ISO22301から見た大学の業務継続マネジメントの方向性

特集:大学の防災

大原美保
2012年12月1日

 近年、企業・官公庁など様々な組織において事業継続計画の作成が進んでいる。国際標準化機構(ISO)は,2012年5月16日に,組織の事業継続マネジメントシステム(Business Continuity Management Systems, BCMS)に関する要求事項を規定した国際規格であるISO 22301を発行した。CIDIRは、設立時のミッションの一つに「災害後も大学の社会的使命を果たし続けるための大学SCM(Service Continuity Management)モデルの開発」を掲げている。企業と比べて、大学の業務継続計画の策定およびマネジメントはなかなか普及していない。ここでは、ISO22301の観点から、今後の大学の業務継続マネジメントの方向性について議論したい。
 事業継続計画と事業継続マネジメントの違いとは、何であろうか?ISO22301 の第3条によれば、BCMとは「組織のレジリエンスを構築するための枠組みを提供する包括的なマネジメントプロセス」と定義される.このプロセスは、「事業継続の確立(Plan)、導入及び運用(Do)、監視及びレビュー(Check)、維持及び改善(Act)」から成り、これらのPDCAサイクルの適用により、事業継続マネジメントシステム(BCMS)が実現する。すなわち、ISO22301では、計画を策定するだけでなく、それを遂行できる体制作りそのものが要求されているのである。
 ISO22301第6条によれば、「組織は事業継続目的に関して文書化した情報を保持しなければならない」。しかし,CIDIRで2011年度末時点で首都圏近郊の国立・私立大学51校を対象にアンケート調査を行った結果によれば、「業務継続計画」を有する大学は存在せず、そもそも「大学全体としての防災計画・マニュアル等がなかった」大学も11校あった。文書化の取り組みはまだ普及していない。
 第8条によれば、「事業影響度分析及びリスクアセスメント」を導入する必要がある。事業影響度分析では,業務停止による影響の評価や復旧の優先順位の設定を行い、文書化しなければならない。大学における優先業務は、入学・卒業などの学事日程にも関わり、発災日時に大きく影響を受ける。また、東日本大震災では、地震後の長期に渡る教育・研究活動の停滞も問題となった。これらを踏まえた上で,大学の優先業務を決定し、影響度分析を行う必要がある。
 業務を継続するためには,限られた人的・物的資源の下、これらを優先業務に集中させる必要がある。現行の大学の災害対策においては、部局(学部・研究科など)ごとに防災体制の構築や訓練が行われているものの、大学全体の視点からみた災害時の資源・空間の優先的利用やバックアップの確保はあまり検討されていない。何を優先業務とするかについては、大学本部が一方的に決めるだけでなく、部局も参画した上での議論が必要かもしれない。学内での議論を深めた上で、方針を決めていく必要がある。
 PDCAサイクルの適用においては、特にCheckの機会が重要である。大学本部、部局など様々な単位でのCheckが必要となる。CIDIRのアンケート調査によれば、東日本大震災以前から防災訓練を行っていた大学は47%にとどまっており、Checkのノウハウも欠如している。大学独自のBCMS構築のノウハウも開発される必要がある。
 以上の通り、ISO22301からみると、大学の現状は課題が山積みである。筆者は、やみくもに大学がISO認証取得を目指すことを提唱しているのではない。国際的な大学の一つのスタンスとして、ISOに書かれている程度のことは当然のこととして克服されている必要があると考える。今回のISO22301発行および東日本大震災の経験を機に、大学のBCMの確立が加速的に進むことを期待している。CIDIRにおいても、引き続き、大学のBCMS構築に向けた研究に邁進する予定である。

参考文献)一般財団法人日本規格協会:国際規格 社会セキュリティー事業継続マネジメントシステム-要求事項,英和対訳版,  2012.