お問い合わせ

受講後のFAQ(よくある質問と回答)

内部監査について

Q  内部監査に関連する様な資格はあるのでしょうか?
A  JRCA承認内部監査員資格がございます。弊社ではJRCA承認ISO9001内部監査員養成研修を開催しております。詳細はこちらをご参照ください。
Q  2008年版と2015年版で内容に差はないようですが、監査の観点で注意、留意することはありますか。
A   規格の要求事項に大きな変更は特にございませんが、2015年版では「4.1 組織及びその状況の理解」という項目が新たに追加され、要求事項の一番最初にあります。
これは、そのマネジメントシステムに取り組むにあたって、現状の課題、しっかりと認識したほうが良いであろう問題点を、 まず把握しておきましょうといった要求事項です。
現場の人たちが、自分たちの問題点や気を付けるべきこと、課題等をしっかりと認識して業務に取り組まれているのかといったことを監査で確認します。
品質マネジメントシステムの意識付けのためにも、しっかりと監査で確認することが望まれます。
研修中にもお話しいたしましたことですが、監査基準への適合性という観点だけではなく有効性を重視した内部監査が行われることを期待します。
Q  内部監査時に不適合と観察の判断基準をどうかんがえたらいいのか
(監査員の力量? 経験によって判断が異なった場合の対処は?)
A  不適合と観察の判断基準は、テキストに記載されているように、不適合=監査基準とズレがある状態(監査基準:ISO規格要求事項、社内ルール(品質マニュアル、規定、手順類)
観察=不適合とは言い切れないが、改善の余地があるもの
将来不適合が発生するおそれがあるものになります。
監査員の力量、経験により判断基準が異なることは、良くないです。
上記、監査基準があるのか?監査基準に対して適合していないといえるのか?
の判断でお願いいたします。ただ、”前回も同じ指摘があった”、”社内で問題視されていること”等を理由に、
監査チームで話し合い、あえて観察→不適合と判断する場合もあります。
その場合は、「本来は観察事項の指摘になるが、監査チームで話し合った結果、
○○○の理由であえて不適合と判断します」等の説明をされた方が良いかと思います。
Q  内部監査において、指摘の判断は、監査員の見解(総意になると思いますが)が、最終判定というつもりでよろしいでしょうか。

A  実際の内部監査で指摘をする際は、根拠となる監査基準と監査証拠を明確にすることを心掛けてください。

内部監査員の監査結論に対し、被監査者が同意しなかった場合、一般的にはその指摘は無効となります。従って、ご質問にある「最終判定」には被監査者の同意が必要であるといえます。

