ナレッジ

ISO22301（BCMS）とは？　概要、目的、重視される理由、メリット、要求事項、取得までの流れを解説

2024.7.5

近年では、震災や大雨、気候変動など自然環境上のリスクに加え、世界的な感染症の拡大やサイバー攻撃など、企業を取り巻くリスクが多様化かつ顕在化しています。

事業運営に多大な影響を及ぼす事象が生じた場合に、企業が事業を継続できなかったり、復旧が遅れたりすると、サプライチェーン全体に悪影響を及ぼしてしまいます。

このように、リスクへの対応が不可避になっている今日、注目を集めているのが「ISO22301」です。この記事では、ISO22301やBCMS（事業継続マネジメント）の概要、ISO22301の認証を取得するメリット、取得する際の流れについて解説します。

ISO22301とは

ISO22301は、BCMS（事業継続マネジメント）に関する国際規格です。地震や感染病の流行といった非常事態の際にも企業が事業を継続、もしくは、停止後も速やかに復旧できる体制を構築するために制定されました。

日本においても、東日本大震災などの自然災害や、感染症の発生・拡大、ITシステムの障害など事業運営に関わる事象が日々発生しています。とりわけサプライチェーン業は、非常事態下においても事業を可能な限り継続し、停止後も速やかに復旧できる体制の構築が求められています。

BCMS（事業継続マネジメントシステム）とは

ISO22301で扱われている「BCMS」はBusiness Continuity Management Systemの頭文字を取った用語で、日本語では「事業継続マネジメントシステム」と訳されています。また、単に「BCM」を「事業継続マネジメント」と表現することもあります。

BCMは、「BCP＝自然災害や攻撃などの緊急事態が生じた場合でも事業を継続させる計画」に沿った対応ができるよう、仕組みづくりや従業員への教育・訓練などを行うことです。なお、BCPとは、「Business Continuity Plan」の略称で、「事業継続計画」という意味です。

BCMをシステム化し、経営方針も反映させながらBCM活動を実施することを「BCMS」と表現します。BCMＳによって、長期的かつ計画的な活動が継続できるようになります。

関連記事：【事例アリ】後継者育成（サクセッションプラン）とは？　必要とされる理由とメリット、策定・実行の手順

ISO22301が重要視される理由

近年、ISO22301に注目が集まっており、実際にISO22301の認証取得を考える企業が増えています。その背景として、緊急時においても事業を継続できる（もしくは停止後も速やかに復旧できる）体制が構築されていないことで、自社の経営だけに限らず、取引先にも多大な影響を与える恐れがある、ということが挙げられます。

今日のビジネスシーンにおいて、企業活動がその企業の活動内だけで完結することはありません。多くの企業がサプライチェーンを構築して事業を行っていることから、緊急時にはサプライチェーンの活動自体が停止してしまうリスクを常に抱えています。

BCPやBCMSに考慮した体制を構築しなければ、緊急事態が起きたとき、その企業は事業継続が困難となり、顧客を失うリスクに直面するでしょう。実際、近年では、リスクマネジメントを重視し、取引先選定の条件として「BCPへの対応をきちんと行っていること」を挙げる企業も増えています。

ISO22301の認証を取得するメリット

ISO22301の認証を取得することで、以下のメリットがあります。

リスクマネジメントの強化

ISO22301では、緊急時における自社の事業継続に潜むリスクを洗い出し、洗い出したリスクによる影響を低減するために、さまざまな措置を取ることが求められます。

BCPの設計と緊急事態に備えた演習の優先順位は、企業の脆弱性や洗い出されたリスクによって受ける影響の大きさを考慮して決定しましょう。優先順位に応じて対策を取ることで、効率的なリスクマネジメントが可能となります。

事業体制の強化

ISO22301の要求事項に対応する過程で、自社の事業構造や業務フローの脆弱性を明らかにできます。明らかになった脆弱性を解消することは、事業体制の強化につながります。

事業の体制強化の例としては、担当が曖昧だった業務における役割・分担の明確化が挙げられます。また、属人性の解消や業務フローの改善なども事業の体制強化の例として挙げられるでしょう。

事業体制の強化は、当然のことながら、コスト削減や高い製造能力の確保など、競合優位性の担保につながります。

企業価値の向上

繰り返しになりますが、近年は自然災害や感染症、システム障害、サイバー攻撃など、企業を取り巻くリスクが顕在化しています。また、リスクが顕在化した現代のビジネスシーンにおいて、「緊急時における事業の確実な継続性」は取引先選定の上で重要な要素と言えます。

ISO22301の認証取得によって、緊急時においても事業継続を可能とする体制が構築できていることを対外的にアピールできるでしょう。それはまた、競合他社との差別化や企業価値向上へとつながります。

ISO22301の要求事項

ISO22301の要求事項は10項目に分類されており、以下にて解説します。

序文・適用範囲など

「序文」「1.適用範囲」「2.引用企画」「3.用語及び定義」には、ISO22301の具体的な要件における前提条件が記載されています。この範囲はISO22301の概要とも言え、具体的な要件は4章以降で解説されます。

4章以降の本論を理解するのに必要な情報が記載されているため、あらかじめ確認しておくとよいでしょう。

組織の状況

「4.組織の状況」では、以下の3つの観点で組織の状況を正しく把握することが求められています。

• 組織全体の能力に影響を与える組織内外の課題の特定
• 利害関係者のニーズや期待の特定
• 法令や規制の要求事項の特定

これらの観点から明確化された組織の状況に基づいて、ISO22301の認証を取得する際の適用範囲を確定させます。

リーダーシップ及び働く人の参加

「5.リーダーシップ及び働く人の参加」では、組織を率いるトップマネジメントに求める責任（リーダーシップ）と、組織を構成する従業員の参加（働く人の参加）に関する要求を示しています。

