ISO9001(ジスキュー9001):2015とポケモンGO

max16011508_TP_V

いつもご愛読ありがとうございます。ISO(アイエスオー)総合研究所の結石(ケイシ)です。

皆様いかがお過ごしでしょうか?

9月は2回目の社員旅行で沖縄に行って参りました。

いろいろな?お店に行っても初対面で話すことは「ポケモンGO(ゴー)やってますか?」でした。話題としては、ほとんどの人がやっている分、振りやすいのかもしれません。

せっかくなので、今、旬なポケモンGO(ゴー)をISO9001(ジスキュー9001):2015に置き換えてみました。

 

 

 

昔のISO9001(JIS Q 9001):2008でも同様でしたが、旧規格で言う一般要求事項と言われた、4項は、この品質マネジメントシステムの全体像を記載しているところで、JIS(ジス)規格を読み進める上で非常に大切なところになります。

ポケモンGOでいう、「しあわせのたまご」の効力を知っているか知らないかぐらいこの先のポケモン人生を左右することです。

 

 

 

先ずは4項をメインに進めていきます。

4項でも特に大切なのが下記2つになります。

 

4 組織の状況

4.1 組織及びその状況の理解

4.2 利害関係者のニーズ及び期待の理解

 

 

簡単に言うと

「先ず組織の現状把握をセヨ。問題を解決する上で一番最初にすべき大切なコト。」

ISO9001(JIS Q 9001):2015で言っています。

 

「4.1 組織及びその状況の理解」とは?

組織にとって、課題になっていることを「好ましい要因」「好ましくない要因」

に分けて考えるようにいっています。課題っていうとマイナスなことばかりですが、プラスな要因も含めて考えるように言われております。

 

ポケモンGO運営会社のナイアンティックにとって課題になりそうなことはなんでしょうか?

・中国、ロシアのようにそもそもポケモンGOの配信を国の法律で禁止される

・歩きスマホ、事故による死傷者の増加と社会現象で頻発した場合の対応

・ポケモンGOに変わる、スマホのゲームアプリの発売

・ゲームのGPS機能とのリンクが制限される

・PokeVision、PokeRadar等のナイアンティックとは別のアプリ会社が開発する、攻略ツールの普及により、サービスの面白さの低下

 

 

このように、ナイアンティックではコントロールできない外部の状況がこの先、あり得るかもしれません。

 

 

内部でも、ナイアンティックのCEOのジョン・ハンケ氏のビジョンに賛同する派閥と反発する派閥が発生して、組織の価値観が合わず、経営状況が悪くなる可能性もあります。

こういった、通常、経営する上でありえる、現状の外部の課題、内部の課題を先ず現状把握することを求めています。

 

 

 

「4.2 利害関係者のニーズ及び期待の理解」とは?

ISO9000(ジスキュー9000):2015の用語の定義を見てみると

「3.2.3 顧客、所有者、組織内の人々、提供者、銀行家、規制当局、組合、パートナー、社会」と書かれています。

つまり、ナイアンティックの顧客、所有者、組織内の人々、提供者、銀行家、規制当局、組合、パートナー、社会の利害関係者のニーズ及び期待を現状把握することが求められています。

 

 

「ニーズ」とは、今すでに求められていることです。
「期待」とは、要求はされていないけど暗に求められていることです。

それでは、同様にポケモンGO運営会社のナイアンティックにとって、ニーズと期待とはなんでしょうか?

 

・地方だとポケモンがいないので、格差をなくして欲しい

・10キロせっかく歩いたのに、たまごから生まれてきたポケモンが「コラッタ」なんてどこにでもいるポケモンを出すようなS的な処置はやめて欲しい

・レアポケモンを手に入れても、アメがなかなか手に入れれないから、強化できないので改善して欲しい

・私有地にポケストップがあって、勝手に子供が入ってくるので排除してほしい

・交通機関が混乱するので、駅のホーム、電車内でポケモンが出るようにしてほしくない

・ポケモンを交換できるようにしてほしい

・そもそもダウンロードできない機種があるので、改善してほしい

・すぐにGPS機能が読み取れなくなるので、改善して欲しい

・博士の顔をみたい

 

言い出したら色々、出てきそうですね。

 

 

 

つまりは、どの会社にも現状把握すれば、様々な課題、ニーズ期待が出てきます。

これをすべて対応しろ!という訳ではなく、組織として、経営陣がコミットして、組織として何から取り組むか優先順位を決めて、対応しないことは対応しないことをきめて、取り組んでいくことを求めています。

 

 

優先度を決めて、意思決定するためにも、まずは現状把握、だから4項で最初に大事なこと、としてISO9001(JIS Q 9001):2015で規定されています。

 

 

 

ただし、難しく考えないでください。

 

 

このことは、ISO(アイエスオー)を取得していなくたって、組織の会社経営として、普段からして頂いていることだと思います。そのため、何もISO(アイエスオー)のために活動しなくても、現状、実態の業務活動で規格改訂も対応できます。

 

 

 

御社ですでに、活動して頂いていることを、規格改訂に向けて整理整頓して頂くだけで大丈夫です。

 

 

ISO総研では重たい、大変だと思いがちな規格改訂もご負担なくお手伝いできます!

興味のある方は是非ご連絡ください。

 

ISO9001:2015年度規格改訂6 計画 6.1項「リスク及び機会への取組み」規格解釈

shared_img_thumb_PAK85_Projectannai20141123172459_TP_V

いつもお世話になっております。

ISO総合研究所 コンサルタントの濱田 章弘(はまだ あきひろ)と申します。

 

さて、いつも大変ご好評いただいております当ブログでございます当ブログですが、

今回のテーマは、

『ISO9001:2015年度規格改訂6 計画 6.1項「リスク及び機会への取組み」』について規格解釈をさせていただきたいと思います。

まずは同項番で規格が何を求めているかについて確認してみましょう。

 

■第1章

『ISO9001:2015年度規格改訂6 計画 6.1項「リスク及び機会への取組み」』概要

 

6.1項「リスク及び機会への取組み」では、

6.1.1と6.1.2の2パートに分けることが出来ます。

2015年度版から新しく追加された項目ですが全く構える心配はありません。

なぜなら普段から行っている活動がほとんどだからです。

それでは、それぞれ何を言っているか検証していきましょう。

 

6.1.1

品質マネジメントシステムの計画を策定するとき、組織は、4.1に規定する課題及び4.2に規定する要求事項を考慮し、次の事項のために取り組む必要があるリスク及び機会を決定しなければならない。

 

a)品質マネジメントシステムが、その意図した結果を達成できるという確信を与える。

 

b)望ましい影響を増大する。

 

c)望ましくない影響を防止又は低減する。

 

d)改善を達成する。

 

6.1.2

組織は、次の事項を計画しなければならない。

 

a)上記によって決定したリスク及び機会への取組み

 

b)次の事項を行う方法

 

1)その取組みの品質マネジメントシステムプロセスへの統合及び実施

 

2)その取組みの有効性の評価

 

リスク及び機会への取組みは、製品及びサービスの適合への潜在的な影響と見合ったものでなければならない。

 

注 記1 リスクへの取組みの選択肢には、リスクを回避すること、ある機会を追求するためにそのリスクを取ること、リスク源を除去すること、起こりやすさ若し くは結果を変えること、リスクを共有すること、又は情報に基づいた意思決定によってリスクを保有することが含まれ得る。

 

注記2 機会は、新たな慣行の採用、新製品の販売、新市場の開拓、新たな顧客への取組み、パートナーシップの構築、新たな技術の使用、及び組織のニーズ又は顧客のニーズに取組むためのその他の望ましくかつ実行可能な可能性につながり得る。

 

■第2章

『ISO9001:2015年度規格改訂6 計画 6.1項「リスク及び機会への取組み」』についての規格解釈

 

そもそも、ここで言う『リスク』とはなんでしょうか?