Q  内部監査員の心構え等を知りたかった。
A  質問に対する回答ですが、明確な答えは無いと思います。
(シチュエーション(組織のマネジメントシステムの成熟度、
監査員の経験(力量)によっても異なると思います)今お答えするのであれば、
心構え
・テキスト内のISO19011に記載されている 監査員としての力量、個人の行動が模範解答になるかと思います。
・想いを簡単に言うのであれば、”内部監査員として自社のマネジメントシステム
の改善するきっかけを作る!”でしょうか。
Q  実際の監査では回答集はないので、監査員の中で監査基準が複数出た場合、どう選ぶべきなのか?
どちらも正解に見える時の選択が難しいと思いますが、どうすべきでしょうか?
A  監査員は、特定の監査基準を念頭に置いて質問しているのが通常でしょうから、まずはそれを 監査基準に考えることになる、と思います。
応対者との質疑をスムーズに進めるためには、「要求事項〇〇は~を要求していますね。
それに関して質問します」と切り出すのがスマートかと思います(監査基準が明確になります)。
不適合の事象のみにとらわれるのではなく、一連のやりとりの文脈から考えて的確な監査基準を選択することがポイントと考えています。
そうは言っても、実際の場面ではいくつかの基準が考えられることもありますので、その中で ピンポイントの基準は何か、を考えていけば必然的に絞られてくるかと思います。これも経験と訓練を積むことによって監査基準の妥当性の納得感が高まっていくと考えています。
Q  内部監査でどこま見抜けるか、被側の事前調や現状把握仕方にノウハなあれば教えてほしい。
また、監査の標準的な時間はどれくらでょうかほしい。
A  標準的な監査時間は2程度でしょうか。
その中で、重要テーマ一つにいてしっかり身濃監査をたすね。
そして、四半期ごとに計画すれば、1年間で4つの重要テーマについて監査できます。
監査目的:期待した成果が出ていない重要課題について、仕組み上の問題を抽出し、その仕組みを改善。
事前打合せ:今、何が問題か。解決すべき課題は何か。何がうまくいっていないのか。
(どういう活動をやってきたのか、効果のほどはどうか、何が問題と認識しているか等)質問の事前提出:事前打合せに基づいて、質問項目を事前提出する(監査側)
質問への回答(事前提出):事前提出された質問への回答を文書で提出(被監査側)
監査の実施:事前入手した回答をベースに、詳細に監査を実施する
監査の振り返り:双方が得られた気づき、良かったこと、今後の改善点等(アンケート形式で収集)
監査風景のビデオ撮影:監査のやり方の改善、教育ツールとして使用
Q  内部監査の際に、明らかに間に合わせで資料を作った(同じ筆跡で違う名前の記入が
ある等)という場合、指摘をし、改善を促した方が良いのかどうか。
A  間に合わせで資料を作った確たる証拠がありましたら指摘の対象となりますが、一般的には、筆跡が同じように見える程度では、指摘(不適合)の対象にはならないでしょう。
このような場合には、さらに深く踏み込んだ質問により、その証拠になり得る事実を確認して
いくとよいでしょう。それでも、証拠が集まらない場合には、観察事項程度にとどめ、
マネジメントレビューのインプットとし、トップの判断を仰ぐのが良いかと思います。
Q  内部監査を実際に行った場合、監査側が被監査側の発言に対して“観察”という言葉を
発言しても被監査側は理解できないと思うのですが、事前に話した方が良いのでしょうか。
A  内部監査を実施する前、例えば初回会議(オープニングミーティング)等の場で、
内部監査による指摘の種類、不適合及び観察の説明を被監査側に行ったほうが良いでしょう。
不適合の場合は、原因究明、再発防止策といった是正処置を行い記録をとること、
観察の場合は、強制ではないが、有益な指摘であれば任意で取組むものであること、といった ことです。
