• Pマーク
  • ISO
  • ISMS

コラム

  • ISO
  • ISOコラム
  • ISO27001:2013(ISMS):2013年度規格改訂 10項「改善」規格解釈
業界初!全額返金保証!月額4万円からのISO取得サービス

ISO27001:2013(ISMS):2013年度規格改訂 10項「改善」規格解釈

_shared_img_thumb_PAK77_sumahodetel20140823111801_TP_V

いつもご愛読いただきありがとうございます。
ISO総合研究所コンサルタントの千葉です。

世の中クールビズのスタートも早くなりましたね。
5月は暑かったり涼しかったり、と着る服にも困ることが多かったですね。

しかし、そろそろ梅雨入りも目前になり、暑い日が続くようになりましたね。
これからはじめじめした空気との戦いになりますね。

さて、今回は「ISO27001:2013(ISMS):2013年度規格改訂 10項「改善」規格解釈」についてお話をしたいと思います。

ISO27001:2013(ISMS):2013年度規格改訂 10項「改善」規格解釈

現在、ISO27001:2013(ISMS)だけでなく、ISO9001:2015(QMS)、ISO14001:2015(EMS)も規格改訂により3つの規格が10章立てで構成されることになりました。複数規格をお持ちの企業様にとっては、統合した仕組みを作りやすくなったのではないでしょうか。

10.1 不適合及び是正処置
不適合が発生した場合,組織は,次の事項を行わなければならない。

章立てがかわったこともあり、少し考えてしまうかもしれません。ただ、旧規格から比べて、条文の言葉や項目の並びなどは変わりましたが、大枠の考え方などを全く別の方向に向ける必要はないように思います。

大きな部分では、起こった不適合に対して対応(処置)する。次にその原因を追究する。そして再度起こらないような処置を行う。この大きな流れは変わりません。

ただし、なにも変わらないのであればそもそも言葉を変える必要がありません。大きな部分で変わらなくても細部では変更があるということを頭の片隅に置いていただくと良いと思います。

すこし具体に見ていきます。

1) その不適合を管理し,修正するための処置をとる。
発生した不適合について、きちんと把握する、コントロールできる状況に置くということです。そして、その状態から対応をしていきましょうということ。

2) その不適合によって起こった結果に対処する。
その不適合が発生し、どのような事態になったのか。その起きた事象に対応しましょうということ。

b) その不適合が再発又は他のところで発生しないようにするため,次の事項によって,その不適合の原因を除去するための処置をとる必要性を評価する。
この項目から原因をつぶしていく対応が始まります。

1) その不適合をレビューする。
起こってしまった不適合について、評価を実施します。

2) その不適合の原因を明確にする。
言葉のままです。原因がどこに起因するのかきちんと確認します。

3) 類似の不適合の有無,又はそれが発生する可能性を明確にする。
ここが抜けていることが多く見られますので、注意が必要なところです。以前の規格ではあまり触れられていませんでした。ここでは、過去に起こった不適合の内容と照らし合わせ、似ているケースや同様のケースも確認する必要があります。

ここまで出来ると、ここからは実際の行動に変わっていきます。

c) 必要な処置を実施する。
起こってしまった不適合について、a)項、b)項で認識した内容を元に、その原因を取り除くための処置を行います。今までで言う「再発防止」になります。

d) とった全ての是正処置の有効性をレビューする。
a)~c)項にて行った不適合に対する是正処置について、問題ないかレビューを行います。レビュー=評価 とお考えください。

また、ISOの中では「有効性」という言葉が出てきます。ここでは、「不適合に対する是正処置が有効に機能しているか」という視点で考えてみてください。同じような問題が発生しないようであれば、有効であると考えられるでしょう。

e) 必要な場合には,ISMS の変更を行う。
是正処置を行うと同時に、ISO27001:2013(ISMS)の仕組みに対する変更が必要ないかどうか、確認を行ってください。変更が必要な場合は忘れずに変更を行いましょう。

また、ISO27001:2013(ISMS)の要求事項では以下の文言があります。

————————————————————–

是正処置は,検出された不適合のもつ影響に応じたものでなければならない。
組織は,次に示す事項の証拠として,文書化した情報を保持しなければならない。

————————————————————–

つまり、是正処置と不適合に関しては、連動していなければおかしい、という話になりますね。

また、ISO27001:2013(ISMS)の要求事項にあるとおり、「文書化した情報を保持」しなければならないことになっています。簡単に言うと、「記録に残す」という形です。後から自社の取り組みを振り替えられるような取り組みをISOの中でも求められている、ということがわかりますね。

f) 不適合の性質及びとった処置
不適合の内容とその際の処置は、今後の是正処置やリスク管理のためにも記録に残すことが求められています。

g) 是正処置の結果
社内で行った是正処置に対しても、あとから社内で振り返るためにも記録に残していくことが求められています。改善事項として考えた場合にも、是正処置の対応を社内で手順を残した上で記録に残す必要があることがわかりますね。

では、次に「継続的改善」について考えてみましょう。
規格要求事項では以下のように書かれています。

—————————————————————

10.2 継続的改善
組織は,ISMS の適切性,妥当性及び有効性を継続的に改善しなければならない。

—————————————————————

つまり、ISO27001:2013(ISMS)では、ただ仕組みを構築することが目的でなく、それをいかに活用できるか、がポイントになりますね。おそらく、関わっている方は社内の改善に対しても意識出来ているのではないでしょうか。

今後も、是非規格要求事項とISO27001:2013(ISMS)について考えてみてください。

カテゴリー:ISOコラム タグ:27001 ISO アイエスオー コンサルタント 規格改訂 規格解釈


関連記事

0120-068-268
無料相談はコチラ無料相談
資料請求はコチラ資料請求
お問い合わせはコチラお問い合わせ