新規格にはこうも書かれています。

 

0.3.3 リスクに基づく考え方

リ スクに基づく考え方(A.4参照)は、有効な品質マネジメントシステムを達成するために必須である。リスクに基づく考え方の概念は、例えば、起こり得る不 適合を除去するための予防処置を実施する、発生したあらゆる不適合を分析する、及び不適合の影響に対して適切な、再発防止のための取組みを行うということ を含めて、この国際規格の旧版に含まれていた。

 

組織は、この国際規格の要求事項に適合するために、リスク及び機会への取組みを計画し、実施する必要がある。

リスク及び機会双方への取組みによって、品質マネジメントシステムの有効性の向上、改善された結果の達成、及び好ましくない影響の防止のための基礎が確立する。

 

機会は、意図した結果を達成するための好ましい状況、例えば、組織が顧客を引き付け、新たな製品及びサービスを開発し、無駄を削減し、又は生産性を向上させることを可能にするような状況の集まりの結果として生じることがある。

機会への取組みには、関連するリスクを考慮することも含まれ得る。

リスクとは、不確かさの影響であり、そうした不確かさは、好ましい影響又は好ましくない影響をもち得る。

リスクから生じる、好ましい方向へのかい離は、機会を提供し得るが、リスクの好ましい影響の全てが機会をもたらすとは限らない。

 

うーん。

難しいですね。

今回の規格改定は『事業との統合化』いわゆる企業の実務とISOの運用があまりにかけ離れていることが多いため、出来る限り実態に沿った形で運用を行っていきましょうという趣旨のはず。

分かりやすい文章で伝えることも考えていただきたいです。

 

事例でみてみると、

機会:他業種から競合が業界に参入してきた

リスク:売上の減少に繋がる

 

機会:取引先から来年、仕事量を増やしても対応できるか口頭で話があった

リスク:売上の増加に繋がる

 

あれ?と思った方。

そう、リスクってマイナスの要素だけでなく、チャンスの面もあるのです。

 

プラスとマイナスのリスクと機会を集めることで、企業の経営にも大きく関わってきそうですね。

この辺りが改訂後の規格について、トップにもたらす影響が大きくなった部分ですね。

 

 

このリスク及び機会への取組みを、対策とその効果のフォローアップまで5W1Hでマネジメントレビューのインプット項目に追記したり、別途帳票を作成したりして対応すればいいわけですね。

このように細分化してとらえれば意外と難しくもなさそうではないですか?

 

また、弊社でもありがたいことに、規格改訂の書籍

【これ1冊でできる・わかる これ1冊でできるわかる ISO9001―やるべきこと、気をつけること  古江 一樹【監修】/ISO総合研究所【著】】

を出版させていただきました。

ご興味がございましたらお手に取っていただければ幸いです。

http://www.amazon.co.jp/dp/4860638514/

 

もし御社がISO9001、14001の規格改訂後の運用にお困りでしたり、27001、プライバシーマークの取得、運用についてお困りでしたらどうぞお気軽に弊社ISO総合研究所までご連絡ください。

 

ISO9001:2015(QMS):2015年度規格改訂 9.1項「監視,測定,分析及び評価」を総務部社員が強引に規格解釈してラーメンを評価する (独自解釈編)

PAK85_ra-mensusurugaikokujin20140531_TP_V

 

 

 

ISO9001:2015(QMS):2015年度規格改訂 9.1項「監視,測定,分析及び評価」を総務部社員が強引に規格解釈してラーメンを評価する (独自解釈編)

 

 

 

いつも本ブログをご愛読いただき、誠にありがとうございます。

ISO総合研究所コンサルタント…ではなく、総務部の岸です。

 

「え?コンサルタントじゃないの?総務部なの?(笑)」というブログをお読みの画面の前の皆様のお声が、電脳世界を通じてひしひしと聞こえて気がします。

 

これは私の、いや…このブログそのものに関わる、大きなチャレンジです。

「どういうこと?」と思われる皆様、少しばかりお付き合い下さい。

 

このブログ、毎日1つずつアップされております。

ISO9001:2015(QMS)のことも書かれておりますが、読んでも私には中々ちんぷんかんぷんです。

 

ところで…このブログを書いている2016年06月29日の水曜日、時計は午後10時を指しております。

 

 

……

 

………

 

…………今回はなんと私が書きます!しかし筆が進まないっっっ!!!

 

さて、困りました。

 

困りました、とても困りました。

 

 

(ブログ………………書けば……んだ…)

 

…え?今、誰か話しかけました?

 

(とりあえず書けば良いんだよ)

 

え?声が聞こえる?

 

(ブログは)

 

ブログは?

 

(とりあえず書けば)

 

とりあえず書けば

 

(良いんだよ)

 

良いんだよ

 

(ブログはとりあえず書けば良いんだよ)

 

…いや誰!?急に何!?

 

(僕はラーメンの妖精さ)

 

ラーメンの妖精?

 

(君は、ラーメンが好きかい?)

 

大好きです!

 

(文章を書くのは嫌い?)

 

う~ん…好きでも嫌いでもないです…

 

(今、困っていることはない?)

 

ISO9001:2015(QMS)のブログの筆が進みません!

 

(では、とりあえず書けば良いのでは?)

 

…え?

 

(だから、ラーメンが好きでISO9001:2015(QMS)のブログの筆が進まなくて困っているのなら)

 

なら?

 

(とりあえず書けば良いんだよ)

 

いや、ISO9001:2015(QMS)のこと何一つ知らないのに書けると思いますか?

 

(君は、受験をしたことがあるかい?)

 

はい!頭が足りないので、今まで受験は10回近くしてます!

 

(解らない問題やできない問題は、どうしたの?)

 

どうした、と言われても…

 

(解けないまま、放置したの?)

 

いえ、先生に質問したり勉強したりして解けるようにしました!

 

(今、何て?)

 

え?

 

(今、どうやって解けるようにしたと答えた?)

 

質問したり

 

(質問したり?)

 

勉強した…え、まさか

 

(察しが良いね、察しが良い子は嫌いじゃないよ)

 

勉強を…しろと…?

 

(そうだよ、簡単なことだよ)

 

いや…でも…

 

(君が尊敬する先輩コンサルタントの皆さんは、生まれた時からISO9001:2015(QMS)を理解していたの?)

 

皆さんはお忙しい中で、ISO9001:2015(QMS)を勉強されていらっしゃいました!

 

(では君も、勉強したらいいのでは?)

 

無理ですよ!僕はしがない総務部です!

 

(このブログ、何のために書いているの?)

 

このブログは…私の勝手な推測ですが…ISO9001:2015(QMS)の2015年度規格改訂について何が何だか分からない企業の担当者たちの少しでも助けになるように、と…

 

(このブログ読む人は、ISO9001:2015(QMS)どころかISOそのものをあまり知らない方もいるのでは?)

 

それは…そうです…けど…

 

(何も知らない君が勉強してブログを書けば、何が何だか分からない人の助けになるのでは?)

 

確かに…そうです…

 

(誰もが最初は初心者、とも言うじゃない)

 

じゃあ…書きます…

 

(では期限は、今日の23時59分まで!)

 

えぇ!?あと2時間もないですよ!?

 

(期限は延ばせないよ、ラーメンだけにね)

 

えぇ…

 

(楽しみにしているよ!さらば!)

