BCP対策の認証

BCP対策を進めることで緊急事態に備えた事業継続への取り組みができている企業だと認められると取得できる認証があります。ここでは2つの認証制度について目的や取得方法、メリットなどを解説します。

BCP対策で取得できる認証の種類

BCP対策を行うことで取得できる認証の種類にはISO22301とレジリエンス認証があります。日本の規格であるJISQ22301は国際規格であるISO22301と一致する規格です。

ISO22301

ISO22301の目的

ISO22301はBCMS事業継続マネジメントシステムを規定する国際規格です。企業や組織にとって事業継続を揺るがしかねない重大な脅威が迫ってきたとき、つまり緊急事態に備えた効果的な対策、効率的な対策の枠組みを示すものとして要求事項を定めています。緊急事態に備えた対策といっても、実際に緊急事態が発生してみないと効果がわからないというのでは意味がありません。要求事項は対応策を構築して実際に運用することと、BCMSのパフォーマンスと有効性を監視してレビューすること、継続的な改善を行うことを目的としたものです。そのために演習が求められています。

事業継続にとっての重大な脅威とは、地震や水害などの自然災害であったり、火災や停電であったり、テロ攻撃であったりします。また、感染症の流行や得意先企業の倒産、システムトラブルも脅威の1つです。

ISO22301を取得する方法

ISO22301を取得する方法は、第一に要求事項を満たす体制・計画・対策を構築して審査基準を満たすことから始まります。そのうえで、認証機関の審査を受けて認証取得する手順です。日本には認証機関を認定する機関が2つあります。JAB日本適合性認定協会とISMS-AC情報マネジメントシステム認定センターです。この2つの認定機関から認定を受けた認証機関であれば、どこで認証を取得しても構いません。日本にある認証機関は50社ほどです。

認証機関の利用には費用がかかります。まずは認証を取得しよう（審査を受けよう）と考えている認証機関から見積もりをとって費用面の問題をクリアすることが重要です。下記はISO22301の認証取得に向けた体制づくりの一連の流れです。

• ISO22301取得の検討～現状の調査
• 情報収集・取得の意思決定～プロジェクトの立ち上げ
• 工程表作成
• 適用範囲と方針の決定
• BIA事業影響度分析
• 規定類の作成
• リスクアセスメント
• 教育
• BCP策定
• 演習・内部監査・レビュー

実際には同時進行であったり前後したりする部分もあります。また、後半に入ると次に示す審査の流れと時系列的に重なるケースもあります。

一般的にISO22301の認証を取得するための審査～登録の流れは下記のとおりです。

• 相談・見積もり
• 内容確認・審査申し込み契約
• 登録審査第一段階
• 登録審査第二段階
• 登録証発行
• 定期審査
• 更新審査

審査過程で別途手順が入るケースもあります。登録証発行が審査合格であり認証の取得で、有効期間は3年間となっています。期限切れとなる3年後をめどに更新審査が行われますが、その途中で定期審査が実施される点に注意が必要です。定期審査の間隔は認証機関にもよりますが、半年～1年程度と考えておけばよいでしょう。

取得の検討から登録までの期間は短くても1年程度を想定しておくことです。余裕のない計画では時間不足になって雑な対応になってしまったり、予定が狂ってしまったりする可能性があります。

ISO22301を取得するメリット

第三者機関による妥当性の証明になる

ISO22301を取得する対外的なメリットは、事業継続を脅かす潜在的な緊急事態に備えた対策の計画・運用が確立していることを信頼度の高い認証機関によって証明できる点にあります。

現実の危機への対応力が高まる

ISO22301の認証を取得できるレベルで準備を行うことが、現実の危機が襲ってきたときの対応力を高めることにつながっています。

事業再開能力と事業復旧能力の向上

事業を再開する能力と事業を復旧する能力も向上します。

企業価値を高めることができる

コロナ禍で事業継続ができず会社を閉じる事例も少なくありません。消費者はもちろんのこと、企業が取引先として選ぶ際にも、取引しても安心できる企業なのか不安に感じるものです。

