Monthly Archives: 3月 2018

既存取得事業者の更新申請可能期間についての注意点

2017年12月20日に改訂されたJISQ15001。既にプライバシーマークを取得している企業にとっては、いつまで現行の審査基準で継続可能であるのか、新しい審査基準による申請はいつから可能になるのかなど、更新申請可能期間については気になるところです。

プライバシーマークの有効期限は2年間です。通常、プライバシーマークの更新は有効期間の終了する8か月前から4か月前までの4か月の間に行わなければならないとされており、有効期間内に審査を終え更新することが求められています。

今回のJISQ15001の改訂により、プライバシーマーク取得に関する審査基準も変更されました。従って、今後プライバシーマークの更新を行う企業においては、いつまで改訂前の基準で更新できるのか、いつから改定後の基準に準じなければならないのかを明確に把握し、更新のタイミングを見計らう必要があります。

ではまず新しい審査基準を含めた更新スケジュールを見ていきましょう。プライバシーマークを管轄するJIPDEC(一般財団法人日本情報経済社会推進協会)によると、プライバシーマークの更新に関するスケジュールを以下のように公開しています。

 

2017年12月20日 新JIS公示

2018年1月12日 新審査基準公表

2018年8月1日 新審査基準による審査受付開始

2020年7月31日 現行審査基準による審査受付終了

 

あわせて、更新については以下のような注意が必要です。

 

「2018年1月12日~同8月1日を「移行準備期間」、2018年8月1日~2020年7月31日を「移行期間」と定める

移行準備期間中及び移行期間中に現行審査基準で更新できるのは1回まで。

移行準備期間中の審査は現行審査基準のみ

移行期間中の審査は現行審査基準と新審査基準どちらでも申請可能

移行期間終了後はすべて新審査基準による申請受付となる」

 

このように記載されています。プライバシーマークの更新が2年単位であることから、このスケジュールだとすべての事業者が少なくとも1回は現行審査基準で申請が可能となります。ただし、移行期間中に現行審査基準で審査を受けた場合、次回更新審査時(新審査基準適用)までに基準をクリアできるよう、継続的改善に準じる指摘を受ける場合があります。

なお、現行基準でも新基準でも更新後のプライバシーマークに種別の違いはありません。

では、自社のプライバシーマークの更新をどちらの基準で行えばよいかについて解説します。

新審査基準が既に公開されているとはいえ、自社の体制を新基準に適合させるにはそれなりの時間を要します。また改定後しばらくは審査員も試行錯誤となり、ミスジャッジを下す可能性があります。またプライバシーマークの更新を支援するコンサルタントも、新審査基準に関するノウハウが蓄積されるまでしばらく時間がかかるでしょう。

従って、移行期間中の更新については、とりあえず現行審査基準をベースに申請を行うことが賢明であると言えます。

具体的な日付でご説明しましょう。

仮に現在のプライバシーマークの有効期間が2017年3月5日~2019年3月4日である場合、満了日の8か月前は2018年7月4日、4か月前は2018年11月4日です。従ってこの期間内に更新手続きを行う必要がありますが、その際は現行基準での申請で大丈夫です。

無事原稿基準で更新されたプライバシーマークは2021年3月4日まで有効となります。次の更新となるタイミングで新審査基準に適合させた申請を行えばよいということです。

なお、新審査基準に適合させるには少なくとも4カ月程度の準備期間が必要だと言われています。仮に早急に2017年版へ移行したいと考える場合、公開された新基準に基づき社内体制を整備する必要があります。

また、JIPDECでは新審査基準に関する研修会を各地で行っています。プライバシーマーク担当者はぜひ受けておくべき内容ですので、都合をつけて参加してみましょう。

Category: ISO

8.1運用の計画及び管理  PDCAの運用に関する要求事項を規定する

ISO14001:2015版では、「8.1運用の計画及び管理」が含まれる箇条8は、環境マネジメントシステムにおけるPDCAの運用を構成する要素であり、そのプロセスの運用及び実施、あわせて緊急事態への対応といったさまざまな要求事項を規定している部分になります。

