1．はじめに

近年，気候変動による風水害の拡大や地震・火山活動の活発化が進んでおり，東日本大震災以降，激甚災害に指定される自然災害が増加の一途を辿っている．また，世界的にもテロの増大やサイバー攻撃の高度化など，自治体や企業をとりまくさまざまなリスクが増大している．

リスクの大きさは起こり得る脅威（ハザード）と脆弱性，および暴露量（脅威に晒される資産）で決まる．状況に応じてリスクを事前に評価し（予測力），それに対して被害を未然に防ぐ（予防力）ことが重要であるが，あらゆるリスクに備え危機を完全に回避することは不可能である．そのため，リスクが顕在化（危機が発生）した際に，被害の拡大を阻止し，早期の復旧復興を実現する（対応力）ことが総合的な危機対応力を高める上で必要である[1]．

一方，実際の危機対応の現場では，対応力が十分に発揮されるケースはまれである．危機対応において発生する業務は通常時とはまったく異なり，かつ分量も膨大となる．さらに物資や人員といったリソースも限られる中，時間に追われながら進めざるを得ない．危機対応の本当の専門家はおらず，危機対応に携わる多くの当事者にとって不慣れでかつ非常に難易度が高い業務となる．結果的に，目の前の業務を優先度も考えず場あたり的にこなしていくか，あるいは何も手をつけられず無策なままで事態の悪化を見ているだけになりがちである．危機対応の経験者からは「備えていたことしか，役に立たなかった．備えていただけでは十分ではなかった」（文献[2]冒頭部抜粋）といった教訓がしばしば語られるが，何を備えるべきか，どこまで備えられているかも分からないのが，危機対応を経験していない多くの組織の実態である．

2．危機対応の標準化

総合的な危機対応力を高めるためには，支援ツールを導入するだけでは不十分であり，危機対応のやり方そのものを見直す必要がある．予測力や予防力については，対象の組織や晒されるハザードによってアプローチが異なり，自組織の業務分析に加えてそれぞれのハザードの専門家によるサポートが必要である．一方で，対応力については被害の発生を前提として，その状況の中で組織の存続を目的として被害を予防し，被害の拡大を防ぎ，復旧・復興に向けた対応をする一連の活動を支える力であり，そのためのリソースの確保や優先度付け，方針決定といったマネジメントの手順はハザードによらず同じであるべきと考えられる[1]．また，大規模な危機が発生した際には，自組織の力だけで乗り越える（自助）のは困難であり，周囲の組織との協力・連携（共助，互助，公助）が不可欠となり，応援側・受援側双方で危機対応の進め方を相互理解している必要がある．その観点から，対応力の強化には危機対応の標準化が必須である．

米国では，1970年代の大規模山林火災への対応を契機に消防が中心となってICS （Incident Command System）[3]が定められ，9.11テロやハリケーン等の危機を経て，米国におけるあらゆる危機に対するマネジメント標準であるNIMS （National Incident Management System）[4]の一部として運用されている．標準規格が存在することで，教育・訓練プログラムやICTでの支援ツールの充実にもつながっている．ICSは欧州を中心にいくつかの国においても採用されているが，文化・特性の違いにより，すべての国や地域でそのまま適用するのは困難である．

ISO22320[5]は危機対応の国際規格として2011年に発行された．日本においては2013年にJIS Q 22320として工業規格化されている[6]．ISO22320では指揮・統制（第4章），活動情報（第5章），協力および連携（第6章）と大きく3つの事項について要求事項が規定されている．ICSと比較して必要最小限の要求事項に絞った規格となっており柔軟性が高い反面，実装はそれぞれの地域や組織にゆだねられており，第三者認証の仕組みを持たない．また，2016年には危機対応能力アセスメントに関する規格としてISO22325[7]が策定され，その機能別指標の1つとしてISO22320が参照されている．

日本においては，東日本大震災後に危機対応の標準化に関する機運が高まり，2014年3月に内閣府災害対策標準化検討会議の報告書として，災害対策標準化ガイドラインの作成の必要性が示された[8]．その中では米国NIMS，ICSに加えてISO22301（事業継続マネジメントシステム）[9]およびISO22320への対応も謳われていたが，具体的なガイドライン策定には至っていない．また，内閣官房における国土強靭化の取り組みとして，国土強靭化貢献団体の認証制度が2016年より開始された[10]が，事業継続マネジメントの観点が主であり，危機発生時の対応についてはほとんど触れられていない．

