BCI GPG を読み解く〜 #3 GPG の前書き
本稿では GPG の 4 ページ目から始まる前書き(Introduction)について書いていきたいと思います。
まず最初の部分には、事業継続マネジメント(BCM)に関するガイドラインの必要性が以前にも増して高まってきたことや、ISO から関連する国際規格や技術仕様書が発行されていることなど、GPG の改訂が行われた背景に関する説明と、GPG の発行主体である BCI の紹介が書かれています。
事業継続とは何か?
5 ページの左側には「What is business continuity management?」つまり「事業継続マネジメントとは何か?」というセクションがあり、BCM の範疇で行われる活動の概略が書かれています。この内容は GPG を読み進めていけば分かることですので、ここで詳しい説明は割愛しますが、このセクションの最初に書かれている次の一文は大事だと思いますので、ここで拾っておきたいと思います。
BCM is a discipline that enables the resilience of organizations through the careful management of the PPs presented in this GPG.
つまり「BCM とは、この GPG で示されている各 PP を注意深くマネジメントすることで、組織の resilience を有効にする discipline である」と言っています。ここで私があえて英語のまま残した 2 つの単語が、どのような意味を持っているのかを押さえておくことが大事です。
まず「resilience」とは大雑把に言うと、何らかの外力を受けて変形したりダメージを負ったものが、元の状態に戻っていくための力を言います。「復元力」と訳されることもありますが、文脈によってはニュアンスが異なる場合があり、訳すのが難しいので、最近は日本語でもそのままカタカナで「レジリエンス」と書かれることが多いと思います。
実は「レジリエンス」をどのようにとらえるかは、分野や人によってかなり幅があり、「レジリエンスとは何か?」だけで論文がひとつ書けるくらいの概念ですので、本稿ではこれ以上の深入りは避けます(注 1)。GPG はあくまでも組織の事業継続に関する文書ですので、ここでは「災害や事故などの影響を受けたあとに、そこから立ち直っていくための能力」と思っていただければ十分かと思います。
次に「discipline」です。一般的には「規律」や「自制心」などと訳されることが多いと思いますが、学術領域とか学科、分野というような意味もあります。では GPG において、どのような意味で使われているかというと、組織経営における様々なマネジメント領域(品質、情報セキュリティ、人的資源、財務など)を指して discipline と呼んでいるようです。これは GPG における他の部分や、BCI がリリースしている他の文書類での discipline の使われ方からの推測です。うまい訳語が思いつきませんが、GPG を和訳するのが本稿の目的ではありませんので、ここでは「事業継続」というマネジメント領域のことを言っているということが理解できればよろしいかと思います。
若干説明が長くなりましたが、要するに BCM とは組織のレジリエンスを構築し、維持・改善していくための活動であるということを明確にしています。
ところで、「business continuity」を日本では「事業継続」と呼んでいますが、この訳語についても若干の注意が必要です。スペルの最後が「〜 ity」となっていることから分かるように、「continuity」には「継続性」もしくは「継続させる能力」という意味があります。したがって本来は「事業継続性」もしくは「事業継続力」と訳したほうが本来の意味に近くなります。しかしながら「business continuity」を最初に和訳した人が「事業継続」という訳語をあてて以来、日本ではこれが定着しています(注 2)。
既に広く定着している訳語をくつがえすのは現実的ではありませんので、本稿でも「事業継続」という用語を使いますが(私も普段の仕事ではそうしていますが)、実は BCM は「事業継続能力のマネジメント」なのだということを知っておくと、これから BCM に関する理解を深めていく際に役立つと思います。この件については別途あらためて触れたいと思います。
BCI GPG とは何か?