 

なんだったんだろう…ブログ…書けるのかな…

 

 

さて、どうしましょう。

これはもう、ISO9001:2015(QMS)のブログを私が書くしかないようです。

 

ラーメンで書きますか、せっかくなので。

ラーメンとISO9001:2015(QMS)、書けるのでしょうか。

 

「どうしたものか」と言いながらISO9001:2015(QMS)の規格項目をパラパラっと見ていると、気になる項目があります。

9.1項に「監視,測定,分析及び評価」という項目がありました、評価する項目でしょうか。

 

以下、ISO9001:2015(QMS)の要求事項の解説から抜粋です。

 

―――――――――――――――(引用ここから)―――――――――――――――

9 パフォーマンス評価

9.1 監視,測定,分析及び評価

9.1.1 一般

組織は,次の事項を決定しなければならない。

a) 監視及び測定が必要な対象

b) 妥当な結果を確実にするために必要な,監視,測定,分析及び評価の方法

c) 監視及び測定の実施時期

d) 監視及び測定の結果の,分析及び評価の時期

組織は,品質マネジメントシステムのパフォーマンス及び有効性を評価しなければならない。

組織は,この結果の証拠として,適切な文書化した情報を保持しなければならない。

 

9.1.2 顧客満足

組織は,顧客のニーズ及び期待が満たされている程度について,顧客がどのように受け止めているかを監視しなければならない。組織は,この情報の入手,監視及びレビューの方法を決定しなければならない。

注記 顧客の受け止め方の監視には,例えば,顧客調査,提供した製品及びサービス顧客に関する顧客からのフィードバック,顧客との会合,市場シェアの分析,顧客からの賛辞,補償請求及びディーラ報告が含まれ得る。

 

9.1.3 分析及び評価

組織は,監視及び測定からの適切なデータ及び情報を分析し,評価しなければならない。

分析の結果は,次の事項を評価するために用いなければならない。

a) 製品及びサービスの適合

b) 顧客満足度

c) 品質マネジメントシステムのパフォーマンス及び有効性

d) 計画が効果的に実施されたかどうか。

e) リスク及び機会への取組みの有効性

f) 外部提供者のパフォーマンス

g) 品質マネジメントシステムの改善の必要性

注記 データを分析する方法には,統計的手法が含まれ得る。

 

―――――――――――――――(引用ここまで)―――――――――――――――

 

意味が…全く…理解できない…

 

まず、「9 パフォーマンス評価」という大項目があるんですね。

どうやら「適合」と「評価」というのがキーワードなのでしょうか、まず「評価」の中にも三つに分けられるみたいですが…

 

次に、「9.1 監視,測定,分析及び評価」という中項目が。

この項目は、三つに分けた(であろう)内の1項目のようです。

しかも「評価」だけでなく、「監視」と「測定」という言葉も出てきました。

 

そして、「9.1.1 一般」という小項目。

「何を評価するのか」「どのように評価するのか」「いつ評価するのか」「いつ評価の結果を分析するか」ということが書かれているのでしょう、そんな気がします。

 

さらに小項目の「9.1.2 顧客満足」です。

「顧客満足」とは一口に言っても、「どうするか」がはっきりしておりません。

これも「どのように」ということを明記しているようです、しかもご丁寧に「注記」まで書いてくれてます。

 

最後の小項目である、「9.1.3 分析及び評価」です。

ここで初めて知ったのですが、品質マネジメントって「データで語る/事実に基づく管理」が重要な基本原則の1つらしいです。

 

さて、とりあえず規格をさらっと確認しました。

 

…意味わかりました?僕は全くわかりません!!!

 

ということで!今から解釈した内容をラーメンに置き換え…え?時間ですか?

 

あぁ!もう期限の23時59分が!

 

ひとまずこれにて失礼いたします…すみません…

 

次回!

「ISO9001:2015(QMS):2015年度規格改訂 9.1項「監視,測定,分析及び評価」を総務部社員が強引に規格解釈してラーメンを評価する (ラーメン結び付け編)」です!

時期は未定です!こうご期待!!!

 

今回も最後まで読んでいただき、ありがとうございました。

 

 

 

参考文献

 

中條武志・棟近雅彦・山田秀 (2015) 『ISO 9001:2015 (JIS Q 9001:2015) 要求事項の解説』, 一般財団法人 日本規格協会.

 

ISO9001:2015(QMS):2015年度規格改訂 6.3項「変更の計画」規格解釈

 

OOK151013070I9A9870_TP_V

 

 

いつもご愛読いただきましてありがとうございます。

ISO総合研究所コンサルタントの田口と申します。

 

前回のブログでは「ISO27001:2013年規格改訂8.2項「情報セキュリティリスクアセスメント」規格解釈」というものをテーマに書かせていただきました。

 

 

今回は…

 

 

「ISO9001:2015(QMS):2015年度規格改訂 6.3項「変更の計画」規格解釈」というテーマで書かせていただきます!

またしても前回に続いて、規格解釈シリーズ!!

 

 

今回も、田口がブログでISO9001:2015(アイエスオーキュウセンイチ:QMS)の新規格6.3項「変更の計画」の部分の規格解釈という形でやさーしく、わかりやすーく、丁寧に!説明させていただきます。

 

では、はじめに6.3項「変更の計画」の要求事項には何が書かれているのでしょうか?

 

「組織が品質マネジメントシステムの必要性を決定したとき、その変更は、計画的な方法で行わなければならない(4.4参照)。

組織は、次の事項を考慮しなければならない。

a)変更の目的、及びそれによって起こり得る結果

b)品質マネジメントシステムの“完全に整っている状態”

c)資源の利用可能性

d)責任及び権限の割り当て又は再割り当て」

 

なんか難しいことが書かれていますね…

そして、途中で出てくる4.4も後で見てみましょう。

 

a)は変更する目的と変更によって考えられる出来事を考えましょう。

b)変更してもマネジメントシステムがしっかりと機能している状態にして下さい。

c)何か原材料とか道具は必要になるのかどうか。

d)変更で何か役割とかが変えた方がいい場合は変更を行う。

 

要は、品質マネジメントシステム(QMS)を変更するときは変更で考えられる現象や出来事を考慮して変更をしてくださいねってことです!

例えば、内部監査のやり方を変えますという場合

今まで、内部監査員を育てるのにまずは講習をして、その後監査責任者がメンバーを選出して、メンバーがチェックリストを作成して、監査計画を作って、監査を行って、報告書を作ってまとめて、報告を行う…

いやいや、かなり面倒です。やり方を変えたいです!

 

となった場合に…

 

内部監査員は事務局メンバーにしておいて、チェックリストは作っておく。監査計画書と報告書の様式をまとめてしまう。そして、あとは報告するだけ!

流れはこれでいいので、じゃあ、あとは必要な道具の様式、“内部監査計画・結果“というものを作りましょう。

 

という流れをしっかりと計画立ててやってくださいねってことなのです!

 

また、4.4に書かれているというものは品質マネジメントシステム(QMS)及びプロセスです。

品質マネジメントシステム(QMS)をしっかりと確立して、維持して、改善してくださいということが書いてあります。

これを守って変更をして下さいねということなのです!

 

そして最後です。これの結果を文書化しなさいというようなことは何も書いてありません。

さて、文書化というのはどういうことでしょう??

 

文字にする。文章にする。

というのが一般的だと思います。

実は、文書化というのは、文字、文章の他に、表、図、絵、写真なども当てはまります。

必ずしも、文字で文章を書かなければいけないというものではないのです!!