トップマネジメントには、BCMSを推進するための事業継続方針や事業継続目的を確立することが求められます。

一方で、授業員には、トップマネジメントが定めた事業継続方針や目的を十分に理解し、BCMSの活動へ参加することが求められます。

計画と支援

ISO22301では、計画的なリスクアセスメントを行う必要があり、「6.計画」では以下の手順書に基づき計画を立てる必要があります。

• 事業影響度分析手順書
• リスクアセスメント実施手順書
• 事業継続計画策定・管理手順書
• インシデント対応手順書

計画通りに実行するためには、ヒト・モノ・情報などを適切に管理する必要があります。なお、実行に関して必要な対応は、「7.支援」のなかで要求事項として挙げられています。

運用

「8.運用」では、立案した計画を進めていく際に必要となる対応や、緊急事態が生じた場合の「備え」に関する要求条項が記載されています。

BCMSの認証を取得するためには、要求を1度だけ達成すればよいわけではありません。有効性が継続されているかどうかも、重要な観点と言えます。

また、緊急事態を想定した演習を行い、従業員に対する教育を行うことも運用のなかで要求される重要な要素だと言えます。

パフォーマンス評価と改善

「9.パフォーマンス評価」では、4章から8章までの要求事項に対する取り組みの評価に関する要求事項が記載されています。マネジメントレビューや内部監査、実際に運用したことで見つかった課題に対して修正を行うために必要な要求事項です。

また、パフォーマンス評価の結果に応じて実施する「改善」に関する要求事項が、「10.改善」に記載されています。パフォーマンス評価と改善を繰り返し行うことで、さらに強固な事業体制の構築へとつながります。

ISO22301を認証取得するまでの流れ

ISO22301を認証取得する際には、以下の流れで進めることが望ましいです。

BCMS戦略の決定

ISO22301の認証を取得するためには、自社が置かれている状況やリスクなどを把握します。その上で、BCMSの構築に向けてBCMSの戦略を決定しましょう。

BCMSの戦略を決定するためには、自社の事業内容を網羅的に洗い出し、緊急事態によって事業が中断した際に生じるサプライチェーン全体への影響を明確にします。

これらの情報から、「数ある事業のなかでどの事業からまずは復旧するべきなのか」といった優先順位の決定が可能となります。また、復旧時間や復旧水準に関する目標を設定し、その目標を達成するために必要となるBCMS戦略を決定します。

BCMSの導入

BCMS戦略が決定したら、戦略を実現するための取り組みを行います。具体的な項目としては、事業体制の構築や経営資源（ヒト・モノ・カネ・情報など）の確保、手順書の文書化などが挙げられます。

立案した戦略を具体的な行動に移せるように準備することで、緊急事態に陥った場合でも事業を継続し、停止した事業を速やかに再開できる状態を実現できます。

一方、ISO22301及びBCMSの導入前においても、多くの企業では災害や緊急時に対する備えを行ってきました。そのため、ISO22301への対応の際には備えを一から構築するのではなく、すでに構築されている仕組みもうまく取り入れて有効活用しましょう。

演習・改善

ISOで規定されているマネジメントシステムでは、PDCAサイクルが重要視されており、事業継続マネジメントシステムであるISO22301も例外ではありません。

BCMSの戦略を立て、実装したBCMSの効果確認を行うことでPDCAサイクルを回します。しかし、BCMSの効果確認を行えるような緊急事態は頻繁に起きるものではありません。

ISO22301におけるPDCAサイクルは、実際の緊急事態を想定した演習や訓練を行って回しましょう。演習や訓練の結果に応じて見直しを行うことが重要なのです。

BCMSの運用管理

戦略立案や組織への実装、演習によるPDCAを滞りなく回すには、内部監査や経営層への報告である「マネジメントレビュー」が重要です。

内部監査やマネジメントレビューを通すことで、BCMS自体のPDCAサイクルをうまく回すことができるようになります。

ISO22301の認証を取得するための審査受審

ISO22301を認証取得するためには、認証審査を受ける必要があります。なお、取得審査では、以下の2回の審査を通過する必要があります。

• 文書審査：事業継続方針やリスクアセスメントなどの文書や記録を審査する
• 実地審査：受審組織を審査員が訪問し、マネジメントへの聞き取りや現場の確認、要求事項への適合性審査を行う

上記2つの審査を無事に通過できれば、ISO22301の認証取得となります。仮に審査の過程で要求事項への不適合が見つかった場合でも、指摘事項に対して必要な是正処置を行い、再審査を受審することができます。

ISO22301の認証を維持するための審査受審

ISO22301の認証取得後、ISO22301の要求事項に対する「適合性」を示し続けるためには、以下の2つの審査を受審する必要があります。

• 定期審査：1年に1度行われる審査。要求事項に対して適切に運用されているかどうかを確認。確認の対象は、登録審査の際に確認される内容の6割程度の範囲であり、更新審査に比べると簡易的な審査
• 更新審査：3年に1度行われる審査。登録審査と同様に要求事項全体への審査が行われる。登録審査と同様の規模のため、負担の大きい審査

これらの審査結果で要求事項への適合性が確認されることで、ISO22301の認証取得や維持が可能となります。

監査の指摘がゼロに！システム化で抜け漏れのないISO力量管理を実現

「Skillnote」でISO力量管理業務を圧倒的に効率化！

●バラバラだったスキルや教育訓練記録をシステムで一元管理

●ペーパーレス化の実現によって共有もラクラク

●スキルと教育が紐づいて運用の手間

→詳しくはこちらから

関連記事