また、“観察”という指摘の呼称は一般的なものでありますため、貴社ではどのような指摘の
種類があるのか、一度ご確認してみてください。
企業(組織)によって、指摘の呼称や、その対応には様々あるようです。
Q  監査基準が2つ、3つにまたがる場合などの判断はどうしたらよいでしょうか?
A  監査基準が複数にまたがる場合は、1つに絞り込むことをお勧めします。
1つに絞り込む際は、「どのような改善をしてほしいか」を検討いただく必要があります。ケーススタディ4でも、コミュニケーションに関する例題がありました。
会社全体のコミュニケーションの枠組みに対して指摘をしたほうがよいと判断すれば、
5.5.3を用いるべきでしょうし、設計部門固有の問題として指摘する場合は7.3.1を用いる べきと存じます。
Q  有効性の合否
A  有効性の定義は、研修でも説明しましたが「計画した活動が実行され、計画した結果が達成された程度」です。
適合性とは異なり、「合否」という言葉は不適切と考えます。どのような状態であれば有効で、どのような状態であれば有効でない、と判断するかは、自社で基準を設定するのが良いです。(例えば、計画に対して進捗80%未満の場合は有効でない)
Q  観察事項と不適合の違いは、その評価の後に是正処置をするかどうかだけですか。
その他には何か違いはありますか。
A  不適合と観察の対応は質問のとおりで、是正処置を行うか否かの違いです。
(但し、観察事項は不適合ではないが、企業により対応を求める場合があります)
Q  審査機関からよくある指摘で、4.4.2教育訓練の要員への適切な教育各部門、部署にてニーズに合った教育訓練を計画するが、教育内容に不足が感じられた場合、それを指摘とするのはいかがなものか?
A  教育訓練の目的は、
①要員の力量確保の為の教育及び
②環境側面及びEMSに伴うニーズを満たすため・・・
であるがいずれの場合も組織がこれらを実現させることが要求されているため、
教育内容に不足がある場合は、組織としての義務が果たせていないため、不適合の対象になります。又、求める力量と要求するニーズが必要以上に高すぎる場合も「教育内容の不足」
につながるため、求めるモノのレベルが適切であるかどうかも問われるため、両面から確認する必要があります。
Q  有効性評価の際、パフォーマンスが悪いがプロセス(PDCAの運用)は良好である場合どのような評価にしたらよいか。
A  1)「適合」と評価して戴きたいと思います。
ISO規格4.1継続的改善(S01)の要求事項に適合しています。パフォーマンスを上げるためにPDCAを適切に回していることは大変素晴らしいことですので、多いに褒めて高く評価して戴きたいと思います。
そして今はパフォーマンスが低くともPDCAを回し続ければ必ずパフォーマンスが上がっていくことを伝え、勇気づけて戴いたらいかがでしょうか。
2)
a. ISOではご承知のようにプロセスを重視しております。パフォーマンスを良くするために、どの様にプロセスの改善活動(PDCAの適切な運用)を行っているかを注視しております。b. またISOは長期的な見方をしておりまして、今はパフォーマンスが低くても、PDCAを回してプロセスの改善活動を続けて行けば、やがては(必ず)パフォーマンスは良くなると言う考え方であります。c. 従ってISOではパフォーマンスは判定(評価)の対象にはしておりません。d. パフォーマンスを上げるためにプロセスを改善したけれどもパフォーマンス が上がらなかった或いはパフォーマンスが下がってしまったということは現実 には起こります。試行錯誤を繰り返さなければならない時もあります。その場合でも、PDCAを適切に回し続ければ、やがてパフォーマンスは良くなっていくとの考え方です。