これはけっこう勘違いをされてしまう方が多いのです。

 

これらの文書化をしなさいということは言われていないので、特に何かを残すということは必要ないのです。

 

さて、これですべてのわからないような文言がわかりましたね。

最後にまとめてみましょう。

 

6.3項「変更の計画」規格解釈

「a)は変更する目的と変更によって考えられる出来事を考えましょう。

b)変更してもマネジメントシステムがしっかりと機能している状態にして下さい。

c)何か原材料とか道具は必要になるのかどうか。

d)変更で何か役割とかが変えた方がいい場合は変更を行う。

これらを考慮して、さらに4.4項に書かれている品質マネジメントシステム(QMS)を守って変更をして下さいね」

 

ということになります。

どうでしょう?わかりましたか?

 

こういう規格解釈が本当にあなたの会社にとって必要なのかを考えるのも良いかもしれないですね。

しかし、解釈にかかる時間がもったいなくありませんか?

 

弊社では、運用代行サービスを行っております。

あなたの会社の事務局として一緒に運用することができますので、さらにあなたの会社のISOにかかる時間が無くなります。

書類作成、年間スケジュール組み、規格改訂、ムダな規程類の削減・規程の見直し、内部監査をやらせていただきますので、それらにかかる時間が全てなくなります。

その分の時間を売り上げのための時間に使って頂き、売り上げを伸ばしていただきたいです!!

ISO総合研究所のミッションは、お客様のISOにかかる時間、工数を「0」に近づけていくということです。

0ですよ!ゼロ!ゼロ!!ゼロ!!!

 

話が長くなりました…

それでは、今回は「ISO9001:2015(QMS):2015年度規格改訂 6.3項「変更の計画」規格解釈」というテーマで書かせていただきました。

また読んでいただけることを楽しみにしております。

ありがとうございました。

ISO9001:2015(QMS):2015年度規格改訂 6.1項「リスク及び機会に対応するための処置」規格解釈

 

TSU863_kakigooriumai_TP_V

 

 

こんにちは、ISO総合研究所コンサルタントの藤川健太郎です。

最近はめっきり暖かくなり、エアコンを使う事が多くなってきたのではないでしょうか?

私はよくエアコンをつけ、お腹を出したまま寝てしまう事が多いので朝腹痛で起きる事が多くなってます。泣

 

そして不幸な事に生炙りレバーを食べた際にキレイに当たってしまい相乗効果な始末です。

トホホ…。

 

さて、私のお腹の事はどうでもよいとして今回はこちらです!

ISO9001:2015(QMS)(アイエスオーキュウセンイチ)の規格改訂シリーズということで今回のテーマは「ISO9001:2015(QMS):2015年度規格改訂 6.1項「リスク及び機会に対応するための処置」規格解釈」

 

まず今回の規格改定においての特徴としてマネジメントシステム規格の整合化があります。

2012年以降に改定された規格については、整合化をはかるために構造が統一されることになりました。どの規格を見ても同じ項番にあるなどです。これをハイレベルストラクチャーと呼び、複数規格の認証取得をしている場合には、統合しやすくなっています。

 

 

6.1.1 ISO9001:2015(QMS)(アイエスオーキュウセンイチ)の計画に際して、4.1の課題及び4.2の要求事項を考慮し、次の事項への対応に必要なリスク及び機会を決定する。

1)QMSがその意図した結果を達成し得ることを保証する。

2)望ましい影響を向上させる

3)望ましくない影響を防止又は低減する

4)改善を達成する

 

6.1.2 リスク及び機会に対応するために、次に示す事項を含む計画を策定する。

1)リスク及び機会への対応の処置

2)これら処置のQMS(キューエムエス)プロセスへの統合及び実施の方法、並びに処置の有効性の評価の方法

リスク及び機会への対応の処置は、製品/サービスの適合性に対する潜在的影響に見合うものとする。

 

注記1

リスクへの取組みの選択肢には,リスクを回避すること,ある機会を追求するためにそのリスクを取ること,リスク源を除去すること,起こりやすさ若しくは結果を変えること,リスクを共有すること,又は情報に基づいた意思決定によってリスクを保有することが含まれ得る。

注記2

機会は,新たな慣行の採用,新製品の発売,新市場の開拓,新たな顧客への取組み,パートナーシップの構築,新たな技術の使用,及び組織のニーズ又は顧客のニーズに取り組むためのその他の望ましくかつ実行可能な可能性につながり得る。

 

 

今回のISO9001:2015(アイエスオーキュウセンイチ:QMS)の規格改訂の一番の追加要求になります。リスク及び機会に対応するために処置をしろと要求しています。

ではリスクと機会とは何かというと、リスクは、不確かさの影響。リスクについてはイメージが沸きやすいかもしれません。

・製品の欠陥や社員の流動などの組織内部のリスク
・取引先の倒産や供給先の不祥事などの外部のリスク
・災害や景気の浮き沈みなどの社会のリスク

組織は常にさまざまなリスクにさらされています。

今回、リスクが要求事項に組み込まれたのも、これらのリスクによって顧客満足が満たせなくなるという事実を無視できなくなっているからです。

『リスク』とは『変化』のことです。
時代が変われば、これまでは問題なかったことも、大きなリスクになることがあります。

例えば、現在の社員の平均年齢を把握していますか?
現在は50歳だとしたら、このまま何もしなければ20年後には誰もいなくなります。
もちろん、20年の間に新しいスタッフが入ったりするでしょう。
しかし、今までのように雇用できるでしょうか?

これも変化の一つです。

 

一方、『機会』とは何でしょうか。
組織は真面目に製品を作って売り、内的外的にも取り立てて大きな問題はない、つまり表だったリスクはないとします。

それでも時代は変動し、顧客の望むものは刻々と変化していきます。
その時代のニーズに気付かずに顧客の『望まないもの』を提供するのは大きな機会の損失となります。

『機会』は『リスク』のように表面に表れにくいので、つい見過ごしがちです。
改正版の要求事項では、機会についても何らかの対処をすることを求めています。

そもそも、製品には「顧客が望むもの」と「顧客が望まないもの」の二つがあります。
マネジメントとは、顧客が「望むもの」と「望まないもの」を区別して、「望まないもの」を排除し、「望むもの」を適切なタイミングで提供することで顧客満足を高めていこうというものです。

望まないものを提供してしまうことが「リスク」の一部だと考え、望むものを提供することが「機会」の一部と考えるべきだと思います。

 

この二つに対応する処置を決めた計画を立てておけと要求しています。

よく見ると、文書化した情報の記載がないので、ここに文書・記録の要求はないので、審査レベルで言えば、リスク機会の対応する処置の計画は、口頭で話せればよいということです。

またこの情報が求められている要求項番としては9.3.2のマネジメントレビューのインプットです。組織の代表者への報告事項として求められており、ここで文書化した情報の保持が求められるので事実上、マネジメントレビュー記録に記載が残る形になります。

 

現在、規格改訂セミナーや実際に改定作業を行っている方もいるでしょう。

是非、ISO総合研究所のコンサルタントにご相談ください。

ISO9001:2015(QMS):2015年度規格改訂 5.1項「リーダーシップ及びコミットメント」規格解釈

 

TSUCH160130540I9A6568_TP_V

 

 

いつもお世話になっております。

ISO総合研究所コンサルタントの濱田章弘(はまだあきひろ)と申します。

 

さて、いつも大変ご好評いただいております当ブログでございます当ブログですが、今回のテーマは、

『ISO9001:2015(QMS):2015年度規格改訂 5.1項「リーダーシップ及びコミットメント」』について規格解釈をさせていただきたいと思います。

まずは第1章で規格が何を求めているかについて確認してみましょう。

 

