自然災害や感染症のパンデミック、システムトラブル、サイバー攻撃など、企業活動を脅かすリスクはいつ発生するか予測できません。こうした事態に直面した際、事業を中断させないためには、BCMS（事業継続マネジメントシステム）の構築が不可欠です。

この記事では、BCMS（事業継続マネジメントシステム）に関する国際規格「ISO22301」について、その概要や重要視されている理由、企業が取得するメリットなどを解説します。

ISO22301とは

ISO22301とは、BCMS（事業継続マネジメントシステム）に関する国際規格です。
ISO22301には、緊急事態が発生した際の行動・対処の適用範囲や、BCMSのPDCAサイクルを効率的に運用するための事項が規定されています。

BCMS（事業継続マネジメントシステム）とは

BCMSとは、BCMで定義された方針・目的・手順等を組織内で継続的に運用するための管理システムです。BCMは組織が重大な事業継続リスクに直面した際に重要業務の継続や早期復旧を可能にするための戦略的な管理手法です。また、BCPはBCMの一環として策定される事業継続や早期復旧のための具体的な実施計画です。

BCPとBCMの詳細については、下記の関連コラムもご覧ください。

ISO22301が重要視されている理由

ISO22301が重要視されている最大の理由は、認証の取得により「緊急時でも事業を継続できる体制が構築されている」ことを対外的に証明できるためです。
近年、企業を取り巻くリスクが多様化・深刻化しており、多くの企業が事業継続マネジメントを重要視しています。企業活動は、会社内だけでなく、多くの取引先企業と連携して成り立つサプライチェーンによって支えられています。そのような中、自然災害や感染症のパンデミック、サイバー攻撃などによって事業が中断すると、顧客離れや収益の損失だけでなく、取引先にも大きな影響を与え、社会的信用を失うことにもつながりかねません。
ISO22301に準拠し、BCMSの国際標準を満たすことで、企業は緊急時でも重要業務を継続し、迅速に復旧させる体制を構築しやすくなります。これにより、取引先企業からの信頼獲得や、事業の安定性を示すことができるのです。

ISO22301を取得するメリット

ISO22301を取得することで得られるメリットとして、「リスクマネジメントの改善」「事業継続体制の強化」「企業価値の向上」の3つについてご説明します。

リスクマネジメントの改善

ISO22301の認証取得プロセスでは、BCPを策定するために企業活動における潜在的なリスクを洗い出し、分析します。具体的には、事業の中断を引き起こす可能性のある災害や事故などを想定し、事業に与える影響を評価します。このプロセスを通じて会社全体の危機管理能力が向上し、より実効性の高いリスクマネジメントにつながります。

事業継続体制の強化

ISO22301の要求事項に沿ってBCMSを構築・運用するには、企業の組織体制や人員配置、業務フローの見直しなどが不可欠です。例えば、特定の部署や担当者に依存していた業務を分散化し、誰もが対応できるように仕組みを整えることで、事業の継続性を高められます。このように、ISO22301の取得の過程で体制や業務を改善することで、組織全体の事業継続体制が強化されます。

企業価値の向上

ISO22301は、緊急事態でも事業を継続できる強固な体制が構築されていることを客観的に示すものです。そのため、ISO22301を取得すれば顧客・取引先・投資家からの信頼獲得や、社会的なブランドイメージの向上につながります。
また、ISO22301は国際規格であることから、取得によってグローバル展開するうえでの競争力向上や、新規顧客の獲得などビジネスチャンスの拡大も期待できます。

ISO22301の要求事項

ISO22301の要求事項は、大きく分けて10項目で構成されています。ここでは、各項目を簡単に解説します。

1．適用範囲／2．引用規格／3．用語及び定義

1～3までの項目は、ISO22301の前提条件を定める項目です。ISO22301が適用される範囲や、規格内で使われる言葉の定義などが記されています。詳しくは以下で確認できます。

4．組織の状況

組織のBCMSを構築するにあたって最初に行うことは、組織の状況把握です。具体的には、以下のような作業を行います。

• 組織全体の能力に影響を与える組織内外の課題の特定
• 利害関係者のニーズや期待の特定
• 法令や規制の要求事項の特定

5．リーダーシップ及び働く人の参加

この項目で規定されているのは、組織のトップである経営層と、組織に属する全従業員の積極的な参加です。経営層はBCMSを運用するための事業継続方針などを明確に定め、従業員は経営層が決定した方針の理解に努め、BCMSに関する活動に参加することが求められます。

