ISO22301(JISQ22301)とは
BCMSを第三者認証として運用するための国際規格が、ISO22301(JIS Q 22301)です。コンサルティングをご依頼いただいた場合には、ISO22301の規格を詳細にご説明いたします。
項番 | タイトル | 概要 | 審査対象 |
序文 | – | 基本となる概念の説明 | |
1 | 適用範囲 | 規格の立ち位置、対象についての説明 | |
2 | 引用規格 | 引用規格の説明 | |
3 | 用語及び定義 | 用語の説明 | |
4 | 組織の状況 | 組織が抱える課題や利害関係者の要求特定、適用範囲の決定 | 〇 |
5 | リーダーシップ | トップマネジメントの責任 | 〇 |
6 | 計画 | リスク・機会の特定、評価とその対応、目標設定 | 〇 |
7 | 支援 | ヒト、モノ、情報といった資源の管理、社内外のコミュニケーション、文書管理 | 〇 |
8 | 運用 | 事業影響度分析、リスク分析の実施、BCPの策定等 | 〇 |
9 | パフォーマンス評価 | パフォーマンスの分析・評価、内部監査、活動の振返り | 〇 |
10 | 改善 | 不適合の是正と改善の継続 | 〇 |
BCPとBCMS
BCP = Business Continuity Plan
(事業継続計画)
BCMS = Business Continuity Management System
(事業継続マネジメントシステム)
日本においては、東日本大震災を機にBCP(事業継続計画)の重要性がクローズアップされ、大手企業を中心として急速に取り組みが進みました。さらに、現在では中小企業にも取り組みが拡がっており、業界によっては、取引条件としてBCPの構築、厳しい場合はBCMSまで要求されます。
【BCPとは】
厳密に言えば、BCPには以下の3つの計画が含まれています。

【BCMSとは】
次の図のようなPDCAサイクルを回し続けることで、策定したBCPを継続的に改善し続けるシステムがBCMSです。PDCAサイクルによる継続的な改善には、ノウハウが必要です。初めてお取組みの場合には、コンサルタントが丁寧にご説明いたします。

BCPやBCMSに取り組んだ組織例
次のような組織で、BCPやBCMSに取り組まれることが多いです。
- 顧客の依存度が高い企業、代替がきかない企業
- 東日本大震災のような災害で大きなダメージを負った業界
- 社会的責任が大きい企業・組織
- 海外企業と取引をする企業
- 競合他社と差別化したい企業
BIAとは
BIA = Business Impact Analysis
(事業影響度分析)
BIAとは、特定の業務プロセスが停止したり中断した場合に、事業全体が受ける業務上・財務上の影響の度合いを分析・評価することです。
主な項目 |
例 |
業務プロセス |
|
影響 |
|
復旧までの許容時間 |
|
目標復旧時間 |
|
目標復旧レベル |
|
復旧優先順位 |
|
復旧に必要な経営資源 |
|
ISO22301のリスクアセスメントとは
ISO22301のリスクアセスメントとは、特定の業務プロセスにおいて、次のことを分析することです。
- 1. どの経営資源(オフィス、工場等の建屋、サーバ等の情報設備、従業員等)に対し
- 2. どのような脅威(地震、津波といった天災、パンデミック、大規模情報漏洩等)が
- 3. どのような影響(オフィスの崩壊、データの破壊等)を引き起こし
- 4. どの程度の脆弱性(オフィスビルの耐震強度、バックアップの保管状況)があるか
主な項目 |
例 |
業務プロセス |
|
経営資源 |
- ○○製造工場
- 輸送用○tトラック
- 顧客データベース
- 委託業者○○
|
脅威 |
|
影響 |
- 機器損傷
- データ破壊
- 業務委託先、サプライヤーの事業停止
|
脆弱性 |
- 弱耐強度が低い
- バックアップデータが集中している
- サプライヤーの代替が無い
|
ISO22301認証取得までの主な行程
はじめてISO22301認証を取得する場合の工程と、 ISO22301認証取得に要するおおよその時間は、次の図のようになります。