■第1章

『ISO9001:2015(QMS) 5.1項「リーダーシップ及びコミットメント」』概要

 

規格改訂後の5.1項「リーダーシップ及びコミットメント」では、

5.1.1一般と5.1.2顧客重視の2パートに分けることが出来ます。

まずは5.1.1一般、その後5.1.2顧客重視を見ていきます。

 

5.1.1 一般

トップマネジメントは、次に示す事項によって、品質マネジメントシステムに関するリーダーシップ及びコミットメントを実証しなければならない。

 

a)品質マネジメントシステムの有効性に説明責任(accountability)を負う。

 

b)品質マネジメントシステムに関する品質方針及び品質目標を確立し、それらが組織の状況及び戦略的な方向性と両立することを確実にする。

 

c)組織の事業プロセスへの品質マネジメントシステム要求事項の統合を確実にする。

 

d)プロセスアプローチ及びリスクに基づく考え方の利用を促進する。

 

e)品質マネジメントシステムに必要な資源が利用可能であることを確実にする。

 

f)有効な品質マネジメント及び品質マネジメントシステム要求事項への適合の重要性を伝達する。

 

g)品質マネジメントシステムがその意図した結果を達成することを確実にする。

 

h)品質マネジメントシステムの有効性を寄与するよう人々を積極的に参加させ、指揮し、支援する。

 

i)改善を促進する。

 

j)その他の関連する管理層がその責任の領域においてリーダーシップを実証するよう、管理層の役割を支援する。

 

※注記 この国際規格で“事業”という場合、それは、組織が公的か私的化、営利か非営利かを問わず、組織の存在の目的の中核となる活動という広義の意味で解釈され得る。

 

5.1.2 顧客重視

トップマネジメントは、次の事項を確実にすることによって、顧客重視に関わるリーダーシップ及びコミットメントを実証しなければならない。

 

a)顧客要求事項及び適用される法令・規制要求事項を明確にし、理解し、一貫してそれを満たしている。

 

b)製品及びサービスの適合並びに顧客満足を向上させる能力に影響を与え得る、リスク及び機会を決定し、取り組んでいる。

 

c)顧客満足向上の重視が維持されている。

 

■第2章

『ISO9001:2015(QMS) 5.1項「リーダーシップ及びコミットメント」』についての規格解釈

 

トップマネジメントは、組織がISO9001規格の規定する要件に従って品質経営体制を確立し、それに則って業務実行を指揮、管理し、また、時代の変化に対応して経営戦略としての品質方針及び組織の品質目標(5.2項)を見直し変更し、必要な顧客満足の状態を継続的に実現、維持することに、トップマネジメントとしての統率力を発揮しなければならず、職を賭して取り組まなければならない。

 

トップマネジメントは、そのような役割と責任を遂行する証として、a)~k)を効果的に実行しなければならない。

a)は、コミットメントに関し、他はリーダーシップに関する。また、b)、c)、e)、f)、j)項は、トップマネジメントが直接的責任を負うべき分野を指し、d)、g)、h)、i)項はトップマネジメントが統率力を発揮すべき重要分野を指す。

 

a)は、トップマネジメントが職責を全うしなければならないということであり、08年版の「品質経営体制の有効性の継続的改善にコミットメントする」の規定条文の用語を変えた書き直しである。

 

b)は、組織の存続発展を図る組織の経営活動の枠組みの中で品質経営の活動行うということであり、c)は、規格の規定により新たな品質経営体制を構築するのでなく、規定は組織の既存の品質と顧客対応に関係する業務の手はずに反映させること、或いは、規格の規定を満たして整えた手はずの通りに組織の経営管理の実務が行なわれているという意味である。b),c)を合わせて規格の規定に従って品質経営体制を確立し、その下で品質経営を行う (4.4項)という規格導入の基本条件を満たす最終責任がトップマネジメントにあることを示している。

 

d), h), i)は、規格の序文と規定と「品質経営の原理」として規定されている、品質経営の業務の実行に係わる規格の論理である。また、j)は、管理者や監督者が委ねられた職責を積極的に果たすことを促す組織風土、作業環境を創造するというトップマネジメントの責任を指す。

 

■第3章

予想される極端な審査要求

①品質マネジメントシステムと事業との統合の証拠

②トップマネジメントの責任に関するトップマネジメントへの質問

 

規格改訂の目的で一番大きいものは、マネジメントシステムと事業との統合化、また項番5にリーダーシップが導入されてお分かりの通り代表者の責任の割合が強くなったことであることは明白です。

 

いわゆる実態に沿ったルールになっているか、代表者がマネジメントシステムにしっかり関わっているのかです。

ポイントを押えておけば規格改訂も全然怖くありません。

 

手前味噌ですが弊社でもありがたいことに、規格改訂の書籍

【これ1冊でできる・わかる これ1冊でできるわかる ISO9001―やるべきこと、気をつけること  古江 一樹【監修】/ISO総合研究所【著】】

を出版させていただきました。

ご興味がございましたら書店にてお買い求めくださいませ。

 

また、もし御社がISO9001:2015(QMS)、ISO14001:2015(EMS)、ISO27001:2015(ISMS)、プライバシーマーク(Pマーク)の取得、運用についてお困りでしたらどうぞお気軽に弊社ISO総合研究所までご連絡ください。

 

ISO27001:2013(ISMS):2013年度規格改訂 6項「計画」規格解釈

 

MAX85_searchsa20140531_TP_V

 

いつもブログをご愛読いただきまして誠にありがとうございます。

ISO総合研究所コンサルタントの松口と申します。

 

梅雨の季節がやってきましたね。私は1年の中で一番嫌いな時期です。

早く夏が来ないかなと思っている今日この頃です。

夏といったら、海、バーベキュー、お祭り、花火と楽しみがいっぱいです。

プライベートでは、息子がどんどん成長しており、最近ではパパとかママとか話すようになってきました。

息子の最近のマイブームはトーマスです。トーマスの本を買ってあげたら離しません。

息子にトーマスの本を買ってあげるためにお仕事頑張ります。息子を溺愛している私です。

 

まぁ、プライベートの話はこのくらいにしておきまして、そろそろ本題に入らせて頂きたいと思います。

前回のブログでは「ISO9001:2015(QMS):2015年度の概要」をご紹介させて頂きましたが、

今回は「ISO27001:2013(ISMS):2013年度規格改訂 6項「計画」規格解釈」をご紹介させて頂きます。

 

まずはJIS Q 27001:2014の要求事項を見てみましょう。

下記に記載していきます。JIS Q 27001:2014に記載されている要求事項はよくわからないことが書いてあり解釈するのに苦労するかと思います。

が、下記に概要を簡単に書かせて頂きますのでご興味があればお読みください。

 

6 計画

6.1 リスク及び機会に対処する活動

6.1.1 一般

ISMS(ISO27001:2013)の計画を策定するとき,組織は,4.1 に規定する課題及び4.2 に規定する要求事項を考慮し,次の事項のために対処する必要があるリスク及び機会を決定しなければならない。

  1. a) ISMS(ISO27001:2013)が,その意図した成果を達成できることを確実にする。
  2. b) 望ましくない影響を防止又は低減する。
  3. c) 継続的改善を達成する。

 

組織は,次の事項を計画しなければならない。

  1. d) 上記によって決定したリスク及び機会に対処する活動
  2. e) 次の事項を行う方法

1) その活動のISMSプロセスへの統合及び実施

2) その活動の有効性の評価

 

これらの要求事項のポイントとしては、ISMS(ISO27001:2013)の計画において、情報セキュリティに関連するリスクだけでなく、マネジメントシステムのリスクを含めた全体のリスクを対象としていることです。特に4.1の「組織及びその状況の理解」より決定した課題から、必要があるリスクを決定しましょうとのことです。