以上の通り，日本における危機対応の標準化は要求事項のみを定めたISO22320の工業規格化にとどまっており，具体的な普及展開に向けた動きは進んでいない．本稿では，危機対応の標準普及に向けた取り組みとして，チェックリストの作成による現状の組織の危機対応力の定量的な可視化を試みた．それにより，危機対応力に関する組織内および組織間のリスクコミュニケーションを活性化し，標準普及を進めることを目指す．

3．ISO22320簡易版チェックリスト

3.1　チェックリストの要件

危機対応力の評価観点としては，ISO22320の定める要求事項をベースとすることで，網羅性を確保しつつ組織の現状とのギャップを洗い出すことを目指す．

アプローチとしては，ISO22320が定める要求事項の充足性を網羅的かつ簡易な手順で確認できるようにするためのチェックリストの作成を試みた．チェックリストに求められる要件は以下の通りである．

• 要求事項を網羅したチェック項目を抽出すること
• チェックの観点を明確にすること
• チェック結果を分かりやすく可視化すること

3.2　チェック項目の抽出

ISO22320に限らず，ISOの規格文書は事項がリストや個条書きではなく文章として書かれているため，どの範囲が具体的な要求事項なのかが分かりづらい．また，用語の使い方や文章の表現も独特であり，標準化活動に携わらない一般の人にとっても理解へのハードルは高い．そこで，ISO規格文書の特徴を活かして要求事項を分解し，チェック項目の抽出を行った．

（1）要求事項の分解

ISOの要求事項規格においては，助動詞としてshallやshouldが多く使用されており，日本語訳文としてそれぞれ「～しなければならない」，「～することが望ましい」が充てられている．すなわち，要求事項として必須となる内容はshall，推奨レベルの内容はshouldが使われていると考えることができる．ISO22320のメインパートである第4章から第6章までにはshallを含む個所が63カ所，shouldを含む個所が18カ所存在しており，これらが含まれる文をチェック項目の候補とした．なお，1文にshallやshouldが複数回使われている個所もあり，たとえば4.3節に「危機対応に関与する全ての人は，全体の業務体制のどこに自らが位置付けられるかを常に理解していなければならず，また，教育訓練および演習を通して，自らが管理する各種資源を使いこなせるだけの適切な力量を備えていなければならない．」（JIS Q 22320より引用）という文がある．この場合は，前半の「～理解していなければならず」と後半の「また，～備えていなければならない」に項目を分解した．

（2） チェック項目の絞り込み

（1）で抽出した項目のうち，shouldを含む項目は除外し，必須項目であるshallを含むもののみを扱うこととした．さらにチェック項目数を絞り込むため，ほかの項目との関係性，およびチェック項目としての妥当性の観点から以下のルールで項目の統合・削除を行った．

• ほかの要求事項と階層関係にあるもの．たとえば，上位あるいは下位の要求事項を満たせば，他方の層の要求事項が自動的に満たされるものは，一方に統合する（Rule1）
• 階層構造ではないが依存関係があり，一方の要求事項を満たせば他方も満たされるものは，一方に統合する（Rule2）
• 要求事項としては独立であるが，気合合わせや精神論的な内容で，客観的な評価項目としてそぐわないものはチェック項目から除外する（Rule3）

以上より，最終的に33個のチェック項目に絞り込みを行った．項目整理の結果を表1に示す．なお，表1においてBで始まる節は附属書Bの各節を表している．附属書Bは5.3節の詳細項目として規定されているため，第5章の一部として扱うこととした．

（3） チェック項目文の見直し

チェック項目の文章はISO22320の正規和訳であるJIS Q 22320の文面をベースとしつつ，「～しなければならない」を「～している」と，チェックを実施する人の視点に合わせた表現に修正した．ISOやJISといった標準規格中の用語は厳密に定義されているものの，各業界で慣習的に使われている用語と乖離がある場合も多いため，用語の解釈よりも要求事項のエッセンスを伝えることを目標に，ISO22320の日本語解説書[11]等を参考に，内容を吟味して平易な表現へ思い切った意訳を行うことで，ISO規格文書独特の表現を緩和し，理解しやすい文となるよう留意した．その上で，残った用語についても特定業界に偏らないよう留意しつつ，アンケート等での意見を踏まえて適宜修正を加えている．なお，こうしたアプローチは日本語の場合に限らず，他国語に翻訳する場合でも，英語圏においてISO22320の原本を元に作成する場合でも同様に必要になると考えられる．