適用範囲の決定
適用範囲とは、BCMSを運用する範囲のことであり、「認証範囲=審査対象範囲」とお考えください。

※特定された課題や、利害関係者のニーズと整合しない適用範囲の設定は、不適合となります。また、BCMSは代替事業所の検討などの要素が入り込むことが多く、③④は広くなる傾向にあります。
【BCPの策定手順例】

【BCPの演習と改善】
ISO22301の規格要求では、BCPをより実践的に改善する仕組みが求められます。

【参考】文書(規定や記録)化対応
規格では、一部文書化を要求していますが、全てのルールを文書化する必要はありません。極論すれば、大半のルールが明文化されていなくとも、全ての要員が正しく行動できるのであれば、ルールの明文化は不要です。通常はこれが難しいため、明文化することになります。

【参考】文書(例)
規程・手順類 | 記録類 |
適用範囲定義書 | 社外文書管理台帳 |
(事業継続)方針 | 法規制一覧 |
事業影響度分析ルール | 議事録 |
リスク分析ルール | 力量評価記録 |
リスク対応ルール | 教育訓練計画・報告書 |
職務分掌・権限ルール | 内部監査計画・報告書 |
文書管理ルール | 是正処置記録 |
目標管理ルール | 事業影響度分析シート |
教育・訓練実施ルール | リスク分析シート |
コミュケーションルール | リスク対応計画 |
BCP策定、演習ルール | 目標設定シート |
BCP本体 | インシデント報告書 etc. |
内部監査ルール | |
インシデント報告ルール | |
是正処置ルール | |
その他、就業規則 etc. | |
ISO22301の審査
【審査の流れ】
ISO22301の審査は、2段階に分かれていて、2段階両方の審査を通過すると認証が付与されます。

第1段階審査では、形式審査としてBCMSのフレームワークができているかどうかの確認(主に文書の審査)や、トップインタビューが行われます。トップインタビューは、第2段階で実施の場合も有ります。
第2段階審査では、第1段階審査保留事項の確認や一般従業者インタビュー、目視確認のサイトツアーが行われます。
【審査機関】

審査機関による主な違い
審査機関は、現在のところ外資系、内資系合わせて5機関あります。審査機関による主な違いは、次の通りです。
審査料金 | 審査機関によって料金が異なります。 |
対応可能規格 | ISO22301の審査は可能だが、22000はできないといった例があります。 |
審査のスタンス | 審査機関によって指摘の傾向が異なります。 |
【審査が不適合になる主なパターン】
審査はテストではなく、「カンニング」などという概念もありません。審査のポイントは、
- 1. 構築されたBCMSが規格要求に適合しているかどうか
- 2. 構築されたBCMSが運用されているかどうか
なので、事故が起きたから即不適合というわけでもありません。審査が不適合になる主なパターンをまとめました。
規格要求を理解していない |
何がどこに記載されているか、誰に聞けばよいのかも分からないようなケースや、BIA、RA等のロジックを理解できていないケースがあります。 |
BCMSを運用できていない |
例えば、全員がBCMSを全く順守できていないような、ルールが極端に順守されていないケースです。 |
規格で要求されている文書が存在しない |
例えば、方針がない、適用範囲を定義した文章がないなどです。 |
【推進体制の例】

【審査サイクル】
ISO22301の再認証審査(更新審査)は3年毎にあります。再認証審査(更新審査)が無い年には、継続審査(定期審査)があります。

【審査と審査の間の活動】
ISO22301を取得したら、再認証審査(更新審査)が3年毎にありますが、各審査の間に、「運用計画の策定」「運用計画に則した活動」などが必要です。また、事業内容や組織体制などに変更があったときにも、それらの変化に応じた対応が必要になります。