リスク及び機会に対処する活動には、ISMS(ISO27001:2013)の全体の活動、目的の達成のための計画、リスク対応計画などがあります。

この辺を頭の片隅に入れて考えて見るとわかりやすいかもしれません。

 

6.1.2 情報セキュリティリスクアセスメント

組織は,次の事項を行う情報セキュリティリスクアセスメントのプロセスを定め,適用しなければならない。

a) 次を含む情報セキュリティのリスク基準を確立し,維持する。

1) リスク受容基準

2) 情報セキュリティリスクアセスメントを実施するための基準

b) 繰り返し実施した情報セキュリティリスクアセスメントが,一貫性及び妥当性があり,かつ,比較可能な結果を生み出すことを確実にする。

c) 次によって情報セキュリティリスクを特定する。

1) ISMS(ISO27001:2013)の適用範囲内における情報の機密性,完全性及び可用性の喪失に伴うリスクを特定するために,情報セキュリティリスクアセスメントのプロセスを適用する。

2) これらのリスク所有者を特定する。

d) 次によって情報セキュリティリスクを分析する。

1) 6.1.2 c) 1) で特定されたリスクが実際に生じた場合に起こり得る結果についてアセスメントを行う。

2) 6.1.2 c) 1) で特定されたリスクの現実的な起こりやすさについてアセスメントを行う。

3) リスクレベルを決定する。

e) 次によって情報セキュリティリスクを評価する。

1) リスク分析の結果と6.1.2 a) で確立したリスク基準とを比較する。

2) リスク対応のために,分析したリスクの優先順位付けを行う。

組織は,情報セキュリティリスクアセスメントのプロセスについての文書化した情報を保持しなければならない。

それでは今度はこちらの要求事項のポイントを見てみましょう。

まずはa)~e)の項目を満たす情報セキュリティのリスクアセスメントの手順を定めて実施することです。

情報の「機密性」「完全性」及び「可用性」の喪失に伴うリスクの影響を考慮し、組織として認識する情報セキュリティを特定する必要があります。リスク分析することにより、情報資産におけるリスクレベルを洗い出し、実際に生じた場合に

起こり得る結果、現実的な起こりやすさについてアセスメントを行う必要があります。

その結果、リスク対応計画に反映していくことになります。

 

6.1.3 情報セキュリティリスク対応

組織は,次の事項を行うために,情報セキュリティリスク対応のプロセスを定め,適用しなければならない。

a) リスクアセスメントの結果を考慮して,適切な情報セキュリティリスク対応の選択肢を選定する。

b) 選定した情報セキュリティリスク対応の選択肢の実施に必要な全ての管理策を決定する。

c) 6.1.3 b) で決定した管理策を附属書A に示す管理策と比較し,必要な管理策が見落とされていないことを検証する。

d) 次を含む適用宣言書を作成する。

- 必要な管理策[6.1.3 のb) 及びc) 参照]及びそれらの管理策を含めた理由

- それらの管理策を実施しているか否か

- 附属書A に規定する管理策を除外した理由

e) 情報セキュリティリスク対応計画を策定する。

f) 情報セキュリティリスク対応計画及び残留している情報セキュリティリスクの受容について,リスク所有者の承認を得る。

組織は,情報セキュリティリスク対応のプロセスについての文書化した情報を保持しなければならない。

 

それでは続きましてこちらの要求事項のポイントを見てみましょう。

まずはa)~f)の項目を満たす情報セキュリティ対応の手順を定めて実施することです。

リスク対応のために必要な管理策を決定し、附属書Aに記載されている管理策と比べ、必要な管理策の見落としがないかを確認します。そして適用宣言書の作成をします。その際に管理策の採否及びその理由は記載するようにしましょう。

 

6.2 情報セキュリティ目的及びそれを達成するための計画策定

組織は,関連する部門及び階層において,情報セキュリティ目的を確立しなければならない。

情報セキュリティ目的は,次の事項を満たさなければならない。

a) 情報セキュリティ方針と整合している。

b) (実行可能な場合)測定可能である。

c) 適用される情報セキュリティ要求事項,並びにリスクアセスメント及びリスク対応の結果を考慮に入れる。

d) 伝達する。

e) 必要に応じて,更新する。

組織は,情報セキュリティ目的に関する文書化した情報を保持しなければならない。

組織は,情報セキュリティ目的をどのように達成するかについて計画するとき,次の事項を決定しなければならない。

f) 実施事項

g) 必要な資源

h) 責任者

i) 達成期限

j) 結果の評価方法

 

それでは最後にこちらの要求事項のポイントを見てみましょう。

まずはa)~e)の項目を満たす情報セキュリティにおいて達成する目的を定めて実施することです。

次にf)~j)の項目を満たす情報セキュリティ目的を達成するための実施計画を策定します。

 

自社の運用でお悩み等がございましたら、是非一度ISO総合研究所にお問い合わせください。コンサルタントがご訪問させて頂きアドバイスをさせて頂きます。

ISO27001:2013(ISMS):2013年度規格改訂 10項「改善」規格解釈

_shared_img_thumb_PAK77_sumahodetel20140823111801_TP_V

いつもご愛読いただきありがとうございます。

ISO総合研究所コンサルタントの千葉です。

世の中クールビズのスタートも早くなりましたね。

5月は暑かったり涼しかったり、と着る服にも困ることが多かったですね。

しかし、そろそろ梅雨入りも目前になり、暑い日が続くようになりましたね。

これからはじめじめした空気との戦いになりますね。

 

さて、今回は「ISO27001:2013(ISMS):2013年度規格改訂 10項「改善」規格解釈」についてお話をしたいと思います。

現在、ISO27001:2013(ISMS)だけでなく、ISO9001:2015(QMS)、ISO14001:2015(EMS)も規格改訂により3つの規格が10章立てで構成されることになりました。

複数規格をお持ちの企業様にとっては、統合した仕組みを作りやすくなったのではないでしょうか。

 

 

10.1 不適合及び是正処置

不適合が発生した場合,組織は,次の事項を行わなければならない。

 

 

章立てがかわったこともあり、少し考えてしまうかもしれません。ただ、旧規格から比べて、条文の言葉や項目の並びなどは変わりましたが、大枠の考え方などを全く別の方向に向ける必要はないように思います。

大きな部分では、起こった不適合に対して対応(処置)する。次にその原因を追究する。そして再度起こらないような処置を行う。

この大きな流れは変わりません。

ただし、なにも変わらないのであればそもそも言葉を変える必要がありません。大きな部分で変わらなくても細部では変更があるということを頭の片隅に置いていただくと良いと思います。

 

すこし具体に見ていきます。

 

まず、

 

1) その不適合を管理し,修正するための処置をとる。

 

発生した不適合について、きちんと把握する、コントロールできる状況に置くということです。そして、その状態から対応をしていきましょうということ。

 

2) その不適合によって起こった結果に対処する。

 

その不適合が発生し、どのような事態になったのか。その起きた事象に対応しましょうということ。

 

  1. b) その不適合が再発又は他のところで発生しないようにするため,次の事項によって,その不適合の原因を除去するための処置をとる必要性を評価する。

 

この項目から原因をつぶしていく対応が始まります。

 

1) その不適合をレビューする。

 

起こってしまった不適合について、評価を実施します。

2) その不適合の原因を明確にする。

 

言葉のままです。原因がどこに起因するのかきちんと確認します。

 

3) 類似の不適合の有無,又はそれが発生する可能性を明確にする。

 