3.3　チェック観点の整理

チェックの観点は基本的には「項目を満たしているか否か」で行うべきものであるが，ISO22320は要求事項のみの規格であり，ほかのマネジメントシステム規格のような，要求事項と対応するガイドライン（指針規格）は定められていない．すべての要求事項を満たすことを必ずしも求めているわけではなく，実際に緊急事態に直面しない限りどこまでできていればよかったかを評価することも困難である．そのため，第三者による客観評価ではなく，チェック担当者が思い描くあるべき姿と現実のギャップに気付かせるためのツールとして整備することとした．その観点から，各項目が自組織としてどの程度必要としているか（必要性），およびどの程度まで満たしているか（達成度）のレベルを，チェック担当者の主観で選択してもらう相対評価とした．段階数は，「十分とも不十分ともどちらともいえない」といった中間回答も許容するため，5段階とした．

3.4　チェック結果の可視化

33項目のチェックリストを実施することで，必要性，達成度それぞれについて5段階のチェック結果が得られる．これらを効果的に可視化するためにレーダーチャートで表現することとした．チェック結果を表1の各節単位（附属書Bについてはまとめて1節分として扱う）に集計し，それぞれ平均をとることで，最終的に19軸のレーダーチャートとして表すこととした．
以上に基づき作成した簡易版チェックリストの実装イメージを図1に示す．

4．アンケート調査

4.1　調査方法

簡易版チェックリストをExcelシート版および紙媒体版として用意し，危機対応に携わるさまざまな組織・ポジションの方を回答者としてチェックを実施していただいた．

調査に際しては，Webページ[12]や雑誌記事[13]，口コミ等を通じた一般募集に加え，危機対応に関する数十人規模のセミナを2回開催し，その参加者にその場で紙媒体版チェックリストに記入いただく形態をとった．その際に，本チェックリストは第三者認証ではなくセルフチェックであり，組織を代表した見解として扱わないことを明示し，かつ匿名として結果を回収することを回答者に事前に伝えることで，組織の評判や上長の顔色を意識して回答結果にバイアスがかからないよう配慮した．

回答を匿名で扱う代わりに，回答者および回答者の所属組織に関するさまざまなプロファイルを記入してもらった．プロファイルとして収集した項目を表2に示す．組織によって直面する危機事象は異なり，同じ回答者でも対象とする危機事象によってチェック結果が変わることも想定されるため，プロファイルで選択してもらった（複数でも許容）危機事象に対する対応を回答者にイメージしてもらった上でチェックを実施してもらった．危機事象の分類については，持続可能なイベント運営のためのリスク分類[14]を参考にした．

4.2　調査結果

計115件（一般募集45件，セミナ経由70件）の有効回答を得た．回答者のプロファイルのうち，図2に業務種別，図3にチェック担当者の立場の割合を示す．また，表3に想定する危機事象の選択割合を示す．回答は匿名で実施しているため，同一組織からの複数回答が含まれているケースはあるものの，セミナ実施時の参加者名簿との照合や一般募集時の回収状況から，同一組織からの回答は多くて2～3名程度，同一人物による複数回答は含まれていないことを確認している．

図4に全回答者の回答の全体平均を示す．実線は必要性，点線は達成度の平均スコアを示す．必要性，達成度ともに1～5点の5段階評価であることから，レーダーチャート上は最高点5点，最低点1点として表される．レーダーチャートの一番上から右回りに指揮・統制一般～人的要因が指揮・統制（第4章），計画策定および指示～活動情報提供プロセス評価が活動情報（第5章），残りが協力および連携（第6章）に関する要求事項を示す．

図5～図7に，代表的なプロファイル種別ごとに比較を行った結果を示す．図5は組織規模による比較であり，母集団は1,000人以上との回答50%，1,000人未満が43%である（残りは未回答）．図6は常設の危機対応部署の有無による比較であり，母集団はありとの回答が60%，なしが35%となっている．図7はISO22320に対する知識による比較であり，母集団は「知らない」が36%，「聞いたことがある」等何かしらのレベルで知っているとの回答が61%であり，後者を「知っている」として集計している．

また，チェックリストそのものの使い勝手についてもアンケート調査を行った．その際の回答の選択肢および回答結果の平均を表4に示す．なお，各回答項目は1（悪い）～5（良い）の5段階評価で行っている．