偶然や幸運を期待する場合は別ですが、高い確率でパフォーマンスを上げるための手段としてはこれ(PDCAの適切な運用)が一番良い方法であると主張しているのがISOであります。
なお、品質管理の分野でも全く同じ見解が示されております。
Q  個人的に内部監査をするにいたりチェックシートの作成がネックになってくると思うのですが、やはり本日事例として教えて頂いた通りでも大丈夫でしょうか?
A  ・内部監査チェックリストは内部監査の目的に応じて作成いたします。
・内部監査の目的が「効果、改善の箇所を見つけ出す」でしたら今回の午後のチェックリストで十分です。
・監査目的が「運用状況の確認」ですと、単純に規定、手順書等で定められた内容のオーム返しの質問となります。ほとんどの事業者は、内部目的が「運用状況の確認」となっています。
ぜひ、「効果、改善の箇所を見つけ出す」内部監査でチャレンジしてください。
Q  初めてISMS内部監査を実施する時の質問事項チェックリストには、どのような内容となるか(ISMS取得前)
A  初回内部監査につきましては、内部監査目的は、ルールの理解度の確認で結構です。
よって、質問事項もリスクアセスメントを実施した結果でできるルールをひとつひとつ確認することを推奨します。例:ルール:メールを送信する前は必ず、送付先、送付内容を確認する。
チェックリスト:メールを送信する前には、どのような事を注意していますか?※ISMSは基本的なルールが多いです。基本的なことを当たり前に知っていて、実施していることの確認に心懸けてください。
Q  内部監査のチェックリストは「規格」からではなく「社内規程」からチェック項目のほうがよいか?
A  研修でも触れさせていただいた通り現場監査であれば、監査基準が明確である事由から 「社内規程」からチェック項目を作成するほうがよいです。
Q  ISMSの内部監査で、不適合となった際の是正処置について良い例とその理由などを教えてください。適合状況が崩れてしまう理由に傾向がありますか。
A  不適合と判定する基準は、以下の通りです
a) 自社で定めたマニュアルや規定書が規格要求事項を満たしていない
b) 自社で決めたマニュアルや規定書通りに作業をしていない
c) セキュリティ事故を起こした
d) 法令違反(著作権違反・個人情報保護法違反)を起こした
e) 目的が達成出来なかった
これらが適合状況を崩してしまう例です
a)~e)の不適合が発見されれば是正処置をする必要があります。
a)~e)の不適合が発生した根本的原因を除去する処置が是正処置です。
Q  「手順を確立・決定」とある場合、手順書を見せてもらう以外の方法
A  規格で「文書化」が要求されていない「手順」については、実際の情報取り扱いを確認する方法があります。
例:ログオン、メール送付など
Q  全てのshall項目を監査する必要があると思いますが、それは2時間で済ますには、何か良いポイントはあるでしょうか。
A  1回の監査で全てのshall項目を監査する必要はありません。
「監査はサンプリングにより行われる」という監査後会議の手順の中でも説明したとおり、
2時間で監査できた一つのサンプルという意味でもあります。
何回にも分けて監査を行うことにより、全部のshall項目が確認できれば良い。
従って2時間という制約条件の中でスピードを意識した監査は必要ありません。
又、1回の監査で全ての要求事項を確認することは出来ないので1回/年の監査計画で対処するということにも問題があるので年間監査計画で工夫するとよい。但し、認証を目的とした内部監査の場合は、内部監査により全てのshall項目及び全ての被監査部署が監査終了しており、QMSは全て検証できていることが求められるため、短期間の間に全てのshall項目を内部監査により検証できているようにするために、工夫することが必要になります。