ここが抜けていることが多く見られますので、注意が必要なところです。以前の規格ではあまり触れられていませんでした。

ここでは、過去に起こった不適合の内容と照らし合わせ、似ているケースや同様のケースも確認する必要があります。

 

ここまで出来ると、ここからは実際の行動に変わっていきます。

 

  1. c) 必要な処置を実施する。

 

起こってしまった不適合について、a)項、b)項で認識した内容を元に、その原因を取り除くための処置を行います。

今までで言う「再発防止」になります。

 

  1. d) とった全ての是正処置の有効性をレビューする。

 

a)~c)項にて行った不適合に対する是正処置について、問題ないかレビューを行います。

レビュー=評価 とお考えください。

また、ISOの中では「有効性」という言葉が出てきます。

ここでは、「不適合に対する是正処置が有効に機能しているか」という視点で考えてみてください。

同じような問題が発生しないようであれば、有効であると考えられるでしょう。

 

  1. e) 必要な場合には,ISMS の変更を行う。

 

是正処置を行うと同時に、ISO27001:2013(ISMS)の仕組みに対する変更が必要ないかどうか、確認を行ってください。変更が必要な場合は忘れずに変更を行いましょう。

 

 

また、ISO27001:2013(ISMS)の要求事項では以下の文言があります。

 

————————————————————–

是正処置は,検出された不適合のもつ影響に応じたものでなければならない。

組織は,次に示す事項の証拠として,文書化した情報を保持しなければならない。

————————————————————–

つまり、是正処置と不適合に関しては、連動していなければおかしい、という話になりますね。

また、ISO27001:2013(ISMS)の要求事項にあるとおり、「文書化した情報を保持」しなければならないことになっています。

簡単に言うと、「記録に残す」という形です。

後から自社の取り組みを振り替えられるような取り組みをISOの中でも求められている、ということがわかりますね。

 

  1. f) 不適合の性質及びとった処置

不適合の内容とその際の処置は、今後の是正処置やリスク管理のためにも記録に残すことが求められています。

 

  1. g) 是正処置の結果

社内で行った是正処置に対しても、あとから社内で振り返るためにも記録に残していくことが求められています。

 

改善事項として考えた場合にも、是正処置の対応を社内で手順を残した上で記録に残す必要があることがわかりますね。

 

では、次に「継続的改善」について考えてみましょう。

規格要求事項では以下のように書かれています。

 

—————————————————————

10.2 継続的改善

組織は,ISMS の適切性,妥当性及び有効性を継続的に改善しなければならない。

—————————————————————

 

つまり、ISO27001:2013(ISMS)では、ただ仕組みを構築することが目的でなく、それをいかに活用できるか、がポイントになりますね。

おそらく、関わっている方は社内の改善に対しても意識出来ているのではないでしょうか。

 

今後も、是非規格要求事項とISO27001:2013(ISMS)について考えてみてください。

ISO27001:2013(ISMS):2013年度規格改訂 9.2項「内部監査」規格解釈

PAK85_lalakakudaikyouOL20140321_TP_V

 

 

 

いつもご愛読いただきありがとうございます。

ISO総合研究所コンサルタントの残田です。

 

今回は「ISO27001:2013(ISMS):2013年度規格改訂 9.2項「内部監査」規格解釈

」について書いていきたいと思います。

 

 

まず、ISO27001:2013(アイエスオー27001:2013,ISMS)及びJIS Q 27001:2014(ジスキュー27001:2014)に何と書いてあるか確認してみましょう。

 

9.2 内部監査

組織は,ISMS が次の状況にあるか否かに関する情報を提供するために,あらかじめ定めた間隔で内部監査を実施しなければならない。

  1. a) 次の事項に適合している。

1) ISMS に関して,組織自体が規定した要求事項

2) この規格の要求事項

  1. b) 有効に実施され,維持されている。

 

組織は,次に示す事項を行わなければならない。

  1. c) 頻度,方法,責任及び計画に関する要求事項及び報告を含む,監査プログラムの計画,確立,実施及び維持。監査プログラムは,関連するプロセスの重要性及び前回までの監査の結果を考慮に入れなければならない。
  2. d) 各監査について,監査基準及び監査範囲を明確にする。
  3. e) 監査プロセスの客観性及び公平性を確保する監査員を選定し,監査を実施する。
  4. f) 監査の結果を関連する管理層に報告することを確実にする。
  5. g) 監査プログラム及び監査結果の証拠として,文書化した情報を保持する。

 

 

 

 

ちなみに、JIS Q 9001:2015(ジスキュー9001:2015)には次のように記載されています。

 

9.2 内部監査

9.2.1 組織は,品質マネジメントシステムが次の状況にあるか否かに関する情報を提供するために,あらかじめ定めた間隔で内部監査を実施しなければならない。

  1. a) 次の事項に適合している。

1) 品質マネジメントシステムに関して,組織自体が規定した要求事項

2) この規格の要求事項

  1. b) 有効に実施され,維持されている。

 

9.2.2 組織は,次に示す事項を行わなければならない。

  1. a) 頻度,方法,責任,計画要求事項及び報告を含む,監査プログラムの計画,確立,実施及び維持。監査プログラムは,関連するプロセスの重要性,組織に影響を及ぼす変更,及び前回までの監査の結果を考慮に入れなければならない。
  2. b) 各監査について,監査基準及び監査範囲を定める。
  3. c) 監査プロセスの客観性及び公平性を確保するために,監査員を選定し,監査を実施する。
  4. d) 監査の結果を関連する管理層に報告することを確実にする。
  5. e) 遅滞なく,適切な修正を行い,是正処置をとる。
  6. f) 監査プログラムの実施及び監査結果の証拠として,文書化した情報を保持する。

 

 

 

JIS Q 14001:2015(ジスキュー14001:2015)でも同じように記載されています。

 

9.2 内部監査

9.2.1 一般

組織は,環境マネジメントシステムが次の状況にあるか否かに関する情報を提供するために,あらかじめ定めた間隔で内部監査を実施しなければならない。

  1. a) 次の事項に適合している。

1) 環境マネジメントシステムに関して,組織自体が規定した要求事項

2) この規格の要求事項

  1. b) 有効に実施され,維持されている。

 

9.2.2 内部監査プログラム

組織は,内部監査の頻度,方法,責任,計画要求事項及び報告を含む,内部監査プログラムを確立し,実施し,維持しなければならない。

内部監査プログラムを確立するとき,組織は,関連するプロセスの環境上の重要性,組織に影響を及ぼす変更及び前回までの監査の結果を考慮に入れなければならない。

組織は,次の事項を行わなければならない。

  1. a) 各監査について,監査基準及び監査範囲を明確にする。
  2. b) 監査プロセスの客観性及び公平性を確保するために,監査員を選定し,監査を実施する。
  3. c) 監査の結果を関連する管理層に報告することを確実にする。

組織は,監査プログラムの実施及び監査結果の証拠として,文書化した情報を保持しなければならない。

 

 

見て頂ければお分かりの通り、どの規格でも同じことが要求されています。

ここからは内容を細かく見ていきたいと思います。

 

>a) 次の事項に適合している。

>1) ISMS に関して,組織自体が規定した要求事項

>2) この規格の要求事項

→適合しているかどうかを内部監査でチェックすることが求められています。

1)では仕事上守らなければいけない法令やその他規則等、顧客から要求されていること、社内で必要と判断しルール化したものの3つを守れているか監査することを求められています。

2)ではISO27001:2013(ISNS:アイエスオー27001:2013,ISMS)JIS Q 27001:2014(ジスキュー27001:2014)の規格で要求されていることを守れているか監査することを求められています。

