ISOとKAIZENの部屋
   池上生産技術研究所　BCMS/ISO9001/IATF16949/生産改善 コンサルタント　　ISOとKAIZENの部屋 TOPへ

BCMS（事業継続マネジメント）　ISO 22301:2019 セキュリティとレジリエンス（回復力） - 事業継続マネジメントシステム - 要件

ISO 22300-2018　セキュリティと回復力—定義（改訂：JIS未発行）　　（2020.06.25）
改訂情報です。ISO22300-2012は、2018年に改訂されました。語彙数は、2012版の76から2018版では大幅に増えて、277となった。　2020年6月25日現在、JIS化はされていない。
（部分）



ISO22313:2020 セキュリティと回復力(レジリエンス）-事業継続マネジメントシステム-ISO22301使用に関するガイダンス　　概要　（2020.03.27）
（原文より抜粋＝当社仮訳）
ガイダンスの意図は、ISO22301の要求事項の意味と目的を説明し、明確にし、解釈の問題の解決を支援することである。これらの文書の範囲は、ISO22301の要求事項を超えることがある。したがって、組織は、満たすべき要求事項を確認するために、常にISO22301を参照することが望ましい。 前版と比較した主な変更点は以下の通りである。
- この文書を ISO22301 の最新版と整合させるために、構造と内容を変更した。
- 重要な概念と用語を説明するためのガイダンスを追加した。
- ISO/TS 22332（開発中）に含まれる予定の8.4から内容を削除した。

0.6　中断・阻害は、組織全体の業務と製品やサービスを提供する力量を中断させる可能性がある。しかし、中断が発生する前に BCMS を導入することで、インシデント発生後に無計画に対応するのではなく、組織は、許容できないレベルの影響が発生する前に業務を再開することが可能になる。

事業継続管理には、次のことが含まれる。

a) 組織の製品やサービス、そしてそれらを提供する活動を特定する。

b) 活動を再開しないことによる影響と、その活動に依存しているリソースを分析する。

c) 事業中断のリスクを理解する。

d) 製品やサービスの提供を再開するための優先順位、時間枠、力量、戦略を決定する。

e) 途絶後、必要な時間枠内に活動を再開するための解決策と計画を用意すること。

f) あらゆる状況下で効果を発揮するように、これらの手配が定期的に見直され、更新されていることを確認すること。 

事業継続管理に対する組織のアプローチ及びその文書化された情報は、その文脈（例えば、事業環境、複雑性、ニーズ、リソー ス）に応じて適切であるべきである。

事業継続は、突然の中断・阻害（例：爆発）と漸進的なもの（例：パンデミック）の両方に対処する上で有効である。

リスクマネジメントと、事業継続マネジメントシステム/事業継続ガイドライン　　　(2020.02.25)
折しも、新型コロナウイルスで、心配な状況が、日本でも世界各地でも続いているが、実は、毎年なにがしかの危機が、日本列島を襲っている。自然災害もあるが、人災といえる事象もまた多い。特に心配な点は、地球温暖化による気候変動であろう。1970年ごろから、こうした警鐘は鳴らされてきたが、今もまだ鳴り続けたままだ。（「日本の気候変動とその影響－2018環境省」http://www.env.go.jp/earth/tekiou/report2018_full.pdf/「IPCC「1.5℃特別報告書」の概要-環境省」： http://www.env.go.jp/earth/ipcc/6th/ar6_sr1.5_overview_presentation.pdf)、また、日本列島に大地震が来るという予測も出されていて、首都直下では、今後30年で70％の確率で起こる(内閣府：http://www.bousai.go.jp/kaigirep/chuobou/jikkoukaigi/03/pdf/1-1.pdf) 、さらに南海トラフ地震では、今後30年で、70-80％の確率（政府　地震調査研究推進本部　https://www.jishin.go.jp/regional_seismicity/rs_kaiko/k_nankai/)という報告もある。
こうした情勢を踏まえ、官民問わず、対応をとっていかないといけないわけであるが、民間企業にとっては、何をすればよいのかよくわからず、、不安感が増しているのが現状ではないだろうか。新型コロナウイルスでも、武漢の出来事が、この日本でも様々な現象が起こりまた起こりつつあり、「部品が届かず、操業休止」、「人の往来ができず、客の減少、商談の中止」、「り患の不安、感染の拡大、マスク等の品不足」、などが見られる。
こうした中で、リスクマネジメントや、事業継続マネジメントシステムが注目されてきているが、入門編として対応の仕組み、ガイダンスや規格などを以下に紹介する。
・JIS Q 31000：2019 (ISO 31000：2018)  リスクマネジメント−指針：この規格は，リスクのマネジメントを行い，意思を決定し，目的の設定及び達成を行い，並びにパフォーマンスの改善のために，組織における価値を創造し保護する人々が使用するためのものである。指針であるので認証を目的としていない。
・ISO 22301:2019(JIS Q 22301)（事業継続マネジメントシステム－要求事項）：ISOマネジメントシステム標準を実行するユーザーに役立つように設計された、高レベルの構造を持つ。/自己決定と自己宣言、また第三者認証制度がある。
・内閣府の事業継続ガイドライン　：http://www.bousai.go.jp/kyoiku/kigyou/pdf/guideline03_ex.pdf
・「事業継続力強化計画」の認定制度:中小企業庁：https://www.chusho.meti.go.jp/bcp/contents/level_c/bcpgl_01_1.html：この計画に沿ったプログラムの認定制度がある。
～ISOに限らず、事業継続のための危機管理、リスクマネジメントの手法や制度があるので、組織で適用可能な方策を探し、「事業継続、リスク対応」を進めてほしい。　事故や災害対応、非常事態、会社の存続を危うくする事態は、起きてからでは遅い、何事にも予防が一番であるので、今すぐ始めよう。