ISO運用について

Q  すべて文書管理のためにペーパーを残す風習があり、ペーパーに印を押す必要性は理解しているがかなりの紙の量になる。何か良い方法はあるか。
A
1) ISOでは文書化(記録を含めて)について4.2.1で
・必ず文書にするのは、
a)品質方針と品質目標
b)品質マニュアル
c)”文書化された手順”並びに“記録を取れ”と規格に書いてある部分であり
・それ以外の文書化は
d)企業で決めてください(企業の自由裁量でOK)
と書かれていて、文書化の要求は少なめになっていると思います。2)ご質問は上記d)の部分のことと思われますので以下この部分についてご説明したいと思います。3) 仕事を実施するにはそのプロセス(仕事の手順等)を先ず決めて、その決められたプロセス に従って仕事を実施することになります。この場合文書がなくとも決められたプロセスの通り に仕事が確実に実施されるのであれば文書は不要になります。文書があった方が或いはないと確実に実施されない(恐れがある)場合は文書が必要になります。
文書は作るのも読むのもそれなりの労力も必要ですし、コストの上昇や紙の問題が生じるのはご指摘の通りと思います。
口頭で打ち合わせをすれば済むような業務を文書化するのは、無駄につながりかねません。4) 埼玉県や群馬県に参りますと実際の仕事は日系ブラジル人がしていて管理者だけが日本人 という工場を見かけます。そこではポルトガル語の分厚いマニュアルが用意されています。
風俗習慣や考え方が違い会話でのコミュニケーションも難しいので、文書が重要な役割を果たしているように見受けられます。
アウンの呼吸で意思が通じてしまう日本人のみの場合とは文書の役割に大きな違いがあることが分かります。5) また文書化の意味は研修でも申し上げましたが、
a)コミュニケーションの手段として
b)知識の蓄積のため(再利用するため)
c)証拠を残すため
に要約されると思います。6)これまでご説明致しました点につきご点検戴きまして、現在の文書の見直しをなされたら   いかがでしょうか。7) そして紙の文書を整理された上で、電子媒体化することも考えられます。
この場合は
a)セキュリティ(ウイルス対策、アクセス者の管理、情報の漏洩対策など)と
b)バックアップ(コピーを別の場所に確保)
にご留意戴きたいと思います。
Q  工場でISOを取っている場合、顧客はお客さんではなく、本社と考えてもよろしいでしょうか。
顧客とやり取りをするのは本社ですが、本社はISOを取得していません。
工場から見ると、本社が顧客と考えると理解しやすいですが。
A
顧客を本社と考えてよいか、というご質問に対しての回答ですが、だれを顧客と特定するかは、会社で決めていただくのが良いです。
エンドユーザーを顧客と捉えるのが、顧客満足の観点では望ましいです。本社がISOを認証取得していないとしても、本社は顧客から顧客満足に関して何らかの情報収集をされていると思います。顧客要求事項に合致した製品を提供し続けるためにも、本社をとおして、エンドユーザーが何を要求していらっしゃるのか、といった情報交換ができると良いと思います。
Q  是正処置が多い会社は悪い会社といえるか
A
是正処置の内容によると思います。
同じような内容の是正処置がたくさんある場合は、そもそも是正処置が機能していない、と判断できるかも知れません。種々の是正処置が発生している場合は、改善に対して前向きと考えることができると思います。是正処置のポイントは、原因追究ができているか、ということと、実施した是正処置の有効性をどのように評価しているかです。すなわち、実施した是正処置が有効である(役に立っている)と判断した根拠が具体的に提示することができれば最高です。
Q  社内メンバーでISO14001がまんねりになっているので、何か良い研修や情報共有させるしくみを作りたいので、教えてもらいたい。
内部監査をうまく回せるこつ、上司が正しく理解してもらえる体制作り
A
監査員研修を派遣型ではなく、
社内に講師を招き、業務フローとの関連を明確にするようワーク形式で行う。
(例えば、環境側面と目標の関連の見直しなど)口頭での質問内容等を考慮し、環境ISOの活動目的を再度明確にするとよいのではないかと思いました。上司の方々も交えて、外部のスタッフと監査を行うことも一つの策ではないかと考えます。内部ではなかなか進まないことが外部の圧により、動き出すことがあります。
Q  新しい文書を部門で決めた場合、登録が必要かどうか
A
