ISO22301認証取得／BCP(事業継続計画)よくあるご質問Q&A

ISO22301認証（事業継続マネジメントシステム）に関するご質問

Q. ISO22301とは何ですか？

BCMS（事業継続マネジメントシステム）と呼ばれる、「事業継続」を確保するためのマネジメントシステム（管理する仕組み）を、

①どのように構築し
②どのように運用するか

を定めた国際「規格」です。

Q. 事業継続マネジメントシステム（BCMS）とは何ですか？

企業や自治体などの組織には、震災や火災、ITシステム障害、取引先の倒産など、さまざまな災害や事件、事故が降りかかることがあります。事業継続マネジメントシステム（BCMS）とは、そのような災害や事件、事故などに備え、実際に遭遇したときには迅速に事業活動を復旧・継続するためのマネジメントシステムです。

Q. BCPとは何ですか？

BCPとは「Business Continuity Plan」の略で、日本語では「事業継続計画」です。広義では、緊急時の対応計画（IMP）、事業再開のための計画（狭義のBCP）、事業復旧のための計画（BRP）の3つを合わせた計画です。

Q. ISO22301を取得したらどのようなメリットがありますか？

災害時の事業継続性が上がります。日本国内で認証を取得している企業は、まだ僅かですので、客観的な信頼度が増します。

Q. ISO22301はどのような企業が取得すべきでしょうか？

どのような企業にも有効ではありますが、公共性の高い事業や代替の効かないサプライヤーと取引をなさっている企業は特にご検討いただく価値は高いと思われます。

Q. ISO22301認証取得やBCMS構築は、BCPの策定と何が違うのですか？

BCP（Business Continuity Planning：事業継続計画）を策定し、それを運用・改善するためのマネジメントシステムがBCMS（Business Continuity Management System：事業継続のための管理の仕組み）であり、そのBCMSを構築・運用するための要求事項がISO22301です。

Q. 事業継続リスクを考えるときは、新型コロナウイルスのことも考えた方が良いですか？

地震等による災害リスクと同様に考慮した方が良いです。

ISO22301（事業継続マネジメントシステム）認証取得に関するご質問

Q. ISO22301を取得するまでに、どれぐらいの費用がかかりますか？

ISO22301を取得するための費用は、(1)審査費用、(2)支援費用（コンサルティング費用）、(3)設備投資費用の３種類です。それぞれ、内容によって異なりますので、ご相談ください。

Q. ISO22301を取得するためには、何をしたらいいのですか？

BCMSを構築し運用します。一定期間運用したら、審査を受けることができます。審査に合格すれば、ISO22301の登録証が発行されます。

Q. BCPを策定するための手順を教えてください。

一般的な手順としては、各事業の重要度を評価し、事業継続マネジメントシステムを構築すべき事業活動を特定します。その上で、事業継続マネジメントシステムの対象となる事業活動をすべて詳らかにします。「詳らか」とは、各事業においてどのような資源をどのくらい利用しているのかを明らかにすることです。その資源を利用できなくなるリスクを特定し、リスクシナリオを策定し、そのリスクシナリオに対応する計画を立てます。

Q. ISO22301で要求されることは何ですか？

ISO22301の規格で要求していることは、おおまかに述べると「事業継続マネジメントシステム（BCMS）を構築すること」「 BCMSを運用すること」「 BCMSを改善すること」です。要求事項とは、例えば「方針を立てなさい」「内部監査を行いなさい」などです。

Q. ISO22301のリスクアセスメントは、どのようなことをするのでしょうか？

ISO22301のリスクアセスメントでは、一般的にビジネスインパクト分析（BIA）で特定された事業継続のための資源に対するリスクを特定、評価し、対応をしていくことが求められます。

Q. ISO22301の認証取得には、どれぐらいの期間が必要ですか？

「取組目的」「対象組織の規模」「取組体制」「現在の統制状況」等の要素によって変動しますが、一般的には、12ヶ月～18ヶ月を目安にお考えください。

Q. ISO22301を取得した後は、審査を受ける必要がありますか？

ISO22301を取得した後は、定期的に継続審査（定期審査）と再認証審査（更新審査）を受けることになります。再認証審査は3年毎にあります。再認証審査が無い年には、継続審査があります。

ISO22301の審査に関するご質問

Q. 審査機関について教えてください。

国内では5社の審査機関（認証機関）がありますが、その審査機関の信頼性を保障する仕組みとして、グローバルな認定を受ける制度を設けています。日本では情報マネジメントシステム認定センター（ISMS-AC）という認定機関があり、審査機関は認定機関のお墨付き（認定)を得てISO22301の認証を行っています。

ISMS-ACから認定を受けている審査機関は5社ですが、それ以外にも各審査機関独自に審査を行っています。

Q. 審査はどこが実施するのですか？

審査に関連するのは、受審企業である皆様の他に、「認定機関」と「審査機関」があります。

認定機関は、審査機関を審査したうえで審査機関として認定する機関であり、実際に皆様の審査を行うのは、その認定された審査機関です。

各国に認定機関があり、そこから認定された審査機関が存在するわけですが、ISO22301の日本の認定機関は、情報マネジメントシステム認定センター（ISMS-AC）で、併せて5社の審査機関が認定されています。ただし、ISMS-ACに認定された審査機関だけでなく、海外の認定機関に認定された審査機関で受審することも可能です。また、認定機関に認定されていない審査機関もございます。

Q. 審査で不適合になってしまったら、どうしたらいいですか？

不適合の原因を是正しましょう。それを報告して受理されれば、認証取得ができます。ただし、不適合の内容によっては再度現地審査が行われる場合があります。

コンサルティングに関するご質問

Q. コンサルタントに支援を依頼するメリットは？

ISO22301認証取得にて、コンサルタントに支援を依頼すると、時間を短縮することができること。オーバースペックを回避することができること。審査機関を上手に選択することができることなどのメリットがあります。

Q. コンサルティングをお願いしてから、ISO22301の認証が得られるまで、どれぐらいの日数がかかりますか？

策定したBCPの演習が必要であるため、規模にもよりますが1年間程度かかります。

Q. コンサルティングをお願いするとISO22301の取得に最短でどれぐらいの日数がかかりますか？

皆様の事業内容、組織体制、物理環境、既存内部規程の整備状況、そして何より登録範囲によって変動します。したがいまして、一概に最短時間を申し上げることはできませんが、登録範囲が同じと仮定した場合、ISO9001やISO14001よりも時間がかかるとお考えください。

Q. BCP策定をコンサルティングしてもらえますか？

ISO22301認証取得やBCMSの構築はせずに、BCP策定支援のみのコンサルティングも承っております。また、策定したBCPの試験のコンサルティングも承っております。お気軽にご相談ください。