前述の「事業継続とは何か?」というセクションに続いて、「BCI GPG とは何か?」、「GPG は誰のためのものか?」、「GPG は規格とどう違うのか?」といったセクションが並んでいます。
GPG はそのタイトルが示すとおり「ガイドライン」ですから、BCM に取り組む実務者にとって有用なノウハウや情報、ヒントが書かれているのは言うまでもありません。しかし GPG の存在意義はそれだけではありません。GPG は、BCI における教育プログラムの基盤(foundation)として機能しています。
BCI は BCM の実務者を養成するための教育プログラムを開発し、これに基づいて公認トレーニングパートナーが世界各国で研修を行い、資格試験に合格した人を有資格者として認定するという仕組みをつくって運営しています(注 3)。ここで使われる教育プログラムや資格試験は、GPG の構成や内容に基づいて開発されています。表現を変えれば、GPG は BCM に関する知識体系(body of knowledge)として編集されており、GPG に書かれている内容が資格試験の試験範囲となっています。
また、「GPG は規格と何が違うのか?」という点についてですが、ここで「規格」とは、事業継続に関連する国際規格である「ISO 22301」および「ISO 22313」などを指しています(注 4)。では GPG とこれらの規格との間で何が違うのかというと、書かれている対象が違うということになります。
ISO 規格はいずれも、事業継続に取り組む組織が何をすべきかが書かれています。つまり組織として、どのような仕組みを作るべきか、どのような活動が必要か、などが書かれています。これに対して GPG は、組織の事業継続に関する実務を実践する個人(BCI ではよく「practitioner」と表現されます)が何をすべきか、どのようなことに留意すべきか、どのようなやり方があるか、などが書かれています。また、そのような個人に対する実践的なヒントがまとめられています。
このような違いはありますが、一方で GPG はこれらの規格との親和性を考慮して編集されています。主要な用語の定義は ISO 規格に準拠していますし、「この部分は ISO 22301 のこの部分に対応する」というような記述もあちこちにあります。つまり、GPG は ISO 規格との間で前述のような違いがあることを理解した上で、規格と併用されることを想定して、その際に使いやすいよう配慮されているのです。
このような記述の後、前のバージョンである 2018 年版からの変更点が説明されていますが、これについては該当箇所の解説の中で、必要に応じて触れていきたいと思います。また前書きの最後には、今回の Edition 7.0 への改訂に携わった BCI のスタッフ、および多数のボランティアの名前が記載されています(注 5)。GPG は 2001 年の初版以降、2005、2007、2008、2010、2013、2018 年版、そして現行の Edition 7.0 というように改訂が重ねられており、その過程で世界各国から多数のボランティアが議論や編集作業などに関わっています。彼らはいずれも BCM に関する専門家もしくは実務者で、改訂作業の中で彼らの実務経験から得られた教訓やヒントなども GPG に追記してくれています。そのような貢献に感謝するために、関わったボランティア全員の名前が記載されているのです。
[本稿に関するお問い合わせ]
本稿や GPG の内容、もしくは BCI の活動に関するお問い合わせにつきましては、下記 URL の問い合わせフォーム(合同会社 Office SRC の Web サイト)からご連絡いただければ幸いです。
http://office-src.com/contact
GPG は BCI の Web サイトから購入できます。次のリンク先をご参照下さい。
https://www.thebci.org/certification-training/good-practice-guidelines.html
【注釈】
(注 1) この問題については一般社団法人レジリエンス協会の「組織レジリエンス研究会」が解説しています。ご興味があれば次のリンク先をご参照ください。
https://note.com/orgres/n/n0837fa05ff95
https://note.com/orgres/n/n0eec07be8170
(注 2)私が知る限りでは、「business continuity」という用語が初めて和訳されたのは、情報セキュリティに関する英国規格「BS 7799」が和訳されたときではないかと思います。これは現在の国際規格「ISO/IEC 27001」の原型となった規格で、初版発行は 1995 年です。私がかつて企業で情報セキュリティを担当していた 1999 年ごろに見た、BS 7799 の参考和訳に「事業継続管理」と書かれていたのを覚えていますので、この頃には既に「business continuity」が「事業継続」と訳されていたことになります。
(注 3) 弊社(合同会社 Office SRC)も BCI からパートナーとして認定を受け、「CBCI 資格取得研修」を開催しています。詳しくは次のリンク先をご参照ください。
https://office-src.com/business/cbcitraining
(注 4)「ISO 22301」は事業継続マネジメントシステム(BCMS)に関する要求事項として作られた規格です。また「ISO 22313」はその BCMS を構築・運用するためのガイドラインとして作られた規格です。それぞれ日本規格協会によって日本語訳され、同じ番号を使って「日本産業規格」の「JIS Q 22301」および「JIS Q 22313」として制定されています。
(注 5) 筆者自身も PP6 の改訂のためのワーキンググループにメンバーとして参加しており、GPG の 11 ページ目に名前を掲載していただきました。
【2025/01/05 修正】GPG の改訂(Edition 7.0)に合わせて修正しました。
いいなと思ったら応援しよう!