※ 運用負荷を下げるためのヒントは規格にあります。規格要求の解釈が進めば進むほど、「やらなくてもよいこと」「どの程度実施すれば適合するのか」が見えてきて運用負荷の低減につながります。
認証取得までの主な費用
ISO22301を取得するためには、審査費用がかかります。また、事業継続性を高めるための投資や、当社のようなコンサルティング会社をご利用いただいた場合はコンサルティング費用などの外部からの支援費用がかかることがあります。
1 | 審査費用 | 必須 |
2 | 事業継続性を高めるための投資 | 状況と目的による |
3 | 外部からの支援費用 (コンサルティング費用) | |
費用1:審査費用
必須となるのが審査費用です。審査費用は一律ではなく、審査機関によって異なります。また、対象となる事業活動や対象人数などによって異なってきます。
審査費用を決める主な要素
- (1)適用範囲
- ①対象となる事業活動
- ②対象人数
- ③対象サイト数(拠点数)
- (2)他のISO認証取得状況(同時審査等が可能かどうか)
- (3)審査機関の選択(審査機関は任意で選択可能です)
審査費用の種類
種別 | 時期 | 審査規模・費用 |
初回審査費用 | 新規取得時 | 大 |
継続審査(サーベイランス・定期審査)費用 | 再認証と再認証の間 | 小 |
再認証審査(更新審査)費用 | 3年毎 | 中 |
費用2:事業継続性を上げるための投資
審査を通過するだけであれば、過剰な投資は必要ありません。運用負荷の低減やリスクマネジメントの実現と、審査通過可否は別問題とお考えください。

