し、是正処置を行い、再度審査が行われます。
ISO22301を維持するための審査
ISO22301を取得したあとも、BCMSと要求事項の適合性やBCMSの有効性を確認するため、以下の2つの審査を受ける必要があります。
・定期審査(維持審査、サーベイランス審査):1年に1回行われる審査。BCMSが問題なく運用しているかを審査するため、登録審査の約5~6割の内容が確認される。
・更新審査:3年に1回行われる審査。登録審査と同じように適用範囲全体が審査されるため、登録審査と同等かそれ以上に確認工数がかかる場合がある。
ISO22301は審査を受け、自社のBCMSが要求事項に適合し、有効に運用できていると判断されると、取得・維持することができます。
まとめ
ISO22301とは事業継続マネジメントシステムに関する国際規格であり、緊急事態の際にも事業を継続できる体制づくりに役立ちます。
そのため、リスクマネジメントを重視する取引先からの信頼醸成にもつながるでしょう。
日本においても、防災対策における重要性が増しているため、ISO22301取得を検討してみてはいかがでしょうか。”
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい