事業継続マネジメントシステム実証運用

BCMS実証運用 認証機関向け説明会 実施報告

2008年10月2日
財団法人 日本情報処理開発協会
情報マネジメント推進センター


 この度、本センターでは、2008年9月29日に認証機関向けにBCMS実証運用の説明会を開催いたしました。実施内容につきまして、下記のとおり、ご報告いたします。


− 記 −


1.題 名: BCMS実証運用 認証機関向け説明会

2.日 時: 2008年9月29日(月) 14時〜16時

3.場 所: 機械振興会館(東京都港区芝公園 3-5-8)B2階 ホール

4.内容:
  1. BCMS実証運用概要
  2. BCMS実証運用 実施要領
    • 認定の手順
    • 審査員の条件
    • 実証運用における認定審査の体制
    • 実証運用における認定審査の考え方
  3. BCI及びCBCIについて
  4. 質疑応答

5.配布資料:
  1. 「認証機関向けBCMS実証運用説明会」説明資料
  2. BCMS実証運用実施要領
  3. BCMS認証機関認定基準(JIP-BCAC100-0.8)
  4. BCMS認証機関認定の手順(JIP-BCAC110-0.8)
  5. BCMS審査員研修コース基準に関する指針(JIP-BCAC221-0.8)
  6. BCMS審査員の資格基準に関する指針(JIP-BCAC401-0.8)
  7. 日本における事業継続ガイドライン一覧
6.質疑応答の内容:
 【A社】
(質問1)
審査員資格基準で要求している「事業継続関連分野での実務経験」とは、どのような業種での経験を指すのか。

(回答1)
事業継続関連分野について特に業種は限定していない。事業継続関連分野の実務とは、例えばBCPの策定、マネジメントシステムの構築、BCMの監査に携わった経験等が考えられる。
(質問2)
研修については、審査員はIRCA等が承認した審査員研修コースを受講し、成功裏に修了しておくこととなっているが、実務経験については、認証機関が審査員を雇用する際に、その根拠として本人が提出する経歴書を見て判断すればよいということなのか。

(回答2)
実務経験を4年としているが、この4年間については分野を限定していない。4年間の実務経験の内、2年間の事業継続関連分野での経験を求めているが、どのような業種・分野の企業での経験であるかは特に限定していない。
(質問3)
認証機関は自らの審査員資格を定めた上で、どの分野の審査にどの審査員を割り当てるかを実証運用中に決めていけばよいということか。

(回答3)
審査員が特定の専門分野の審査に適切な技能及び知識をもつかどうかの分析・評価を認証機関が行うことはISO/IEC 17021の要求事項であり、実証運用期間中は認証機関が定めた方法に従う。認定申請時の業種区分に加えて、審査員の資格基準においても業種区分を適用することを実証運用で検討する。


 【B社】
(質問4)
BCPは、実際に発動される可能性が極めて低いものである。きちんと計画を立てているかを書類審査で見ることはできても、その計画に沿って訓練を行った、レビューを行ったというだけで、実際に発動しているところを審査で見ることはできない。(現地審査では)訓練、レビュー等のみを見てよしとするのか。

(回答4)
その通りである。実際のBCP発動まで審査することはできない。訓練、フィードバック等をどのように行っているかを審査で見ることとなる。


 【C社】
(質問5)
審査員資格基準として、認定された要員認証機関によって承認された研修機関による研修コースを受講することを求めている。しかし該当する研修コースで現在利用可能なものはない。このような状況下で実証運用期間中に主任審査員の資格を取得しようとしても、正式運用までに3回の審査経験等の条件を満足できない可能性がある。この場合どうすればよいのか。

