|
4. セキュリティ関連の各種規格と標準化動向
4.1. ISO/PAS1 28000シリーズについて
4.1.1. ISO/PAS 28000シリーズ開発の背景
現在世界の先進国間では、膨大な数の国際的なサプライチェーンによって貨物が国や地域を跨って輸送されています。「国際的なサプライチェーン」とは、貨物の原産地から最終仕向地まで輸送されるプロセス全般を表し、そのプロセスには貨物の移動、船積みデータ交換、通関等の関連する諸手続きが含まれています。更に、「国際的なサプライチェーン」では、積荷の発送から積荷の受け取りまで一つの企業によって管理・運送されると言うのはごく稀なことであり(所謂3PL、4PLと呼ばれるサービス事業者は存在しますが)、一般的にはフォワーダー、倉庫会社、トラック運送会社、海運会社、コンテナターミナル、鉄道会社等多くの物流関係者が介在しているのが実情です。
が、どの様に多くの物流事業者が介在しようが国際サプライチェーンにおいては、非常に高い確率で時間通り(Just-in-time、Quick Response)のデリバリーサービスが提供されています。一方、多くの物流関係者が介在するこということは、悪用されやすい脆さをも持っていると言えます。この様に「国際的なサプライチェーン」においては「複雑さと脆弱性」と言う特徴を持っていると言えます。
9.11同時多発テロ事件を契機にして、貨物輸送の安全性確保に大きな関心が集まりました。「国際的なサプライチェーン」の更なる進展、そして自国のテロ事件防止の視点より、例えば、米国においては同時多発テロ事件後いくつかの省庁を統合して「国土安全保障省(Department of Homeland Security)」という新たな省が設置されました。
国際社会が「国際商取引のセキュリティ課題」に積極的に取り組んできた一例として、国際海事機関(IMO2)は国際航海船舶と港湾施設のセキュリティ向上のために「ISPSコード3(船舶と港湾施設のセキュリティのための国際コード)」を承認し、わが国でも2004年7月に発効しました。更に、世界税関機構(WCO)は、各国税関当局の国際協力を進め、サプライチェーンセキュリティのベストプラクティスの採用を業界に促進するため「Framework of Standards to enhance cooperation among customs organizations internationally(国際商取引の安全確保および円滑化のための基準の枠組み)」を採択しています。米国やヨーロッパの一部の国では、国際的な広がりを持つイニシアチブが開発され、国際的なサプライチェーンのセキュリティを高めるための技術の評価を目的とした多くのプロジェクトが実施されてきました(例えば、米国におけるC-TPAT4、CSI5や24時間ルール6等)。これらの措置は「国際的なサプライチェーン」のセキュリティを高めるとともに、セキュリティ・プログラムを実施する際の課題を明確化するという課題も浮き上がってきました。
メンバー国のコンセンサスに基づいた業界規格の開発と実践を促進する場である国際標準化機構(ISO)では、国際的なサプライチェーンのセキュリティ実施の課題を克服するための国際規格(ISO28000シリーズ)の開発を鋭意行っています。この、ISO28000シリーズは、2005年に開催されたIMO/MSC(海上安全委員会:Maritime Security Committee)に提出し説明が行われ、IMOとの連携も出来上がっています。更に、WCOでは、ISO28000のコンセプトの一部を導入することを検討中です。この様にISO28000シリーズは、国際的なサプライチェーンに大きな影響を与える可能性があり、ここでは開発中のISO/PAS 28000シリーズの概要を記述します。(なお、ISO28000シリーズ文書は現時点ではISO正式文書となっていないので、ISO/PAS28000シリーズとして記述しました。)
|
1 PAS: Publicly Available Specification(公開仕様書)
2 IMO: International maritime Organizationの略名で、1948年に政府間海事協約協議機関(IMCO: Inter-governmental Maritime Consultative Organization)として設立され、1975年に現組織名に変更した。2006年3月現在の加盟国は166カ国、準加盟国は3カ国。
3 ISPS: The International Ship & Port Facility Security Code(2001年9月11日米国で発生した同時多発テロ事件以後、船舶と港湾施設に対する脅威に応じて開発されたセキュリティを強化するための処置。)
4 C-TPAT: Customs-Trade Partnership Against Terrorism(官民が協力して国際サプライチェーンおよび国境でのセキュリティ強化を目的とする官民共同イニシャティブ)
5 CSI: Container Security Initiative(米国向け積み出し上位20港の政府との二国間協議に基づき、米国向けコンテナの事前チェックや、税関職員もお互いに派遣しあってコンテナ貨物の検査を行う)
6 24時間ルール:24-Hours Advance Vessel manifest Rule(米国税関は、船会社・NVOCCに対し米国向け輸出貨物の船積港における船の積24時間前までにマニフェスト情報を、原則、米国税関システム(AMS)により米国税関に申告することを義務付けたルール)
|
4.1.2. ISO/PAS 28000シリーズ文書の概要
国際的なサプライチェーンのセキュリティ実施に関する国際標準としてISO/TC8が開発しているISO/PAS 28000シリーズ文書には、28000、28001、28003、28004および28005の各文書があります。更に、ISO/PAS 28000シリーズとは異なりますが、IMOのISPSコードの補完文書として位置づけされるISP/PAS 20858についても併せて記述します。
4.1.2.1. ISO/PAS 28000文書の概要
ISO/PAS 28000の正式名は、「サプライチェーンのためのセキュリティマネジメントシステムの仕様書(Specification for security management systems for the supply chain)」と呼ばれ、ISO/PAS 28000シリーズ文書の核心を担うドキュメントでISO/TC8/WG2で開発が進められています。当文書はISO 14001文書(環境マネジメントシステム規格)をモデルとして開発され、セキュリティの改善・向上を求めるためのリスクベースのアプローチ方法を規定した包括的なマネジメント規格であります。ISO/9000シリーズ、ISO/14000シリーズと同様に「PDCA7サイクル」を要求しています。即ち、ポリシーに沿って手順と目標を決め、手順を実施し、さらに実施状況をポリシー・目標に沿って点検します。その上で必要な改善を行い、更に改善を継続すると言うものです。尚、ISO/PAS28000は2005年11月5日に発行され、現在DIS8への投票中(2007年2月1日投票期限)であり、2007年4月にFDIS9、2007年5月にISO化の予定となっています。