※緊急事態の最新自己チェック
「あなたの会社に、緊急事態に対応するプログラムはありますか？」
「昨年秋の台風19号、大雨、風被害等にそのプログラムは、有効でしたか？」
「サーバーデータが侵入によって消されるおそれはないか、実証されているか？」
「消去、破棄すべきデータ(HDDなど)の流出などの対応が取れて、実証されているか？」
「今回の新型コロナウイルス問題で、予想されていなかった影響は出ていませんか？」　
「緊急事態の時に、誰が司令塔になって、何をするか決まっていますか？」　こんな点も自己採点してみてください。

ちなみに、自動車セクター規格IATF16949は、品質要求のみではなく、条文中に「6.1.2.3　緊急事態対応計画を立てること」、「7.1.4プロセスの運用に関する運用＝労働安全衛生マネジメントの運用＝ISO45001の取得で実証を示唆」、の適用など事業プロセスへの統合を示している。


事業継続マネジメントシステムの系統図と適用範囲　（2020.04.12）
　事業継続マネジメントシステムの系統をたどると、日本の、事業継続ガイドライン，中央防災会議，内閣府，日本政府，2005 年や、事業継続計画策定ガイドライン，経済産業省，2005 年が参考規格として重要な役割を占めていることがわかる。現在は、国際規格では、ISO23301として各国で採用されているが、国によっては、独自のBCMS,ガイドラインを用意しているところもある。日本の上記二つのガイドラインは、それぞれ改訂しながら継続している。当社編集による、BCMSの系統図を以下に示す。また、それぞれの規格の適用範囲も調べたが、ISOも、日本のガイドラインも、基本的に民間組織の事業継続となっていて、例外は、USA/全米防火協会のNFPA1600である。NFPA1600は、「公的、私的、非営利および非政府機関に適用される」と明記されている。またNFPA:2019最新版ではリスクアセスメントで、「感染症/伝染病/パンデミック病」まで書かれていて、極めて詳細、実務的である。
　しかし、現在の大災害「新型コロナウイルス」には、事業継続の面でいずれの規格も有効性が示されていないように思われる。今後、「新型コロナウイルス」の問題を検証し、規格の在り方検討が必要となるであろう。

 