(回答5)
IRCAの承認コースがまだない段階で、その修了を要求しているのは事実である。しかし、承認されていなくても研修機関で開設されているコースはあり、また認証機関の内部研修もあると聞いている。これらの研修の内容がJIPDECが要求する基準を満たすことを認証機関が実証し、JIPDECが認めれば、同等と見なす。どのようなものを同等と見なすかについてまだ具体化していないが、今後個別に対応していく予定である。 審査実績については、今回特例を認めているが、特例のまま継続していくわけではない。規定の要求事項を満たすことは最終的には必要であり、いつから特例を除外するかを含め、今後検討する。
認証機関が審査員の力量をどう担保しているかについては、認定審査で評価することになる。IRCA承認の研修コース受講は、IRCAに審査員として登録するための条件であって、JIPDECとしてはその受講を考慮に入れるが、審査員の力量を担保していることを見ることの方を優先する。特例については、今後マーケットのニーズを見極め、それに合わせて対応していく予定である。


 【D社】
(質問6)
実証運用作業グループを設置するとのことだが、どの程度のペース(頻度)で会合を予定しているか。

(回答6)
現在のところ具体的なものはない。今後の申請、審査の実施の状況によると思われる。
(質問7)
事務所の認定審査では審査記録を確認するということだが、認証審査をすでに実施していることを前提とするということか。

(回答7)
その通りである。審査記録ができた時点で事務所審査を実施する。
(質問8)
BCMSの認定審査を、ISMSのサーベイランス等と同時に行うことはできるか。

(回答8)
実証運用中には、他のマネジメントシステムとの複合審査は考えていない。
(質問9)
正式運用では業種区分ごとに認定するのか。

(回答9)
複数の業種区分をいくつかまとめて申請していただき、それを1件の認定とする。正式運用で認定登録証をどのようにするかについては未定である。業種区分については実証運用中に検討し、その結果正式運用では業種区分を適用しない、ということもあり得る。


 【E社】
(質問10)
認証規格はBS 25999-2をベースとするということだが、PAS 22399との関係はどのようになっているか。

(回答10)
PAS 22399は、イギリス、アメリカ、オーストラリア、イスラエル、日本が合同でISO化を提案しているが、各国が作成した項目間のアンバランスを理由に規格としての完成度の低さを指摘され、現在CD(委員会原案)にまで後退してしまっている。BS 25999-2とPAS 22399は全く別個の規格である。
いずれにしてもISO化されれば、そのISOに移行する。現時点で認証規格はBS 25999-2しかないが、BS 25999-2は対訳版のみである。BS 25999-2を包含する形でBCMS認証基準を作り込む予定である。
(質問11)
もしPAS 22399が成熟して、ISOになったらどうするのか。PASで認証を取得したいという潜在顧客がある。

(回答11)
BS 25999-2とPAS 22399の両方で認証を取得することは考えにくい。ISOで認証規格を作る予定があるとも聞いている。例えばPAS 22399-2などのように認証規格が成立すれば、当然の流れとして正式運用ではそれを認証規格とすることになる。


 【F社】
(質問12)
実証運用スケジュールは2008年8月から来年7月までということだったが、実施は2ヶ月ほど遅れているようだ。実証運用への認証機関からの申請には期限があるのか。

(回答12)
7月30日に実証運用について公表した際には、認定基準が未発表であった。本日説明会実施後、すぐにでも申請していただくことは可能である。実証運用の期間は目安として1年間としているが、現時点で実証運用の申請締切日は定めていない。1年後にはISO化の動きが今より明確になってくると思われる。常にその動きに注目して、ISOの動向を見定めたいと思う。BS 25999-2で認証を取得された方の不利益にならないように配慮していくが、ISOの動向によって状況が変化する可能性があるので、実証運用期間の期限を明確に決めにくいという事情もある。

7.「BCMS実証運用実施要領」に関する補足説明:
 1)申請の条件
「実施要領」では、申請前の認証実績は1件以上としているが、1件の認証実績がなくても認証予定が2件以上あればよいこととする。

 2)立会審査
「実施要領」では、立会審査は原則として認証審査全件を対象にするとしているが、立会審査は原則として1件の認証審査を対象とする。ただし、実証運用の評価のため、以降の認証審査にも原則として全件立会うこととする。

 3)認定シンボル
実証運用期間中、認定シンボルは使用しないこととする。

8.問合せ先:
     (財)日本情報処理開発協会 情報マネジメント推進センター
      http://www.jipdec.or.jp/ask/toiawase8/

以上