1.)ISO9001:2008の4.2.3文書管理の対象は、4.2.1に規定された“品質マネジメントシステムの文書”です。
2.)QMSの文書であれば、4.2.3 a)で事前の承認、c)で現在有効な版の識別 ほかが要求されています。
3.) 4.2.3 c)の要求を満たすため、帳票(講義の中で説明しましたが、様式とも言われ、文書です)管理のための登録・台帳作成などが行われます。すなわち、文書の作成が部門内かどうかでなく、文書の目的・内容で管理が必要かが決まります。
一般的な考え方として、「教育記録の為の用紙を新しく作成した」場合、すでにある用紙が使いにくいとかの理由があると思われます。新しい用紙はこれを改良したものであれば、これを会社内に広める意味で、登録して使用するのがよいかと思います。[6.2.2 e)のため、4.2.1 d)に該当]
Q  内部監査員とIS014001推進委員の兼任はOKなのでしょうか?
A
監査の基本は、監査者によって「不公平が生じないこと」です。
そのため、監査員が直接に関与するプロセス、または部署の監査は担当できない、というのが原則です。
この原則が守られるということを前提として、実務面では、実質的に環境業務に直接関与していない範囲については監査することができます。
Q  不適合事例で要求事項を複数ある場合は全てに改善が必要ですか?
感情をこめず事実のみの場合は複数の場合はむずかしいのですがいかがでしょうか?
A
不適合を指摘する際、不適合の内容が明確になるように基準となる要求事項を選びます。
複数の基準が想定される場合、要は、不適合の状況が明確に事実として浮かび上がることを考慮して、基準となる項番を選択します。
研修で説明したように、「表面に見えている事実」で追うのが原則です。一番近い項目を一つで十分です。不適合が起こっている原因や背景まで考えて、項目番号を考慮する必要はありません。例:教育訓練記録が実施部署から管理責任者の手元に届いていない。
4.2.2 教育訓練記録がない のが事実ですが、背景として部門間コミュニケーションがうまく動いていない、という指摘もできます。
Q  2006年よりISO14001を取得しましたが、改善も限界になり方針に揚げている電療量とコピー用紙の削減を抑制に変更しました。
目的・目標から削除し「運用」に変更しても良いのでしょうか?
A
「電力量、コピー用紙の削減」を環境目標から運用に切り替えていいか?ということですね。
環境活動と目標は、同じ実施施策を繰り返してゆくと、数年で目標を達成してしまい、挑戦的な改善の要素が小さくなります。
ただ、これらの項目は環境側面や環境方針に取り上げられていると思いますので、管理する目標として捉えておくことが必要です。
以下のように、環境目標を二つに分けてはいかがでしょうか?
・新たな施策や対策を実施する場合・・「挑戦目標」
・ある程度達成してこれ以上の改善が難しい、
ただし、監視しておくことは必要な項目  → 「維持管理目標」
いずれも、管理指標を設定することが前提です。維持管理目標については、普段は特別な活動や施策をしない。
実務的には、電力使用量や紙使用量等に関して、一定範囲(例 プラスマイナス5%)を設定
し、毎月その範囲に収まっているかを監視します。
その範囲を超えたときに、アラームがなるようにしておいて、原因追求、対策を実施する。
このように効率的に目標設定しておくことで、挑戦的な活動に集中することができるのではないでしょうか。
Q  第三者認証時「あらかじめ定めた間隔」(8.2など)があるが、間隔が5年と定めたとしても問題とならないのか?
A
認定機関が認証機関に要求するサーベイランス審査の要件(JIS Q 17021:2011)では、毎年実施が必要です。<回答の詳細>JIS Q27001:2014では「あらかじめ定めた間隔」は以下で使用されており、
「あらかじめ定めた間隔」を制限する条件は下記に示す通りかなりゆるいものです。
8.2 情報セキュリティリスクアセスメント
9.2 内部監査
b) 有効に実施され,維持されている。9.3 マネジメントレビュー
組織のISMS が,引き続き,適切,妥当かつ有効であることを確実にするため
また、規格要求事項の解説を行っているISMSユーザーズガイド(JIS Q27001:2014)
