7.5.3 文書化した情報の管理
XXXマネジメントシステム及びこの規格で要求されている文書化した情報は、次の事項を確実にするために、管理されなければならない。
a)文書化した情報が、必要なときに、必要なところで、入手可能かつ利用に適した状態である。
b)文書化した情報が十分に保護されている(例えば、機密性の喪失、不適切な使用又は完全性の喪失からの保護)。
文書化した情報の管理に当たって、組織は、該当する場合には、必ず、次の行動に取組まなければならない。
–配付、アクセス、検索及び利用
–読みやすさが保たれることを含む、保管、保存
–変更の管理(例えば、版の管理)
–保持及び廃棄
XXXマネジメントシステムの計画策定及び運用のために組織が必要と決定した外部からの文書化した情報は、必要に応じて識別し、管理しなければならない。
解説:
前段のa)とb)は文書・記録の管理の原理原則です。
a)は使い勝手の良くないとダメ、b)は使い勝手が良すぎると情報漏えいなどの事故が起きやすく
なるので情報セキュリティの確保する必要性を主張しています。使い勝手と情報セキュリティを
両輪で考えるという意味です。
中段では具体的な管理方法を規程しています。
配付、アクセス、検索及び利用:前段のa)を具体化しています。決められたとおりに文書や記録を
保管しても、いざ使おうと思ったときにアクセスできなければ意味がありません。必要な情報に
何分以内にアクセスできたらよいか、ということを考えながら社内のルールを作ると良いです。
探す時間はムダです。
保管(storage)は「場所を決めてしまう」、保存(preservation)は「劣化防止」を意図しています。読みやすさが保たれるよう、文書・記録の経年劣化を予防するための対策を講じます。
変更の管理(control of change)は読んで字の如く変更管理です。文書の変更を想定しています。
記録は変更ではなく訂正です。訂正のルールを決めておくと良いです。
保持(retention)は、参考情報(ノウハウ)として情報を残す場合に使います。例えば、作業手順書は第三版が最新版ではあるが、初版や第二版も参考情報として残すという意味合いです。
廃棄(dispositon)は、資産などの重要なものを処分するという意味合いがあります。組織にとって情報は重要な資産なので、廃棄をする際も漏えいしないよう注意する必要があります。
※メルマガで配信したコラムを修正・加筆したものです