5．考察

5.1 全体傾向とチェックリストの活用方法

回答者のプロファイルより，幅広い業種からの回答を収集できていると考えられる．担当者の立場は組織のメンバが6割を占めるものの，組織の長や危機対応部署の長も少なからず含まれている．また，対象とする危機種別としてはほとんどの組織が自然災害を挙げているほか，感染症，事故，インフラ，ICT（サイバー攻撃）に対しても高い関心を示していることがうかがえる．

図4より，必要性に関しては，指揮・統制，活動情報関連の平均スコアがそれぞれ4.2，協力および連携は3.8となり，協力および連携に関する必要性の認識がやや低い結果となった．

達成度に関しては，すべての軸において必要性のスコアを下回った．必要性と達成度は独立のチェック項目であるが，個々の回答単位に見ても，達成度のスコアが必要性を上回っているものは全体のわずか2.1%であり，T検定を行った結果でも，すべての軸において有意差あり（p<0.05）となった．そのことから，多くの回答者は達成度を絶対評価するのではなく，必要性のスコアに対してどこまで達しているかという相対的な観点で評価して回答を記入していた可能性が高い．その仮定で必要性と達成度の差に着目したところ，両者の差が最も小さい軸は指揮・統制システム一般（差0.7）．差が最も大きかったのは指揮・統制プロセス（差1.4）であった．指揮・統制システム一般は本部の立ち上げやリーダ明確化，行動の文書化に関する項目であり，指揮・統制プロセスはその具体的な意思決定手順を示した項目である．いずれも必要性のスコア自体は高く（それぞれ4.6, 4.3），必要性は認識され，体制づくりはできている自負はあるものの，具体的な業務を回す手順までの検討ができていない，という状況が示唆される． また，達成度のスコアが最も低かったのは評価およびフィードバック（スコア2.6）であり，必要性との差は1.3であった．指揮・統制プロセスよりもスコアが0.3も低いが，必要性の認識も低いため，できていない自覚はあるものの，組織の問題としてそれほど重視されていないという傾向が示唆される．

以上から，本チェックリストの実施結果に基づいて組織の危機対応力を強化するには，必要性と達成度のスコア差が大きい軸に着目して弱点を洗い出すとともに，必要性のスコアが小さい軸について，組織の問題として重視しなくてよいかを見直すことが効果的と考えられる．

5.2　プロファイルごとの傾向

プロファイルごとに組織の危機対応力の特性に差異があるかを考察する．図5～7はいずれも比較的大きな母集団に二分した上で比較を行ったものである．考察にあたり，T検定によりそれぞれの比較において有意差の検定を行った結果を表5に示す．

図5は組織規模による比較であるが，すべての項目において必要性，達成度とも規模の大きな組織（1,000人以上）が小さな組織（1,000人未満）よりも高いスコアとなった．各評価軸のうち，指揮・統制システム一般，情報の発信および統合，情報共有の3軸について必要性，達成度とも有意差あり（p<0.05）となった．また，協力および連携に関する評価軸に関してはすべて達成度に関する有意差が見られた．ある程度の規模の組織では，事業継続や危機管理に対する意識が高く，対応できるリソースにも比較的余裕があるため，全般にスコアが高くなったと考えられる．また，組織間の連携についても規模の大きな組織ほど外部組織との事前協定等の協力，連携体制が作られていることが示唆される．

図6は危機対応部署の有無による比較であり，図5と同様に必要性，達成度とも部署ありの組織のスコアが部署なしよりも上回る結果となった．危機対応部署の有無と組織規模は必ずしも連動しておらず，1,000人以上の組織で常設の危機対応部署ありとの回答は70%，1,000人未満では52%であった．必要性，達成度ともに有意差が見られた評価軸は指揮・統制プロセス一般，情報の処理および利用，情報の分析および作成，活動情報提供プロセス評価の4軸であった．また，協力および連携一般，情報共有を除くすべての軸において達成度の有意差が見られた．常設の危機対応部署が存在する組織においては，危機対応に必要な事項について常設部署がない組織よりも達成レベルが高いことがうかがえる．特に活動情報を中心に，必要性の認識についても差が表れている．

図7は多少なりともISO22320を知っている層と知らない層で比較したものである．必要性については知らない層よりも知っている層の方がやや高い傾向はあるものの，達成度についてはいくつか逆転も見られる．必要性で情報の分析および作成について有意差があったのみで，達成度については有意差を見いだせなかった．