において”あらかじめ定められた間隔”について具体的な制限の記載はありません。しかしながら、ご質問の認証機関審査においては、認定機関よりJIS Q 17021:2011などの認定基準に沿った審査が要求されています。認証機関に要求されているJIS Q 17021 :2011 (ISO/IEC 17021:2011)では、サーベイランス審査プログラムについて以下が要求されており、この要件によって認証機関の審査を受ける組織は毎年のサーベイランス審査にて内部監査、マネジメントレビュー、及びマネジメントシステムの有効性確認としてリスクアセスメント結果の確認が要求されます。a)内部監査及びマネジメントレビュー
d)被認証組織の目的達成に関するマネジメントシステムの有効性<JIS Q 17021 :2011 (ISO/IEC 17021:2011)>
9.3.2 サーベイランス審査9.3.2.1
サーベイランス審査は,現地審査であるが,必ずしもシステムの全面的な審査ではない。
また,認証されたマネジメントシステムが再認証審査までの期間においても,要求事項を 継続して満たしているとの確信を認証機関が維持できるように,サーベイランス審査は, 他のサーベイランス活動と併せて計画しなければならない。サーベイランス審査プログラムは,少なくとも次の事項を含まなければならない。a)内部監査及びマネジメントレビュー
b)前回審査で特定された不適合についてとられた処置のレビュー
c)苦情の処理
d)被認証組織の目的達成に関するマネジメントシステムの有効性
e)継続的改善をねらいとする計画的活動の進捗状況
f)継続的な運用管理
g)変更があればそのレビュー
h)マークの使用及び/又は認証に関する引用9.3.2.2
サーベイランス審査は,少なくとも年 1 回実施しなければならない。初回認証に続く最初のサーベイランス審査の期日は,第二段階審査の最終日から 12 か月を超えてはならない。
Q  マネジメントレビュ、内部監査は最低 年1回開催とのことですが、1年を経過して行ってはいけないでしょうか?(例:2014年10月1日に開催して、次は2015年10月30日に開催)
A
マネジメントレビューと内部監査は、年に1回は行う必要がありますが時期は、毎年の審査前に実施されていれば、1年を経過していてもOKです。
例えば、去年2013年9月実施、今年2014年10月実施でもOKです。
Q  実際に使っている手順書は現在ないがそれで問題はないか。
現状で恒常業務が滞ることはない。
A
1) ISO 9001では文書化(記録を含めて)について
4.2.1で
・必ず文書にするのは、
a)品質方針と品質目標
b)品質マニュアル
c)“文書化された手順”並びに“記録を取れ”とISO規格に書いてある部分であり
・それ以外の文書化は
d)企業で決めればよい(企業の自由裁量でOK)
となっていて、文書化の要求は少なめになっていると思います。2)ご質問は上記d)に関わる部分のことと思われますので以下これについてご説明したいと思います。3) 仕事を実施するにはそのプロセス(仕事の手順等)を先ず決めて、その決められたプロセス   に従って仕事を実施することになります。この場合文書がなくとも決められたプロセスの通り   に確実に仕事が実施されるのであれば文書は不要になります。文書があった方が又はない   と確実に実施されない(恐れがある)場合は文書が必要になります。
口頭で打ち合わせをすれば済むような業務を文書化するのは、無駄につながりかねない   ですし、文書は作るのにも読むにはそれなりの労力が必要であり、ご指摘の通りの問題も   生じることになるでしょう。4)また文書化の意味は研修でも申し上げましたが、
a)コミュニケーションの手段として
b)知識の蓄積のため(再利用するため)
c)証拠を残すために要約されます。5)上記の点をご点検いただきまして、文書化の必要性をご判断なされてはいかがでしょう。6)ISO 9001で総務のご担当と思われる6.2.2力量、教育・訓練及び認識について見てみたいと思います。
6.2.2では実施しなければならない要求事項がa)~d)に書いてありますが、文書化せよとの要求はありません。e)で記録の要求があります。
従いましてe)に答えるために「記録用紙」を用意して4.2.4に従って管理をして戴くことになります。7)実は「記録用紙」は「手順書」(やることと記録する項目が決められている等)でもありますね。
「記録用紙」を整備されますと「手順書」も一緒に整備されたことにこの場合はなるのではないでしょうか。8)ご質問の文章から職場の状況を類推いたしますと、「記録用紙」は一度ご点検戴いた方が  よいと思いますが、新たに「手順書」をお作りになる必要はないと思われます。また「記録用紙」が「手順書」にもなっているので実は「手順書」もあると言えるのではないでしょうか。