費用3:外部からの支援費用(コンサルティング費用)
ISO22301認証取得コンサルティングの費用は、主に次のような要素によって決まります。
【金額を決める主な要素】
1 | 取組目的 | 認証を取得できればよいのか、明確な目標・テーマがあるのか |
2 | 期間 | 極端に短期間(1年未満)、極端に長期間(1年半以上) |
3 | 対象組織規模 事業内容 | 調査や分析にどの程度の時間を要するか 監査にどの程度の時間を要するか |
4 | 他認証の有無 既存文書内容・量 設備環境 | システムの理解、文書の読込にどの程度の時間を要するか 既にどの程度要求事項に適合しているか |
5 | 支援範囲 | どの工程を支援するか |
6 | 支援内容 | アドバイス中心なのか、作業支援が必要なのか等 |
お客様のご要望や規模に応じてプランをカスタマイズ
なるべく苦労なく取得
ISO22301認証取得には苦労が伴うものです。ご担当者様には必要最低限のことを行って頂き、それ以外のことはコンサルタントが代行します。お忙しい方におすすめのプランです。
なるべく早く取得
認証取得が案件受注の条件であるなど、認証取得を急ぎたい方のプランです。コンサルタントと協力をして、迅速な認証取得を目指します。
認証を維持・更新
認証を取得した後も、認証を維持・更新する必要があります。更新時期が迫って慌てる前に、コンサルタントが更新のアドバイスをします。
業務改善の相談
自社の規模やリスクに応じた情報資産の管理体制強化が主で、併せてISO22301を認証取得したいというお客様のための、業務改善コンサルティングサービスです。
スマート化・実効性強化
構築した事業継続マネジメントシステムの見直しをするプランです。文書の簡素化、規程の見直し、復旧手順や基準の見直しを行い、お客様にとって最適なシステムを再構築します。
コンサルティング開始から認証取得までの流れ(例)
コンサルティングを開始してからISO22301を取得するまでの流れは、「構築」「運用」「審査」の3つの期間に分かれます。ここで、BCMSとは、「Business Continuity Management System」の略で、事業継続マネジメントシステムです。またBIAとは、「Business Impact Analysis」の略で、事業影響度分析です。そして、BCPとは、「Business Continuity Plan」の略で、事業継続のための計画です。
構築期間では、現状調査をしながら方針を策定し、文書の作成や影響度の分析を行います。BCPの設計・策定が行われたら、運用期間に入ります。
運用期間に入ると、教育の実施や計画の修正・改善、内部監査、マネジメントレビューを実施します。審査では、何段階かの審査が行われて、合格しますと認証が取得できます。
よくあるご質問
Q. 事業継続マネジメントシステム(BCMS)とは何ですか?
企業や自治体などの組織には、震災や火災、ITシステム障害、取引先の倒産など、さまざまな災害や事件、事故が降りかかることがあります。事業継続マネジメントシステム(BCMS)とは、そのような災害や事件、事故などに備え、実際に遭遇したときには迅速に事業活動を復旧・継続するためのマネジメントシステムです。
Q. BCPとは何ですか?
BCPとは「Business Continuity Plan」の略で、日本語では事業継続計画です。広義では、緊急時の対応計画(IMP)、事業再開のための計画(狭義のBCP)、事業復旧のための計画(BRP)の3つを合わせた計画です。
Q. コンサルティングをお願いしてから、ISO22301の認証が得られるまで、どれぐらいの日数がかかりますか?
策定したBCP(Business Continuity Planning:事業継続計画)の演習が必要であるため、規模にもよりますが1年間程度かかります。
Q. ISO22301を取得するまでに、どれぐらいの費用がかかりますか?
ISO22301を取得するための費用は、(1)審査費用、(2)支援費用(コンサルティング費用)、(3)設備投資費用の3種類です。それぞれ、内容によって異なりますので、ご相談ください。
Q. ISO22301を取得したらどのようなメリットがありますか?
災害時の事業継続性が上がります。日本国内で認証を取得している企業は、まだ僅かですので、客観的な信頼度が増します。
Q. ISO22301はどのような企業が取得すべきでしょうか?
どのような企業にも有効ではありますが、公共性の高い事業や代替の効かないサプライヤーと取引をなさっている企業は特にご検討いただく価値は高いと思われます。
Q. BCPの策定と何が違うのですか?
BCP(Business Continuity Planning:事業継続計画)を策定し、それを運用・改善するためのマネジメントシステムがBCMS(Business Continuity Management System:事業継続のための管理の仕組み)であり、そのBCMSを構築・運用するための要求事項がISO22301です。
Q. ISO22301を取得するためには、何をしたらいいのですか?
BCMSを構築し運用します。一定期間運用したら、審査を受けることができます。審査に合格すれば、ISO22301の登録証が発行されます。
Q. BCPを策定するための手順を教えてください。
一般的な手順としては、各事業の重要度を評価し、事業継続マネジメントシステムを構築すべき事業活動を特定します。その上で、事業継続マネジメントシステムの対象となる事業活動をすべて詳らかにします。「詳らか」とは、各事業においてどのような資源をどのくらい利用しているのかを明らかにすることです。その資源を利用できなくなるリスクを特定し、リスクシナリオを策定し、そのリスクシナリオに対応する計画を立てます。
ISO22301認証取得/BCP(事業継続計画)よくあるご質問一覧はこちら
ご挨拶
ISO22301は、地震・火災・インフルエンザのようなパンデミック・システム障害など様々な事業継続を阻害するリスクの予防、リスクが顕在化した際の影響の低減を目的とした規格です。
海外では以前から重要な経営課題として認識されていましたが、日本では東日本大震災を機に注目され始めました。ISO22301認証取得に取り組むことにより、危機管理能力の高い企業となり、顧客からの信頼性が高まります。地震大国や火山大国などと言われる日本では、今後さらにISO22301を取得することの重要性が増してくると思います。
忘れたころにやってくるパンデミックですが、それに備えることも企業の責務ではないかとお考えの社長様も多いと思います。帝国データバンクネットコミュニケーションでは、ISO22301認証取得支援を通じて、日本全国のお客様と社会の繋がりに貢献いたします。
BCMSの構築やISO22301認証取得のことなら、当社までお気軽にご相談ください。
ISO22301認証取得コンサルティングをご検討の方は、まず、お電話もしくはお問い合わせフォームより弊社までご連絡をください。