ISO 22301:2019(改訂）事業継続マネジメントシステム―要件の概要（3）　（2020.05.31）
　ISO22301第2版は、2019年10月に正式発行された.日本語対訳版はJSAより入手可能（かなり高価）であるが、JIS　Q22301-2020（?）は、2020年5月末時点では、未発行である。折しも、新コロナウイルスの流行で世界中が大混乱の中、各組織生き残りをかけて大奮闘中であり、この規格の重要性もクローズアップされてきている。こういう時期だからこそ、1日も早いJISの発行が待たれる。当社でも、私的な日本語概訳で分析して情報をお知らせしているが、以下に、第1版2012年版との大きな違いを示しておく。今回の大きな違いは、第8章にあり、
8.2.2 事業影響度分析：再構築/追記
8.2.3 リスクアセスメント：再構築/追記
8.3 事業継続戦略とソリューション(解決策)　：追記
8.4 事業継続計画及び手順：再構築/追記
8.6 事業継続文書及び能力（capabilities）の評価：追記　が大きく変わっている。　リスクアセスメントから解決策といった事業継続の中核をなすところである。

ISO22301:2019 セキュリティとレジリエンス（回復力） - 事業継続管理システム - 要件 2012版からの主要変更点

1.適用範囲 本文書は、以下のような組織のすべての種類と規模に適用されます。 a）BCMSの実装、維持、改善。 b）規定されたビジネス継続性ポリシーへの準拠を確保するよう努める。 c）中断中に、許容可能な事前定義済みの能力で製品とサービスを提供し続けることができる必要がある。 d）BCMSを効果的に適用することにより、回復力の強化を図る。

3.定義=追加分 3.10　混乱（disruption） 組織の(3.21)目的(3.20)に従って、製品及びサービスの期待された納品(3.27)から計画外の負の逸脱を引き起こすインシデント(3.14)。 出典：ISO22300:2018, 3.70, 修正-定義/：組織の（3.158）目的に基づく製品またはサービス（3.181）の予想される配信からの計画外のマイナスの逸脱を引き起こす予期される（例：労働ストライキまたはハリケーン）または予期しない（例：停電または地震）イベント（3.82） 3.13　インパクト 目的（3.20）に影響を与える混乱（3.10）の結果。 [SOURCE: ISO 22300:2018, 3.107, 修正-定義を置き換えた]：特定の結果の評価結果（3.46）

6.3事業継続マネジメントシステムの変更の計画（追加） 組織が、第10項で特定されたものを含め、BCMSの変更の必要性を判断した場合、変更は計画的に実施されるものとする。 組織は次のことを考慮しなければならない。 a) 変更の目的及びその潜在的な影響。 b) BCMSの完全性 c) 資源の利用可能性 d) 責任及び権限の配分又は再配置

8.2.2 事業影響度分析：再構築/追記 8.2.3 リスクアセスメント：再構築/追記 8.3 事業継続戦略とソリューション(解決策)　：追記 8.4 事業継続計画及び手順：再構築/追記 8.6 事業継続文書及び能力（capabilities）の評価：追記

9.3.2 マネジメントレビューのインプット　追記分 d) 関係者からのフィードバック e) ポリシーと目的を含むBCMSの変更の必要性。 f) BCMS のパフォーマンスと有効性を向上させるために組織内で利用できる手順とリソース。 g) 事業影響分析及びリスク評価から得られた情報 h) 事業継続文書及び力量の評価からのアウトプット（8.6 参照 i) 前回のリスクアセスメントでは適切に対処されていないリスク又は課題 j) ヒヤリハットや混乱から得られた教訓及び行動

10.2 継続的改善 組織は、定性・定量的な指標に基づいて、BCMS の適合性、妥当性、有効性を継続的に改善しなければならない。 組織は、分析と評価の結果、およびマネジメントレビューからのアウトプットを検討し、継続的改善の一環として取り組むべき事業またはBCMSに関連したニーズや機会があるかどうかを判断する。

ISO本部のHPを見ていたところ、ISOは、異例ともいえるサービスで、原文（英語、仏語）ではあるが、ISO22301をプレビューでほぼ全文を無償で公開している。ISO22300：2018=定義、ISO22301:2019=要求事項,ISO22320:2018＝セキュリティと回復力—緊急マネジメント—インシデントマネジメントのガイドラインなど（2020.5月末現在）。
※https://www.iso.org/obp/ui/#home　
「Serch」のページから、規格名（例:　ISO 22301）を入れると規格一覧が出てくるので該当規格をクリックすると「preview」が表示される。

ISO22301:2019 セキュリティと回復力(レジリエンス）-事業継続マネジメントシステム- 要件　概要（2）
　（2020.03.27）
この規格は、中断・阻害が発生した場合に、その発生から保護し、発生の可能性を低減し、準備し、対応し、復旧するため のマネジメントシステムを実装し、維持し、改善するための要求事項を規定するものである。 この規格の適合性の実証は、「自己宣言」でも「顧客による確認」でも「第3者認証」でも可能である。
第1版（2012年）に比べて主な変更点は以下の通りである。（原文より抜粋＝当社仮訳）