6．計画

業務の支障となり得る、リスクの特定・分析・評価（リスクアセスメント）を行うための計画を立てます。

• 事業影響度分析手順書（災害や事故などの緊急事態に備えて、重要業務の中断が事業に与える影響を評価し、BCPを作成するための分析手順をまとめたもの）
• リスクアセスメント実施手順書（職場における危険性や有害性を特定し、それに基づいてリスクを見積もり、除去・低減するための対策を講じる一連の手順を文書化したもの）
• 事業継続計画策定・管理手順書（緊急事態に直面した際に、重要な業務を中断させず、または迅速に復旧させるための計画を策定・管理するための手順をまとめたもの）
• インシデント対応手順書（情報セキュリティ上の事故（インシデント）が発生した際に、迅速かつ的確に対応するための手順を体系的にまとめたもの）

7．支援

BCMSを運用するためのリソース（人、情報、インフラなど）を確保します。資源管理・社内外のコミュニケーション・文書管理なども支援に含まれ、これは6.計画で定めた内容を実行するために必要な準備といえるでしょう。

8．運用

6.計画で策定した内容を実施し、事業影響度分析やBCPの策定を行います。従業員の教育を進めるとともに、実際の緊急事態を想定した演習の実施も行う必要があります。あわせて、事業継続戦略やリスクへの対策などが継続的に有効なのか、という点も検証しなければなりません。

9．パフォーマンス評価

4.組織の状況～8.運用までの取り組みを評価する項目です。BCMSが組織内で定めた要求事項を満たしているかを客観的に評価する内部監査や、経営層などによるマネジメントレビューを行う必要があります。

10．改善

パフォーマンス評価の結果、見つかった問題点に関しては改善策を講じます。問題が発生した原因を明確にし、類似する問題が起きる可能性なども考慮したうえで、改善を実施します。

参考：一般財団法人　日本品質保証機構「ISO 22301（事業継続）」
一般財団法人　日本規格協会「セキュリティ及びレジリエンス− 事業継続マネジメントシステム−要求事項」

ISO22301はBCMS（事業継続マネジメント）に関する国際規格であり、緊急事態が起きた場合に重要な業務を継続・早期復旧できるようにするために、企業が取り組むべき具体的な指針を示すものです。しかし、自社のみではBCMSの構築にリソースを割けない企業も多くあります。ALSOKでは、BCMSの運用に欠かせない企業のBCPをサポートする各種サービスをご提供しています。

企業の事業継続をサポートするALSOKサービス

災害対策

BCPソリューションサービス

ALSOKのBCPソリューションサービスでは、事業内容や実情に合わせてBCPの策定から運用・訓練・見直しまでをトータルでサポート。被災の現実に即したBCPを提案し、BCMをバックアップします。

防災備蓄品（管理含む）

ALSOKでは、災害時に備えて水・食料・衛生用品などの防災備蓄品をご提供しております。従業員数や事業所の規模に応じた最適な備蓄プランを提案します。

安否確認サービス

ALSOKの安否確認サービスがあれば、災害発生時でも従業員の安否状況を迅速に把握可能です。一斉メール配信やGPSによる位置情報確認など、多彩な機能で初動対応を支援します。

AED

突然起こりうる心停止から命を守るために、ALSOKではAEDの導入もサポートしております。AEDの選定から管理、従業員向けの講習会まで実施することで、安心できる体制づくりをお手伝いします。

災害図上訓練

お客様先の情報を取り込んだ地図を使い、災害発生時の対応を実践的にシミュレーションする訓練です。現実に近い具体的な状況設定のもとで訓練を実施できます。

緊急地震速報システム

ALSOKでは気象庁のデータをもとに、大きな揺れが到達する数秒から数十秒前にお知らせする緊急地震速報システムをご提供しております。

事件・事故対策

機械警備

ALSOKの機械警備では侵入や火災などの異常を24時間365日監視し、万が一の際にはALSOKが駆けつけ適切に一時対処します。状況に応じて各関係機関とも連携し、被害の拡大防止に努めます。

防犯カメラ・監視カメラサービス

ALSOKでは、高画質のカメラで施設内外を24時間監視できる防犯カメラ・監視カメラシステムを提供しております。遠隔からの映像確認も可能で、複数拠点の状況を一元管理できる点が特徴です。

まとめ