事業継続マネジメントシステムをしっかりと導入していることで、リスクマネジメントが機能している企業であることをアピールでき、企業価値を高めたり事業によい影響をもたらしたりといった期待がもてる点も大きなメリットです。

一過性で終わらない

定期審査や更新審査を受けてパスすることにより、修得した能力の維持向上が図れます。認証取得しても一過性で終わってしまうことがないように取り組む姿勢が証明される点もメリットの1つです。

レジリエンス認証

レジリエンス認証とは、ISO22301と同様にBCP対策を進めることで取得できる認証です。レジリエンス認証は国土強靭化と関連して緊急事態に遭遇した場合に備える回復力の強さを証明する認証ともいえます。レジリエンス認証を受ける前提として、国土強靱化の趣旨に賛同していることが必要です。そのうえで、積極的に事業継続の取り組みを行っている企業が国土強靱化貢献団体としてレジリエンス認証の対象となり得ます。

レジリエンス認証の目的

地震や台風など自然災害に見舞われることが多い日本では、国土強靭化基本計画が閣議決定され、国土強靭化年次計画が国土強靭化推進本部によって毎年決定されています。このような中にあって、企業・組織としての強靭化にも注目が集まっており、国家や民間といった垣根にかかわらず社会全体での底上げが重視されている状況です。

企業においては社会インフラをどうこうできるわけではなく、緊急事態における事業継続を確保することで地域社会、ひいては日本全体の強靭化を支えることが期待されています。レジデンス認証は、前述したように趣旨に賛同している企業の取り組みを推進することによる、社会全体での強靭化推進という目的をもった認証制度です。

レジリエンス認証を受ける方法

レジリエンス認証を受ける方法は、ISO22301がそうであるように、認証の条件を満たす体制づくりをするところから始まります。レジリエンス認証で重要になるのはBCP事業継続計画です。レジリエンス認証を行うのは一般社団法人レジリエンスジャパン推進協議会で、内閣官房国土強靱化室による要件適合性の確認を受けています。

レジリエンスジャパン推進協議会の資料によれば、認証を取得するまでの流れは以下のとおりです。

• 申請の準備（必要書類の用意）
• 申請（申請書をメールと郵送の両方で送る）
• 一次審査（書類）
• 二次審査の通知（一次審査を終了した団体に通知）
• 二次審査（面接）
• 認証審査委員会による判定
• 二次審査結果の通知（適合判定を受けた団体には「認証・登録契約書」等の必要書類を送付）
• 認証・登録証の交付（認証・登録契約後）

認証の有効期間は2年間で、2年ごとに見直されます。また、所定の審査料や認証・登録料が必要です。
参照元：一般社団法人レジリエンスジャパン推進協議会
（http://resilience-jp.biz/wp-content/uploads/2021/04/final_20210408_pamphlet.pdf）

レジリエンス認証を受けるメリット

レジリエンス認証マークを使える

レジリエンス認証を受けるとレジリエンス認証マークを使えます。マークを名刺などに入れることにより、対外的に事業継続の取り組みに積極的な企業であり、社会への貢献度も高い企業であると認識されやすくなる点がメリットです。その結果、企業イメージの向上や企業の発展につながる期待がもてます。

認証取得団体として公表

希望すれば認証取得団体として内閣官房国土強靱化推進室やレジリエンスジャパン推進協議会のホームページで公表されるため、社会的な認知が広まります。

客観的な判断がなされ改善が進む

認証の審査を受けることで、専門家による客観的な判断がなされます。その結果によって改善が進む点もメリットです。

金融機関の融資が有利になる

一定の手続きを経ることで、日本政策金融公庫の社会環境対応施設整備資金という融資制度を利用でき、金利も優遇されます。