　- 2012年以降に進化したマネジメントシステム規格に対するISOの要求事項が適用されている。

 - 要求事項が明確化され、新しい要求事項は追加されていません。

 - 分野固有の事業継続性要求事項は、現在ではほぼすべて第8節の中に含まれている。

 - 第8節は、主要要件の理解をより明確にするために再構成された。

注意すべき点は、「8.2.3　リスクアセスメント」において、組織は、リスクアセスメントプロセスを実施し、維持しなければならない。とあるが、「注：リスクアセスメントのプロセスは、ISO 31000 に記載されている。」とあるので実質、ISO31000を適用を考慮しなければならない点である。


ISO 22301:2019（事業継続マネジメントシステム－要求事項）概要（1）　（2020.02.25)
BCMSの最新版－ISO 22301:2019版が発行されたが、2020.02.25現在、2019版に基づくJISは発行されていない。当社による、日本語仮訳により概要をお知らせすると、この規格の目的は、「組織が 中断・阻害後に受け入れる場合と受け入れない場合がある影響の量と種類に適した事業継続性を開発する事業継続性マネジメントシステム（BCMS）を実行および維持するための構造と要件を指定します」とあり、すでにBCMSを運用している組織は、改訂への対応を取ればよいことになるが、新型コロナウイルス問題や昨年秋の台風19号被害、大雨被害等を受けて、BCMSを導入検討しようという組織にも、考え方、進め方で参考になる点も多いので参考にしていただきたい。
当社分析では、今回の改定では、大きな変更でなく、中規模の改定と思われるが、特に変わった点、強化された点は、
1).6.1.2　リスクと機会への対処 　 組織は以下を計画しなければならない。：
　a）これらのリスクと機会に対処するための行動。
　b）方法：  ①アクションをBCMSプロセスに統合および実行します（8.1を参照）：
   ②）これらのアクションの有効性を評価する（9.1を参照）。
2)新8.4.2　対応体制　で、BCMS体制のなかで「中断・阻害に対応する責任を負う1つ以上のチームを特定し、構造を実行および維持」となり、2013年版の「8.4.2 インシデント対応の体制  組織は，インシデントに対処するために必要な責任，権限及び力量をもつ要員を用い」から、チームでやりなさいとなったことであう。
3)新8.4.3警告とコミュニケーションが、強化されている。
　a）何を、いつ、誰と、どのようにコミュニケーションするかを含めて、関連する利害関係者と内部および外部でコミュニケーションする。
　b）国内または地域のリスクアドバイザリーシステムまたは同等のものを含む、利害関係者からのコミュニケーションの受信、文書化、および対応。
　c）中断・阻害中のコミュニケーション手段の可用性の確保。
　d）緊急対応者との構造化されたコミュニケーションを促進する。
　e）コミュニケーション戦略を含む、インシデント後の組織のメディア対応の詳細を提供する。
　f）中断・阻害の詳細、実行されたアクション、および行われた決定を記録する。
などがあげられる。

ISO 22301:2019（事業継続マネジメントシステム－要求事項）発行　（2019.12.22）
BCMS適合性評価制度の適用規格であるISO 22301:2012が改訂され、2019年10月 にISO 22301:2019として発行されました。
　これに伴い、JIS Q 22301:2013(ISO 22301:2012)の認証取得組織は、 ISO 22301:2019への移行が必要になります。
１．認証の移行について
移行期間は、規格発行月の月末(2019年10月31日)を開始日とし、それから3年間(2022年10月30日まで)です。
JIS Q 22301:2013(ISO 22301:2012)による初回審査及び再認証審査が行えるのは、 移行期間の開始(2019年10月31日)から18ヶ月以内です。
　　　一般社団法人情報マネジメントシステム認定センター (ISMS-AC) HPより

	長野県駒ヶ根市赤穂2733 　　℡0265-83－7668 All rights reserved by 池上生産技術研究所 E-メール：seisangijutu☆cpost.plala.or.jp　(※スパム対策のため、☆を@に変えて送信してください)