Monthly Archives: 5月 2018

JISQ15001「箇条6.計画」について

改訂された2017年版JISQ15001は、HLS(ハイレベルストラクチャー)の採用により本文が他ISO規格と共通の章立てとなり、旧版における本文が付属書扱いとなっています。つまり、個人情報取り扱いに関する具体的な取り組みは付属書によって規定されており、本文ではISO共通のマネジメントシステムについて触れているという形になります。

このような経緯があるため、本文と付属書との間には内容が重なっている部分が見受けられます。例えば今回ご紹介する本文の「箇条6計画」について。旧版の本文(今回の付属書A)にも「3.3計画」という条文があり、どちらもマネジメントシステム及び運用場面においての計画を策定することを要求しています。

従って、各担当者においてはこの2つの「計画」の内容に相違が生じないように配慮しなくてはなりません。

では具体的に条文を見ておきましょう。

※『』内は条文の引用

『6.1.1一般

6.1.1 個人情報保護マネジメントシステムの計画を策定するときには,組織は,4.1に規定する課題、および4.2に規定する要求事項を考慮し,次の事項のために対処する必要があるリスクおよび機会を決定しなければならない。

a) 個人情報保護マネジメントシステムがその意図した結果を達成できることを確実にする。

b) 望ましくない影響を防止又は軽減する。

c) 継続的改善を達成する。

組織は次の事項を計画しなければならない。

d)上記によって決定したリスク及び機会に対処する活動

e)次の事項を行う方法

 1)その活動の個人情報保護マネジメントシステムプロセスへの統合及び実施

 2)その活動の有効性の評価

6.1.2個人情報保護リスクアセスメント

組織は、次の事項を行う個人情報保護リスクアセスメントのプロセスを定め、適用しなければならない。

a)次を含む個人情報保護のリスク基準を確立し、維持する

 1)リスク受容基準

 2)個人情報保護リスクアセスメントを実施するための基準

b)繰り返し実施した個人情報保護リスクアセスメントに、一貫性及び妥当性があり、かつ、比較可能な結果を生み出すことを確実にする。

(中略)

組織は、個人情報保護に関する文書化した情報を保持しなければならない。

組織は個人情報保護目的をどのように達成するかについて計画するとき、次の事項を決定しなければならない。

(以下略)』

一通り条文を読んでみるとわかりますが、HLS(ハイレベルストラクチャー)によって共通化した弊害とでもいうべきか、非常にわかりにくい文章になっています。個人情報保護マネジメントシステムの運用やリスクについて「決めなければならない」と規定しているだけであり、何をどのように定めればよいかといった具体的なことが明記されていないのです。

過去において何かしらの形でISOに携わった担当者であればさほど抵抗は無いでしょうが、Pマークしか担当したことの無い担当者にとっては意味不明かもしれませんね。さらに付属書Aにも個人情報保護マネジメントシステムの計画に関する規定があるためさらに混乱してしまうことでしょう。

付属書Aの「3.3計画」においては、個人情報の特定やリスクアセスメント及びリスク対策などについて「少なくとも年1回、適宜に見直さなければならない」といった感じで具体的に規定されています。従って、まずは付属書Aの規定に従って個人情報保護マネジメントシステムの計画を行い、本文に照らし合わせながら策定するという手順が良いでしょう。

このように、2017年版JISQ15001においては条文構成の変更により混乱することが想定されます。Pマークの更新といった実際の運用場面においては、付属書と本文とを照らし合わせながら柔軟な対応を行う必要がありますね。

Category: ISO

9.1監視、測定、分析及び評価 PDCAサイクルを円滑に進めるための確認とは?

環境マネジメントシステムにおけるPDCAをより強く意識して改訂された2015年版ISO14001。「9.1監視、測定、分析及び評価」においては、PDCAのC(Check)にフォーカスした内容となっています。箇条9の「パフォーマンス評価」全体では監視、測定、分析、評価、順守評価、内部監査、トップマネジメントにおける体系的なレビューなどに関する要求事項を規定しており、そのうち「9.1監視、測定、分析及び評価」においては、順守すべき事項がしっかり遂行されているかを評価する方法などを定めることとなります。

ではまず細分箇条である「9.1.1一般」から見ていきましょう。「9.1.1一般」は旧2004年版における「4.5.1 監視及び測定」に該当する内容です。HLS(ハイレベルストラクチャー)の採用により各ISO共通の要求事項ともなっていますが、評価の対象を定め、どのように評価するのか、いつ評価するのかなどを組織内でしっかりと規定することを要求しています。具体的な条文は以下の通りです。

※以下『』内は条文引用

『9.1.1一般

組織は,環境パフォーマンスを監視し,測定し,分析し,評価しなければならない。

組織は,次の事項を決定しなければならない。

a) 監視及び測定が必要な対象

b) 該当する場合には,必ず,妥当な結果を確実にするための,監視,測定,分析及び評価の方法

c) 組織が環境パフォーマンスを評価するための基準及び適切な指標

d) 監視及び測定の実施時期

e) 監視及び測定の結果の,分析及び評価の時期

組織は,必要に応じて,校正された又は検証された監視機器及び測定機器が使用され,維持されていることを確実にしなければならない。

組織は,環境パフォーマンス及び環境マネジメントシステムの有効性を評価しなければならない。

組織は,コミュニケーションプロセスで特定したとおりに,かつ,順守義務による要求に従って,関連する環境パフォーマンス情報について,内部と外部の双方のコミュニケーションを行わなければならない。

組織は,監視,測定,分析及び評価の結果の証拠として,適切な文書化した情報を保持しなければならない。』

このように、条文内ではa~eのそれぞれついて組織内で決定することを義務付けています。

ではこれらの内容を実際の運用場面に照らし合わせてご説明します。まずaにおいては、評価の対象を何にするかを定めなければなりません。この場合、過去にご紹介した「6.1リスク及び機会への取組み」で規定された取組みの有効性、「6.2環境目標及びそれを達成するための計画策定」で設定された目標やアクションプランの進捗、「7.2力量」で作成された教育訓練計画の進捗、「7.3認識」で構築された認識向上プログラムの実施状況などが評価対象に該当します。

これらの対象について、どのような方法で監視~評価を行うかを定めること(b)、その際の基準や指標を定めること(c)、いつ評価を行うのかを定めること(d)、そして結果を分析するもしくは評価する時期も定めること(e)を定めています。
こうやってみると、改訂版の環境マネジメントシステムにおけるPDCAサイクルを回していくことの重要性を強く意識していることが伺えます。これまでのPDCAプロセスにおいてはPとDにフォーカスが当たることが多く、Cについては後回しになりがちでした。しかし、今回の改訂でこのようにCについてもはっきりと「要求事項」となり、これまで以上に環境マネジメントシステムにおけるC(Check)の重要性が増したと言えるでしょう。

Category: ISO