旧2004年版では「4.4.6運用管理」に該当する内容が多く、HLS(ハイレベルストラクチャー)の採用により各ISO規格間で共通の条文や用語を使用しています。

特に「8.1運用の計画及び管理」においては、環境マネジメントシステムの運用管理について細かく規定されており、細分箇条6.1や6.2で特定した、リスク及び機会・著しい環境側面といった取組みを実施するために必要となるプロセスを管理することを求めています。

それでは詳しい条文を見ていきましょう。

 

 

「8.1運用の計画及び管理

組織は、次に示す事項の実施によって、環境マネジメントシステム要求事項を満たすため、並びに6.1及び6.2で決定した取組みを実施するために必要なプロセスを確立し、実施し、管理し、かつ、維持しなければならない。

・プロセスに関する運用基準の設定

・その基準に従ったプロセスの管理の実施

※注記 管理は、工学的な管理及び手順を含み得る。管理は、優先順位(例えば、除去、代替、管理的な対策)に従って実施されることもあり、また、個別に又は組み合わせて用いられることもある。

組織は、計画した変更を管理し、意図しない変更によって生じた結果をレビューし、必要に応じて、有害な影響を緩和する処置をとらなければならない。

組織は、外部委託したプロセスが管理されている又は影響を及ぼされていることを確実にしなければならない。これらのプロセスに適用される、管理する又は影響を及ぼす方式及び程度は、環境マネジメントシステムの中で定めなければならない。

ライフサイクルの視点に従って、組織は、次の事項を行わなければならない。

a)必要に応じて、ライフサイクルの各段階を考慮して、製品又はサービスの設計及び開発プロセスにおいて、環境上の要求事項が取り組まれていることを確実にするために、管理を確立する。

  1. b) 必要に応じて、製品及びサービスの調達に関する環境上の要求事項を決定する。
  2. c) 請負者を含む外部提供者に対して、関連する環境上の要求事項を伝達する。

d)製品及びサービスの輸送又は配送(提供)、使用、使用後の処理及び最終処分に伴う潜在的な著しい環境影響に関する情報を提供する必要性について考慮する。

組織は、プロセスが計画どおりに実施されたという確信をもつために必要な程度の、文書化した情報を維持しなければならない。」

 

 

このように、ISO14001:2004年版の「4.4.6運用管理」をより具体的にそして細かいレベルまで落とし込んだ内容となっています。一見すると要求事項が大幅に増えたようにも見えますね。また、プロセスという単語が何を意味しているのか、その把握の仕方によっても受け取る内容が異なってくる可能性があります。

わかりやすく整理すると、このプロセスというのは環境マネジメントシステムを運用する上で必要な活動や作業と言い換えても良いです。そして細分箇条6.1や6.2で定めた「環境目標」「順守義務」「環境側面の特定」「リスク及び機会への対応」の各項目に対し、誰が、いつ、何を、どこでやるのかという5W1Hを明確にしておきましょうということです。

また、ここで規定すべき内容については、「ライフサイクルの視点」という用語が用いられています。つまり、材料の調達から製品の運搬、実際の使用場面、使用後の処理廃棄に至るまで、すべての段階で運用を明確にしておく必要があるということです。

ただし、小項目a)冒頭に「必要に応じて」という文言があります。つまり、「組織が必要と判断した場合」という条件付きです。環境マネジメントシステムの運用において、自社の活動が各種要求事項を満たしているかを確認し、仮に足りないと判断した事項のみ活動に追加していくという柔軟性が持てるということです。

最後に「8.1運用の計画及び管理」の規定内容を今一度わかりやすくまとめると、

・環境マネジメントシステムの「変更」を管理し、意図しない「変更」によって生じた結果をレビューすること

・外部委託したプロセスが管理されていることを確実にすること

・ライフサイクルの視点に従って要求事項を確実に反映させたり環境上の要求事項を伝達したりすること

となります。各組織においては不十分な箇所をピックアップし、旧2004年版からの改善へと進める必要があります。

Category: ISO