上記以外のプロファイル（危機事象別，立場別）に関しても比較を実施したが，顕著な傾向の差異や有意差は見いだせなかった．

5.3　チェックリスト自体の評価

表4で行ったアンケート結果より，項番2を除き平均スコアが3.5を上回っており，チェックリストの運用自体は問題なく行えたと考えられる．項番2については平均スコア2.8とやや低い評価となった．文章の見直しが不十分でISO文書独特の言い回しが随所に残っていたことと，その要求事項を定める背景や意図の記載が不十分だったものと考えられる．後者の具体例としては，「地域社会が参画しやすいように関係を構築・維持している」というチェック項目に関して，企業の被験者から「自治体向けのチェック項目であって我々には関係ないのでは？」という意見があった．市販の解説書[11]では，企業などの組織とその地域社会との依存関係といった背景から意図の解説がなされているが，元のISO規格文書や，それを元にしたチェックリストの条文だけでその意図を理解することは困難であったものと考えられる．

6．本手法の位置づけと活用事例

日本において国としての危機対応のガイドライン化が進まない中で標準普及を進めるには，各組織における危機対応力の立ち位置を認識してもらう段階から取り組む必要がある．本チェックリストは第三者認証ではなくセルフチェックあるいはクロスチェックのためのツールとして，やるべきこと（要求事項）に対してあるべき姿と現実のギャップに対する気付きを与え，リスクコミュニケーションを促進することを狙ったものである．

本チェックリストは現在，一般社団法人レジリエンス協会のWebサイトで公開しており[12]，さまざまな組織においてリスクコミュニケーションツールとしての活用を試みている．以下にその事例を示す．

6.1　医療機関の危機対応への活用

2014年11月に医療機関に勤務する災害医療関係者を中心とした研究会を開催した[15]，その際に参加者に本チェックリストの暫定版を事前に実施いただいた上で討論を行った．なお，現版との違いは，（1）達成度のみの評価，（2）達成可否の2値による評価，（3）各章単位のレーダーチャートとなっている部分のみで，チェック項目自体の差分はない．参加メンバはいずれもDMAT（災害時医療派遣チーム）や病院BCPに携わっており，本チェックリストを用いてISO22320の視点からそれぞれの取り組みを振り返った結果，人的要因や活動情報処理を中心に，共通的に実現できていない項目に関して参加者間で共通認識を得ることができた．

6.2　イベント運営組織での活用

2017年2月に開催された2017冬季アジア札幌大会において，大会組織委員会における危機管理体制の構築に活用した．組織委員会の構成メンバは自治体からの出向者が中心であり，大規模イベントにおける危機対応への経験やノウハウを十分に持たない組織であったため，本チェックリストを用いることでISO22320に基づいた組織設計を実施した[16]．体制作りのための検討項目をチェックリストのカテゴリから洗い出し，ワークショップを複数回開催することで具体的な組織体制やルールを整備し，大会本番に臨んだ．大会自体は運営，インシデント対応とも問題なく終了し，事後に改めてチェックリスト評価を行うことで，構築した体制が効果的に機能したことが確認できた．

7．おわりに

組織における危機対応力の可視化を目的として，危機対応の国際標準規格であるISO22320に基づく簡易版チェックリストを作成し，レーダーチャートによる可視化を試みた．さまざまな業種から広くアンケート形式で本チェックリストを実施してもらった結果より，本チェックリストに基づく日本の組織の危機対応力についての分析を行い，現状と課題を明らかにした．また，本チェックリストを活用したリスクコミュニケーションの事例を紹介した．

本チェックリストは危機対応に関するトップや現場の意識の差異も含めた現状を明らかにし，かつ関係者とのリスクコミュニケーションをはかるためのツールとして有用である．今後調査分析や活用を継続することで事例（ベストプラクティス）を蓄積してガイドラインの整備につなげていき，将来的に米国ICSの日本版と呼べるような，日本の組織の実態に合った標準として発展・普及させていくことを目指している．

謝辞　チェックリストの作成に際し，議論・助言等いただいた（一社）レジリエンス協会社会セキュリティ研究会のメンバ，国立研究開発法人防災科学技術研究所 林春男理事長，および調査に協力いただいた各組織の方々に謹んで感謝の意を表する．