• Pマーク
  • ISO
  • ISMS

コラム

  • ISO
  • ISOコラム
  • ISO27001:2013(ISMS):2013年度規格改訂 ISO27001:2013(ISMS)の継続的改善ってなんですか?
業界初!全額返金保証!月額4万円からのISO取得サービス

ISO27001:2013(ISMS):2013年度規格改訂 ISO27001:2013(ISMS)の継続的改善ってなんですか?

PASONA160306530I9A1806_TP_V

いつもご愛読いただきありがとうございます。
ISO総合研究所コンサルタントの佐藤です。

そろそろ梅雨の季節ですね。雨がザーザーな時期です。洗濯物は外で干せないし、外に出かければクツは濡れてぐしゃぐしゃになってしまいます。

私の主観で言ってしまうと梅雨が好きな人、楽しんでいる人はあまりいないんじゃないかなーと思っています。ちなみに私もそこまで梅雨は好きじゃありません(笑)天然パーマなので梅雨の時期はいつも髪の毛がすごいことになっていることが多かったことが原因ですが(笑)

それでも子供の頃は雨の日を楽しんでいたように感じます。新しい雨具を買った時は、雨具を早く使ってみたくて雨が降って欲しいとすら思ってましたし、雨が降ってる中でもお構いなしに無邪気に友達を走り回っていたりと、子供なりに楽しんでいました。

大人になるにつれて雨を楽しめなくなってきましたが、それも寂しいので雨を楽しめる方法を探してみようと思います。なにかアイデアがありましたら、ぜひお知らせください(笑)

それはさておき、今回はISO27001:2013(ISMS)の「10.2 継続的改善」について書かせていただきます。

継続的改善、規格自体ではなんといっている?

この継続的改善ですが、なんとなくイメージできるのは字のごとく継続的に改善していくことなんだろうなーということですね。
では、規格自体ではなんといっているのでしょうか?

10.2 継続的改善
組織は,ISMSの適切性、妥当性及び有効性を継続的に改善しなければならない。(JIS Q 27001:2014 10.2 継続的改善 より引用)

ふむふむ、ISMSの適切性妥当性及び有効性を継続的に改善すればいいんですね!!

ふわっとしすぎです。ふわふわ時間ですね。相変わらずISO(アイエスオー)の規格の条文は分かりづらいですね。もしかしたら理解できない私の頭が残念なだけかもしれませんが・・・(笑)

それでは、規格が言っている継続的改善とはどういう意味なのでしょう。
ISO27000:2013(ISMS)で定義されている継続的改善は下記となります。

2.15 継続的改善
パフォーマンス(2.59)を向上するために繰り返し行われる活動。(JIS Q 27001:2014 2 用語及び定義 より引用)

新たにパフォーマンスなんて言葉も出てきてしまいました。ついでに一緒に調べてみましょう。

2.59 パフォーマンス
測定可能な結果。(JIS Q 27001:2014 2 用語及び定義 より引用)

なるほどなるほど・・・上記を組み合わせてみると、「継続的改善」とは、『測定可能な結果を向上するために繰り返し行われる活動』となるようです。

つまり、ISO27001:2013(ISMS)が言っている継続的改善とは、「組織は,ISMSの適切性、妥当性及び有効性について、測定可能な結果を向上するために繰り返し行われる活動しなければならない。」となります。

ISO27001:2013(ISMS)では、継続的に改善するものは測定可能なものでないといけないということですね。
でもまだまだ分かりづらいですね(笑)

細かく見ていきましょう。

まず、適切性という言葉からです。つまり、ISO27001:2013(ISMS)がそれぞれの組織、会社の方針や目的にそった状態になっているか、適切か?というものです。

ISO27001:2013(ISMS)を構築しても、組織の方針や目的に当てはまっていなければ意味がありません。
例えば、10人規模の組織で1000人規模のマネジメントシステムを構築し運用していては、その組織に適していないマネジメントシステムと言えます。

次は妥当性についてです。
妥当性については、ISO27001:2013(ISMS)の要求事項を組織のマネジメントシステムが満たしているかなどがあげられます。極端ですが、内部監査やマネジメントレビューのルールがない、文書化した情報を保持していないなどです。

それでは、最後に有効性についてです。有効性とは、計画した活動が実行され、計画した結果がどれくらい達成したか、ということです。

例えば、情報セキュリティ目的を達成するために計画した行動目標がどれくらい達成できたのか、情報セキュリティリスクアセスメントの結果、リスクへの対応を行うと決めた活動がどれくらい達成できたのか、ということになります。

また、「10.1 不適合及び是正処置」で実施するような、不適合が減少するようなことなども有効性の改善に当たります。

上記の適切性、妥当性、有効性をそれぞれの視点でISO27001:2013(ISMS)の改善を行っていくことが継続的改善となります。

最後に

どうでしたでしょうか?
ISO27001:2013(ISMS)の10.2 継続的改善についてご理解いただけましたでしょうか。

いろいろ書きすぎて分かりづらくなっているかもしれません(笑)

佐藤流に簡単に言ってしまうと、継続的改善とは、『継続的に組織(会社など)の仕組みを良くしてくために行っていく活動』ということでしょうか。簡単に書きすぎかもですね(笑)

継続的改善以外にも、ISO27001:2013(ISMS)について不明な点がございましたら、弊社コンサルタントにお気軽にお問い合わせください。佐藤以上に適切な説明をしてくれる人間が多数いますので!!(笑)

それでは、最後までご覧いただきありがとうございました。梅雨に負けないように頑張りましょう!!

カテゴリー:ISOコラム タグ:コンサルタント 規格改訂 規格解釈
関連記事

【ISO総研】
メールマガジン登録

ISO・Pマークに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス

0120-068-268
無料相談はコチラ無料相談
資料請求はコチラ資料請求
お問い合わせはコチラお問い合わせ