 

 

 

>b) 有効に実施され,維持されている。

→定められているルールが有効かどうか、会社の役にたっているかをチェックすることを求められています。

 

システムの有効性の監査を実施するために要求事項に適合していることが前提となります。そのうえで、要求事項(規格、法令、顧客、社内)で要求されている以上のことをやっている場合はルールを簡素化し、要求されていないことをやっている場合はルールをなくすことができます。

 

 

 

>c) 頻度,方法,責任及び計画に関する要求事項及び報告を含む,監査プログラムの計画,確>立,実施及び維持。監査プログラムは,関連するプロセスの重要性及び前回までの監査の結果を考慮に入れなければならない。

→内部監査を実施する時期、方法を決めて、重点的に監査する項目、前回までの監査結果を考慮しましょうということです。

 

 

 

  1. d) 各監査について,監査基準及び監査範囲を明確にする。

→監査基準はチェックリストを作成している組織が多いです。要求事項を漏れなくチェックできるのであればチェックリストを作成せずにマニュアルを基に監査でも問題ありません。

監査範囲は内部監査を実施する前にどの部署を見るか計画することです。

 

 

 

  1. e) 監査プロセスの客観性及び公平性を確保する監査員を選定し,監査を実施する。

→自分がしている仕事内容を監査することができません。

 

 

 

  1. f) 監査の結果を関連する管理層に報告することを確実にする。

→監査結果を関連部署の部門長等に報告する必要があります。

 

 

 

  1. g) 監査プログラム及び監査結果の証拠として,文書化した情報を保持する。

→監査に使用したチェックリストや監査結果は文書として残しておく必要があります。

 

 

 

JIS Q 27001:2014(ジスキュー27001:2014)の規格で要求されていることはここまでです。全部署を監査するために1週間かけていたというお客様がよくいますが、監査はあくまでもサンプリングなので、当社では1拠点2時間以内で監査を実施しています。

自社の内部監査のルールが有効なものか一度見直してみてもよいと思います。

 

 

ISOを新規で取得したい、ISOの仕組みが重たくなって困っているといった方がいましたら、ぜひ一度、ISO総合研究所までお問い合わせください。

ISO27001:2013(ISMS):2013年度規格改訂 7.5項「文書化した情報」規格解釈

 

_shared_img_thumb_PAK86_kisyanoshitumonnikotaeru20140713_TP_V

 

 

いつもご愛読いただきありがとうございます。

ISO総合研究所コンサルタントの戸沼です。

 

今回のブログでは、「ISO27001:2013(ISMS):2013年度規格改訂 7.5項「文書化した情報」規格解釈」について書かせていただきます。

 

内容としては、

大きく下記の3つの項目をご説明させていただきます。

 

1.ISO27001(ISMS):2006年版と、ISO27001(ISMS):2013年版の対比

2.ISO27001(ISMS):2013年版で明確にされたこと

3.ISO27001(ISMS):2006年版から、ISO27001(ISMS):2013年版に移行するにあたって確認すべきこと

 

~~~~~~~~~~~~~~~~~~~~~~~~

1.ISO27001(ISMS):2006年版と、ISO27001(ISMS):2013年版の対比

 

まずは、ISO27001(ISMS):2006年版と、ISO27001(ISMS):2013年版の対比からみていきましょう。

 

ISO27001(ISMS):2006年版における構成は下記の通りです。

4.3 文書化に関する要求事項

4.3.1 一般

4.3.2 文書管理

4.3.3 記録の管理

 

ISO27001(ISMS):2013年版における構成は下記の通りです。

7.5 文書化した情報

7.5.1 一般

7.5.2 作成及び更新

7.5.3 文書化した情報の管理

 

上記のように章の構成は変わっています。

2006年版では「文書」と「記録」という2つの要素を管理すべきと述べられているのに対して、

2013年版では「文書化した情報」という1つの要素にまとめられていることが分かります。

 

このような変更がなされた背景には、社会のIT化があります。

ひと昔前では「文書・記録=紙媒体」でしたが、

現代においては「文書・記録=デジタル媒体」であるところも少なくありません。

例えば、ある運送会社様では、

荷物の積み下ろしの際の手順書は注釈を入れた動画になっていました。

同時に、荷物の積み下ろしがルール通りにできているかのチェックも動画とiPadによるチェックリストをもとに行われていました。

このように、現代では紙媒体のみならず、

デジタル媒体(WordやExcelデータ、動画データ、音声データ)も文書化された手順にも記録にもなりえますし、

生体認証(指紋、声紋、虹彩、静脈等)による認識履歴も記録になりえますので、

これまでの「文書」と「記録」という表現が見直されてきました。

 

ISO27001(ISMS):2013年版の規格要求事項を読み進めていくと、

ISO27001(ISMS):2006年版において「文書」とされていた事項と同一の取扱いが求められるのが、

「文書化した情報として利用可能である」「~プロセスについての文書化した情報を保持」といった表記になっている箇所となります。

同様に、

ISO27001(ISMS):2006年版において「記録」とされていた事項と同一の取扱いが求められるのが、

「~の証拠として、文書化した情報を保持する」といった表記になっている箇所となります。

 

媒体や手段の違いはあれど、

大きな要素としては変わっていないことが分かります。

 

~~~~~~~~~~~~~~~~~~~~~~~~

2.ISO27001(ISMS):2013年版で明確にされたこと

 

次に、ISO27001(ISMS):2013年版で明確にされたことをみていきましょう。

 

ISO27001(ISMS):2006年版にはない表現として、下記のような記述があります。

・「適切な識別及び記述(例えば,タイトル,日付,作成者,参照番号)」

・「適切な形式(例えば,言語,ソフトウェアの版,図表)及び媒体(例えば,紙,電子媒体)」

・「配付,アクセス,検索及び利用」

 

一見して分かることは、

2013年版では、文書化した情報の管理として、デジタル管理も想定された規格要求が明確化されました。

 

お客様訪問時に、障壁に感じていらっしゃるとよく伺うのは、

デジタルデータの管理方法が部ごと、個人ごと、保管ツールごとに異なり、

社内の標準的なルールが定まっていないということです。

この点に関しては、今後ますますデジタルデータが増えていくことを見据えて、

最適解を社内で一度協議してみるのがよさそうです。

 

~~~~~~~~~~~~~~~~~~~~~~~~

3.ISO27001(ISMS):2006年版から、ISO27001(ISMS):2013年版に移行するにあたって確認すべきこと

 

最後に、ISO27001(ISMS):2006年版から、ISO27001(ISMS):2013年版に移行するにあたって確認すべきことを考えていきます。

 

私たちコンサルタントは、

様々な業種・業態の組織様のお手伝いをさせていただく中で、

役得と言いますか、様々な形・手段の「文書化した情報の管理」を拝見させていただいております。

その中で感じることは、

デジタルデータの情報管理に関しては、紙媒体の情報管理と比較して、まだまだ改善の余地がある組織様が多いということです。

 

うまく取り決めていらっしゃる組織様ですと、

データフォルダの管理に関して、

部ごと、組織を横断するグループごと(取締役会、委員会活動等)にデータフォルダを設けて、

その中でも「極秘・上・中・下」のようなアクセス制限設定がなされているようです。

データ管理に関しても、

タイトル名を「(部署名)+(現場・顧客名)+(案件名)+(日付)」といった共通の仕様を決め、

それに基づいたデータ管理をしているようです。

 

上記のような点にフォーカスをあてて、

貴社の情報セキュリティマネジメントシステムにおける文書化した情報の管理が整っているか、

見てみてはいかがでしょうか。