1. 範囲(Scope)
2. 参照出版物(Reference Publications)
3. 用語と定義(Terms and definitions)
4. セキュリティ管理システム要素(Security management system elements)
4.1. 一般必要条件(General requirements)
4.2. セキュリティ管理方針(Security policy)
4.3. リスク評価・セキュリティ計画の作成(Security risk assessment and planning)
4.3.1. セキュリティ評価(Security risk assessment)
4.3.2. 規則等の確認・遵守(Legal, statutory and other regulatory requirements)
4.3.3. セキュリティ管理目的の明確化(Security management objectives)
4.3.4. セキュリティ管理の目標設定(Security management target)
4.3.5. セキュリティ管理プログラム(Security management programmes)
4.4. 実施と運用(Implementation and operation)
4.4.1. 構造・権限・責任の明確化(Structure, authority and responsibilities for security management)
4.4.2. 能力・訓練・認識力(Competence, training and awareness)
4.4.3. 連絡(Communication)
4.4.4. 文書化(Documentation)
4.4.5. 文書とデータ管理(Document and data control)
4.4.6. 運用の管理(Operational control)
4.4.7. 非常時の準備(Emergency preparedness, response and security recovery)
4.5. 確認および修正措置(Checking and corrective action)
4.5.1. セキュリティ能力の判定(Security performance measurements and monitoring)
4.5.2. システムの評価(System evaluation)
4.5.3. 装置の故障等問題点への対応と予防(Security-related failures, incident, non-conformance and corrective and prevention action)
4.5.4. 記録の管理(Control of Records)
4.5.5. 監査(Audit)
4.6. 管理見直しと継続的改善(Management review and continual improvement)
・付属文書ISO/PAS28000、ISO14001:2004とISO9001:2000との対応(Correspondence between ISO/PAS28000, ISO14001:2004 and ISO 9001:2000)
|
7 P(lan):ポリシーに沿って目標と手順を決める。
D(o):手順を実行する。
C(heck):実施状況をポリシー、目標等に沿って点検し、報告する。
A(ction):管理システムを継続的に改善する。
8 DIS: Draft International Standard
9 FDIS: Final Draft International Standard
|
ISO/PAS 28001の正式名は、「サプライチェーンのセキュリティ管理システム―サプライチェーン管理、評価および計画を実施するための詳細―要求事項およびガイドライン(Security management systems for the supply chain ― Specification for implementing supply chain security management, assessment and plans ― Requirements and Guidance)」と呼ばれ、サプライチェーンのテロ脅威に対する脆弱性を評価し、適切なセキュリティ計画の作成方法を規定すると共に、米国DHS10が導入したC-TPATがWCOの基準の「基準の枠組みガイドライン」及び認定事業者基準(AEO11)として採用され、同ガイドラインと同調し、補佐を目的としたサプライチェーンセキュリティに関するISO/PAS 28001策定の動きに連なったと言えます。
換言すれば、ISO/PAS 28001は、国際サプライチェーンの要素に適切な水準のセキュリティ実施を可能とするもので、セキュリティ対策で網羅する範囲の明確化をするものです。即ち、自分から見た上流工程、下流工程を踏まえてサプライチェーン全体を眺めてセキュリティ対策するものです。更に、セキュリティ対策を実施して、計画を作成し、訓練を行うと言うことが記載されています。このISO/PAS28001には「同等性の見做し規定(4.3. Internationally accepted certificate or approvals)」があり、例えば、IMOが開発したISPSコードを遵守していればISPSコード等の国際的に承認されたセキュリティ対策を実施している運輸事業者(Transportation companies and facilities)は、この仕様の要件を満たすこととなります。
ISP/PAS 28001には3つの付属文書が添付されています。付属文書Aには、「サプライチェーンセキュリティプロセス」について記述されており、下記のようなセキュリティの現状把握のためのチェックリストや脅威シナリオのリストが掲載されています。
付録A 保安Processの図
更に、付属文書Bには、次のような「セキュリティリストの評価およびセキュリティ対策開発の方法論」が記述されています。
付録B 保安評価法の図
最後に、付属文書Cには、「助言及び審査の指針」が記述されています。
尚ISO/PAS28001は、2005年9月1日に発行され、現在DISへの投票準備中(2007年6月1日投票期限)であり、2007年7月にFDIS、2007年8月にISO化の予定となっています。
|
10 DHS: Department of Homeland Security(米国国家安全セキュリティ省)
11 AEO: Authorized Economic Operator(セキュリティ管理優良として貨物の安全性についての信頼性が認定された企業。現在、EUにおいて事前申告提出を義務付けるための税関規則改正を検討中。オーソライズド・オペレーターには、より短い到着前、出発前の事前申告のタイムフレーム、提出書類の削減等のメリットが享受される。)
|
|
