Monthly Archives: 4月 2018

JISQ15001「箇条4.組織の状況」について

改訂された2017年版JISQ15001ですが、以前の記事でご紹介したようにHLS(ハイレベルストラクチャー)の採用により構成が大きく変更されています。2006年版では本文として規定されていた内容が2017年版では付属書A扱いとなり、その代わり他ISO規格と同様のマネジメントシステムに関する要求事項を記載した本文が新たに設けられています。
今回はその「本文」において規定されている条文のうち、「箇条4.組織の状況」について詳しく解説していきます。
「箇条4.組織の状況」ですが、以下4つの細分箇条から構成されています。
4.1 組織及びその状況の理解
4.2 利害関係者のニーズ及び期待の理解
4.3 個人情報保護マネジメントシステムの適用範囲の決定
4.4 個人情報保護マネジメントシステム

では、それぞれの条文を詳しく見ていきましょう。
※『』内は条文の引用
『4.1 組織及びその状況の理解
組織は、組織の目的に関連し、かつ、その個人情報保護マネジメントシステムの意図した成果を達成する組織の能力に影響を与える、外部及び内部の課題を決定しなければならない
4.2 利害関係者のニーズ及び期待の理解
組織は、次の事項を決定しなければならない
a)個人情報保護マネジメントシステムに関連する利害関係者
b)その利害関係者の、個人情報保護に関連する要求事項
注記)利害関係者の要求事項には、法的及び規制の要求事項並びに契約上の義務を含めてもよい
4.3 個人情報保護マネジメントシステムの適用範囲の決定
組織は、個人情報保護マネジメントシステムの適用範囲を定めるために、その境界及び適用可能性を決定しなければならない。
a)4.1に規定する外部及び内部の課題
b)4.2に規定する要求事項
c)組織が実施する活動と他の組織が実施する活動との間のインターフェイス及び依存関係
個人情報保護マネジメントシステムの適用範囲は、文書化した情報として利用可能な状態にしておかなければならない
4.4 個人情報保護マネジメントシステム
組織は、この規格の要求事項に従って、個人情報保護マネジメントシステムを確立し、実施し、維持し、かつ、継続的に改善しなければならない』

このように、個人情報保護マネジメントシステムを組織に適用するのあたっての基本的な事項が規定されています。なお、条文を見ていただくとわかる通り、この内容はISMSの審査基準である「ISO27001:2013(情報セキュリティマネジメントシステム)」の本文とほぼ同様であり、情報セキュリティマネジメントシステムを個人情報保護マネジメントシステムと置き換えただけに過ぎません。
従って、ISO27001に精通した担当者の方であればすっと頭に入ってくることでしょう。しかし、これまでPマークを少しかじっただけという担当者の方にとっては非常に理解に苦しむ条文であることは間違いありません。
この条文を見慣れない方のために、箇条4.組織の状況において注意すべきこと以下短くまとめてみました。
1)外部及び内部の課題について
ここでいう「外部」とは、法律などの法的要求や新しい技術の発展、個人情報保護マネジメントシステムを運用するインフラの変更などが挙げられます。同様に「内部」とは担当者の人事異動による変更や組織変更、職掌変更などが挙げられます。これらの要因によって生じる課題を4.1で規定し、4.3によって文書化した情報へ落とし込む必要があるということです。
2)利害関係者について
利害関係者とは一般的に取引先、購買・外注先、従業員などが該当します。ただし、個人情報保護マネジメントシステムにおいては収集した個人情報対象者も利害関係者となります。保護すべき個人情報とその個人情報によって利害が発生する関係者が何を求めていて、何を期待しているのかを把握した上で4.2に規定された要求事項を決定しなければなりません。
3)適用範囲について
個人情報保護マネジメントシステムを組織内外のどこまで適用するかという境界線を定めなければなりません。個人情報を全く扱わない組織(部署)にまで適用すると手間やコスト面で損失が発生するケースもあります。適用範囲をしっかりと規定し、適用範囲外には決して個人情報を扱わせないといったオペレーションが求められます。

このとおり、箇条4.組織の状況はJISQ15001の運用に関して非常に重要な事項が規定されている箇所になります。内容をしっかりと理解し、自社の個人情報保護マネジメントシステムへ適切にフィードバックするよう心がけましょう。

Category: ISO

8.2緊急事態への準備及び対応 潜在的な緊急事態に対する要求事項とは?

改訂された2015年版ISO14001「8.2緊急事態への準備及び対応」では、「6.1.1一般」において特定された潜在的な緊急事態及び事故に対する準備や対応について規定されています。
この「6.1.1一般」ですが、緊急事態として火災や人災、事故による大気や河川への有害物質の漏えいなどといった環境に影響を与える可能性のある潜在的な事態が項目として挙げられています。つまり、これらの緊急事態にどのように準備し対応するかを具体的に規定しているということです。なお、2004年版では「4.4.7 緊急事態への準備及び対応」として規定されていましたが、今回の改訂でより具体的な対応が求められるようになっています。では実際の条文を見ていきましょう。

※以下『』内は条文引用
『8.2「緊急事態への準備及び対応」
組織は、6.1.1で特定した潜在的な緊急事態への準備及び対応のために必要なプロセスを確立し、実施し、維持しなければならない。
組織は次の事項を行わなければならない。
a) 緊急事態からの有害な環境影響を防止又は緩和するための処置を計画することによって、対応を準備する。
b) 顕在した緊急事態に対応する。
c) 緊急事態及びその潜在的な環境影響の大きさに応じて、緊急事態による結果を防止するための処置をとる。
d) 実行可能な場合には、計画した対応処置を定期的にテストする。
e) 定期的に、また特に緊急事態の発生又はテストの後には、プロセス及び計画した対応処置をレビューし、改訂する。
f) 必要に応じて、緊急事態への準備及び対応についての関連する情報及び教育訓練を、組織の管理下で働く人々を含む関連する利害関係者に提供する。
組織は、プロセスが計画通りに実施されるという確信をもつために必要な程度の、文書化した情報を維持しなければならない。』

このように2015年版のISO14001ではa)~f)までの6項目にわたり具体的な対策を「行わなければならない」と記されています。これらの項目について、大きな観点で見れば2004年版とさほど変わりはありません。しかし、対策を具体的に踏み込んで記載している点にご注意ください。その内容は至って常識的ではありますが、これらの内容を形骸化させず組織として順守するためには並大抵ではない労力や注意が必要であることもお分かりいただけるでしょう。
なお、事故や人災に起因する緊急事態は、d)の項目に当てはめてみると「実行可能」なテストには該当しないでしょう。故意に事故や人災を発生させて環境汚染を引き起こすことは倫理的に不可能であると考えられるからです。しかし、万が一事故や人災が発生し、計画していた対策が機能しなかった場合の責任は重大です。この点に留意し、可能な範囲で実証実験などを行い定期的なテスト及びレビューを繰り返すことが、規定を形骸化させない重要なポイントになると思われます。
また、緊急事態への対応プロセスについては必ず現場の意見を取り入れることが求められます。ISO担当者だけで作成されたプロセスでは実際の運用上で課題が残るケースが散見されます。必ず現場のプロセス及び第三者機関によるチェックなども行う必要があるでしょう。
いずれにせよ、万が一の緊急事態は企業の命運を左右しかねない事態へと発展することがあります。念には念を入れ、準備及び対応をしっかりと見直すいい機会ではないでしょうか。

Category: ISO