BIMで建設業界の“情報セキュリティ”と“安全衛生”を解決せよ【日本列島BIM改革論：第7回】： 日本列島BIM改革論〜建設業界の「危機構造」脱却へのシナリオ〜（7）（2/3 ページ）

[伊藤久晴（BIMプロセスイノベーション），BUILT]

ISO 19650-5:2020　情報マネジメントに対するセキュリティ志向のアプローチ

　日本では現時点で、情報セキュリティマネジメントシステム（ISMS）に関する国際規格「ISO 27001」の認証を取得している企業は5000社以上にも及ぶ。特に取得すべき業種とされているのは、情報サービス業、人材派遣業、金融業で、特に多いのが情報サービス業で全体の60％ほどを占める。3業種ともに、個人情報や機密情報を取り扱うことが頻繁にあるため、顧客の信頼を得るには必要となる。

　建設業でも、個人情報や機密情報を扱う機会は多々あり、ISO 27001を取得する必要性を自覚している企業は多い。建設業がBIMによって、建設プロセスも情報技術をベースにした情報サービス業に似た業態であることを想定すると、情報セキュリティの重要性が理解できるだろう。

　では、ISO 27001とISO 19650-5との違いは何か？その点に関しては、ISO 19650-5の序文に明記されている。それは、「個々の組織、組織の部門、またはシステムに関する情報セキュリティ要求事項は、IS0/IEC 27001に規定されているが、複数の組織にわたって適用することはできない」の部分だ。

　つまり、ISO 27001は企業や組織に対する情報セキュリティの規格であり、ISO 19650-5は建物の建設を行う複数の企業に対する規格ということだ。さらに、ISO 19650-5は、BIMによる情報マネジメントの情報セキュリティなので、そもそもが建設業の業態に特化した内容といえる。従って、企業や組織による建設プロジェクト自体が、審査対象になると考えてもらえばよいだろう。

　この点は、建設業の業務の複雑さに起因している。よほど小さな建物でない限り、建物を1社だけで建てることはない。だから、ISO 27001を取得している企業であっても、複数の企業が関わる建設プロジェクトをあらかじめ想定しているISO 19650-5を導入する必要がある。

さまざまな形で建設現場や建物で起きる情報セキュリティのリスク　出典：BIMプロセスイノベーション

　むしろ、ISO 27001を導入している企業の方が、ISO 19650-5に取っつきやすい。日本初のISO 19650-5の認証を取得したトランスコスモスも、先行してISO 27001の認証を取得していた。トランスコスモスの事例が意味するところは、ゼネコンの受託組織としてBIMモデルを作成している企業としてISO 27001の認証を取ったが、さらに、共通データ環境を利用し、元請けであるゼネコンとの情報の受け渡しを行うBIMを活用したプロジェクトでも、ISO 19650-5の認証により、情報セキュリティに対する取り組みができているとの裏返しの証明でもある。

　情報セキュリティは、設計・施工の技術とは異なる知識が求められる。ISO 19650-5の「情報マネジメントに対するセキュリティ志向のアプローチ」は、セキュリティトリアージプロセスを実施したうえで、セキュリティリスクのアセスメントを行い、セキュリティ戦略〜セキュリティマネジメント計画で、セキュリティレベルを許容する範囲で管理してゆくというものである。それを理解するには、情報セキュリティ3大要素の「CIA（機密性・完全性・可用性）」といった一般的な知識も欠かせない。

　情報セキュリティの対策をせずに、設計・施工の情報マネジメントを広げるということはありえない。なぜなら、共通データ環境（CDE）は、設計・施工の多数の情報を集約する場所なので、その反面で1つの情報漏洩が全体に広がり、致命的になりかねない。単にユーザー管理やアクセス管理を厳密化するだけでなく、リスクアセスメントを進め、許容されるセキュリティレベルを管理する必要がある。許容されるセキュリティレベルというのは、セキュリティレベルを厳しくし過ぎても運用がしにくくなるし、緩くし過ぎても、セキュリティリスクが増大してしまう。バランスを保ちながら、管理するために「許容されるセキュリティレベル」という考え方がある。私たちは、BIMという新しい技術を手に入れた。しかし、同時に新たなリスクも発生することを忘れてはならない。

PAS 1192‐6:2018　安全衛生のために構造化されたハザードとリスク情報の共有

　BIMの8次元は安全だといわれている。人の命を預かる安全は、施工でも最重要課題である。ちなみに、建設現場では、「QCDSE（品質・コスト・工程・安全・環境）」が重要であることは言うまでもない。

　だが、日本では施工図や施工計画にBIMが用いられている程度で、それは品質（Q）の一部に対応している程度だ。安全衛生に、BIMを積極的に活用しようというプロジェクトはあまり聞いたことがない。しかし、英国では、2017年に発生したグレンフェル・タワー火災により、安全衛生に対してもBIMを活用しようとする動きが加速した。設計〜施工〜運用（維持管理）のライフサイクルで、リスクとその安全管理をBIMに統合する試みだ。つまり、建物のライフサイクルにおける情報マネジメントプロセス全体に対し、リスクマネジメントのフレームワークを統合することで、最先端のデジタル技術を安全のために活用しようとするものとなる。

ハザードに対する可能性と結果の低減　出典：PAS 1192-6:2018　※筆者による翻訳

　ここでハザードについて説明しておく。ハザードとは、潜在的なリスクの発生源のこと。上の図では、リスクが発生する可能性が、左の部分にあたり、右側がリスクによって起きる結果だ。対して、リスクの低減策がそれぞれの白い棒である。リスクの起きる可能性を管理し、それでも起きる事故の被害を最小化するために、こうした軽減策が実施される。このように考えると、安全衛生についても、情報セキュリティと同じように、リスクをアセスメントし、対策を講じることで、リスクそのものを管理するという考え方に違いはない。

　現場の安全対策では、3Dモデルや時間軸を加えた4Dのタイムラインモデルを活用することが有用だとされている。例えば、4Dアニメーションであれば、ハザードやリスクも含めた建設工程の手順を、視覚的に検討／評価／伝達することが可能になる。設計でも、施工中や竣工後の建物の安全を考慮した設計を行うには、3Dや4Dの見える化が効果的だ。

　PAS 1192-6では、発注者／設計者／施工者などの役割ごとに、具体的にどのような取り組みをするかが示されている。私もまだ規格研究中にあるので、今回は詳しい説明は避けるが、かなり具体的な項目が示されていることが興味深い。こうした考え方を日本の安全管理と連携させれば、BIMプロジェクトの安全衛生がさらに進化するのではないだろうか。もちろん、4D BIMなどは日本で確立できていない。しかし、その有用性が理解されれば、日本での4D BIMの研究も進み、実用化が近づくはずだ。