BCI GPG を読み解く〜 #3 GPG の前書き
本稿では GPG の 6 ページ目から始まる前書き(Introduction)について書いていきたいと思います。
6 ページ目の左側は、事業継続マネジメント(BCM)に関するガイドラインの必要性が以前にも増して高まってきたことや、関連する国際規格が発行されていることなど、GPG の改訂が行われた背景に関する説明と、GPG の発行主体である BCI の紹介が書かれていますが、皆さんあまりご興味なかろうと思いますので、この辺の説明は割愛します。
事業継続とは何か?
同ページの右側には「What is Business Continuity?」つまり「事業継続とは何か?」というセクションがあり、BCM の範疇で行われる活動の概略が書かれています。この内容は GPG を読み進めていけば分かることですので、ここで詳しい説明は割愛しますが、このセクションの最初に書かれている次の一文は大事だと思いますので、ここで拾っておきたいと思います。
つまり「事業継続とは、組織の resilience の構築や改善の中心に位置する、鍵となる discipline である」と言っています。ここで私があえて英語のまま残した 2 つの単語がどのような意味を持っているのかを押さえておくことが大事です。
まず「resilience」とは大雑把に言うと、何らかの外力を受けて変形したりダメージを負ったものが、元の状態に戻っていくための力を言います。「復元力」と訳されることもありますが、文脈によってはニュアンスが異なる場合があり、訳すのが難しいので、最近はそのままカタカナで「レジリエンス」と書かれることが多いと思います。
実は「レジリエンス」をどのようにとらえるかは、分野や人によってかなり幅があり、「レジリエンスとは何か?」だけで論文がひとつ書けるくらいの概念ですので、本稿ではこれ以上の深入りは避けます。GPG はあくまでも組織の事業継続に関する文書ですので、ここでは「災害や事故などの影響を受けたあとに、そこから立ち直っていくための能力」と思っていただければ十分かと思います。
次に「discipline」です。一般的には「規律」や「自制心」などと訳されることが多いと思いますが、学術領域とか学科、分野というような意味もあります。では GPG において、どのような意味で使われているかというと、組織経営における様々なマネジメント領域(品質、情報セキュリティ、人的資源、財務など)を指して discipline と呼んでいるようです。これは GPG における他の部分や、BCI がリリースしている他の文書類での discipline の使われ方からの推測です。うまい訳語が思いつきませんが、GPG を和訳するのが本稿の目的ではありませんので、ここでは「事業継続」というマネジメント領域のことを言っているということが理解できればよろしいかと思います。
若干説明が長くなりましたが、要するに BCM とは組織のレジリエンスを構築し、改善するための活動であるということを明確にしています。
ところで、「business continuity」を日本では「事業継続」と呼んでいますが、この訳語についても若干の注意が必要です。スペルの最後が「〜 ity」となっていることから分かるように、「continuity」には「継続性」もしくは「継続させる能力」という意味があります。したがって本来は「事業継続性」もしくは「事業継続力」と訳したほうが本来の意味に近くなります。しかしながら「business continuity」を最初に和訳した人が「事業継続」という訳語をあてて以来、日本ではこれが定着しています(注 1)。
既に広く定着している訳語をくつがえすのは現実的ではありませんので、本稿でも「事業継続」という用語を使いますが(私も普段の仕事ではそうしていますが)、実は BCM は「事業継続性マネジメント」なのだということを知っておくと、これから BCM に関する理解を深めていく際に役立つと思います。この件については別途あらためて触れたいと思います。
BCI GPG とは何か?
前述の「事業継続とは何か?」というセクションに続いて、「BCI GPG とは何か?」、「GPG は誰のためのものか?」、「GPG は規格とどう違うのか?」といったセクションが並んでいます。
GPG はそのタイトルが示すとおり「ガイドライン」ですから、BCM に取り組む実務者にとって有用なノウハウや情報、ヒントが書かれているのは言うまでもありません。しかし GPG の存在意義はそれだけではありません。GPG は、BCI における教育プログラムの基盤(foundation)として機能しています。
BCI は BCM の実務者を養成するための教育プログラムを開発し、これに基づいて公認トレーニングパートナーが世界各国で研修を行い、資格試験に合格した人を有資格者として認定するという仕組みをつくって運営しています。ここで使われる教育プログラムや資格試験は、GPG の構成や内容に基づいて開発されています。表現を変えれば、GPG は BCM に関する知識体系(body of knowledge)として編集されていると言えます。また GPG に書かれている内容が資格試験の試験範囲となっています。
また、「GPG は規格と何が違うのか?」という点についてですが、ここで「規格」とは、事業継続に関連する国際規格である「ISO 22301」および「ISO 22313」などを指しています(注 2)。では GPG とこれらの規格との間で何が違うのかというと、書かれている対象が違うということになります。
ISO 規格はいずれも、事業継続に取り組む組織が何をすべきかが書かれています。つまり組織として、どのような仕組みを作るべきか、どのような活動が必要か、などが書かれています。これに対して GPG は、組織の事業継続に関する実務に携わる個人が何をすべきか、どのようなことに留意すべきか、どのようなやり方があるか、などが書かれています。また、そのような個人に対する実践的なヒントがまとめられています。
このような違いはありますが、一方で GPG はこれらの規格との親和性を考慮して編集されています。主要な用語の定義は ISO 規格に準拠していますし、「この部分は ISO 22301 のこの部分に対応する」というような記述もあちこちにあります。つまり、GPG は ISO 規格との間で前述のような違いがあることを理解した上で、規格と併用されることを想定して、その際に使いやすいよう配慮されているのです。
このような記述の後、前のバージョンである 2013 年版との違いが説明されていますが、これについては該当箇所の解説の中で、必要に応じて触れていきたいと思います。また前書きの最後には、これまで GPG の編集に携わったBCI のスタッフ、および多数のボランティアの名前が記載されています。GPG は 2001 の初版以降、2005、2007、2008、2010、2013、そして現行の 2018 年版というように改訂が重ねられており、その過程で 12 カ国から 60 人以上のボランティアが関わっています。彼らはいずれも BCM に関する専門家もしくは実務者で、改訂作業の中で彼らの実務経験から得られた教訓やヒントなども GPG に追記してくれています。そのような貢献に感謝するために、関わったボランティア全員の名前が記載されているのです。
GPG の前書きに関する説明は以上です。次回からはいよいよ GPG の本体の説明に入っていきますので、お楽しみにお待ちいただきたいと思います。
【注釈】
(注 1)私が知る限りでは、「business continuity」という用語が初めて和訳されたのは、情報セキュリティに関する英国規格「BS 7799」が和訳されたときではないかと思います。これは後に制定される国際規格「ISO/IEC 17799」および「ISO/IEC 27001」の原型となった規格で、初版発行は 1995 年です。私がかつて情報セキュリティを担当していた 1999 年ごろに見た、BS 7799 の和訳版に「事業継続管理」と書かれていたのを覚えていますので、この頃には既に「business continuity」が「事業継続」と訳されていたことになります。
(注 2)「ISO 22301」は組織の事業継続性を適切に維持向上させるためのマネジメント手法である「事業継続マネジメントシステム」に関する要求事項として作られた規格です。また「ISO 22313」はその事業継続マネジメントシステムを構築・運用するためのガイドラインとして作られた規格です。それぞれ日本規格協会によって日本語訳され、同じ番号を使って「日本産業規格」の「JIS Q 22301」および「JIS Q 22313」として制定されています。