2015年版対応について

Q  予防処置がなくなるということで、予防処置を現在使用して運用している規定なので、 今後どうすればよいのか知りたい。

A  2015年版では、予防処置の要求事項はなくなりますが、予防処置を否定している訳ではありません。

予防処置の要求事項がなくなる目的は、「リスクに基づく運用をすることで、予防処置を日常の仕事の一部とする」ことです。

現在、予防処置を有効に活用されているのであれば、そのまま残しておいても問題はありません。

ISO 9001:2008について

Q  レビューについて、設計・開発レビューのみ、関連する部門の代表者を含むとあるが、 その他のレビューは?どのように実施してもよいものか?

A  設計・開発レビューの目的は、複数の関係者で議論することによって、 設計・開発の仕様にモレがないことを防ぐ、問題点を早期に発見することです。 したがって、設計・開発レビューは、複数回実施される場合が多く、その都度、 参加者を変更する場合もあります。

設計・開発の検証(7.3.5)は、設計・開発のアウトプットがインプットを 満たしているかの検証です。要求事項では、参加者に関する制約はありませんが、 貴社にて必要があれば参加者について取り決めをすればよいです。

設計・開発の妥当性確認(7.3.6)は、顧客の立場に立って検証します。顧客 に参加してもらう場合もありますし、社内の人員で完結させる場合もあります。

Q  ソフトウェア業の設計・開発プロセスの有効性を見出す方法について

A  ソフトウェア業の場合、製品実現プロセスの大半が設計・開発に該当します。 貴社の設計開発の課題を明確にしたうえで、有効性をどのように評価すべきかを 検討するとよいです。

一般的には、Q(品質・バグの少なさ)、C(コスト・予算どおりか)、 D(スケジュールに遅延がないか)納期がメインになると思います。

例えば、QCDについて、適切にレビューをしているかを内部監査で確認します。
レビューした結果、QCDを確保するための対策が講じられていれば、 7.3.4設計・開発のレビューは有効に機能していると判定できると思います。

テストをしたをした際、バグを適切に発見し、修正できている場合は、 7.4.5設計・開発の検証または、設計・開発の妥当性確認が有効に機能していると 判定できると思います。

やるべきことをやっていて成果を出しているかを確認することが有効性の評価と 言い換えることができます。

Q  ISO9001規格条文の解釈について注意すべきポイントを挙げよ。

A  ISO規格の作成や改定の国際的な議論に参加されている日本の規格改定委員の方から伺ったISO規格の作成や改定の国際的な議論に参加されている日本の規格改定委員の方から伺っております解釈上注意すべき点につきまして、下記致したいと思います。研修中にご説明しこととダブるところがありますがご容赦いただきたいと存じます。

1) ISO9001

4.1 一般要求事項S006 アウトソースしたプロセスに適用される管理の方式と程度は、組織の品質マネジメントシステムのなかで定めなければならない;下請の管理のことですが、条文の記述に拘わらず7.4購買の条項に従って管理を行うこと。

2) 5.3 品質方針d) 組織全体に伝達され、理解される;派遣社員や構内業者など他社に属していて

御社の仕事をしている人たちには品質方針のそれぞれ必要な部分のみ周知徹底すればよい。品質方針のすべてを周知徹底しなくてよい。ただし経営者や社員(御社に所属する人)にはすべてを周知徹底すること。

3) 5.5.2 管理責任者;常勤勤務者であることが条件。非常勤の管理責任者は任命しないこと。

4) 7.3 設計・開発;複数の条項をまとめて同時に実施してもよい。但し要求事項の省略は許されない。条項が複雑すぎるとのクレームへの対応です。

5) 7.4 購買;アウトソース先(下請)の管理にも適用する。1)参照

6) 7.4.2購買情報 c) 品質マネジメントシステムに関する要求事項;ISO9001の認証取得を供給者(購買先や下請)に要求していない(テキストP43参照)。以前は供給者にISO9001の認証取得を要求する条項とされていましたが、現実的ではないので解釈は柔軟になっております。

7) 8.1 一般 ;S106統計的手法;JISハンドブック「品質管理」(日本規格協会)に示す手法を実務上指す。
自己流のやり方は避けた方がよいでしょう。8.4 データの分析;同様です。

8) 8.2.4 製品の監視及び測定;S123 合否判定基準への適合の証拠を維持しなければならない;製品検査の結果は記録として残さなくてもよい。食堂経営者からのクレームを受けての解釈変更です。但し、この解釈はできれば採用しないことをお勧めします。トレーサビリティ上問題を残すことにもなりかねません。

Q  文書化に関する要求事項ですが、似たような書式がいくつもあったり使わない書式もあったりと文書の構成・保管が煩雑になり大変そうに感じました。実務上、どのような対策、保管を他企業ではされており、2015年版ではどう要求されるのか気になった。
A  (1)現在の2008年版で要求されている記録は、要求事項に中に(4.2.4参照)と記述されているものです。
例えば、要求事項6.2.2 e) には、(4.2.4 参照)と追記されています。
4.2.4 は記録の管理を要求されているので、記録を維持することが必要です。→ そのことを踏まえた上で、不必要な記録の有無をチェックされてはいかがでしょうか。
この際「何のために記録を取っているのか」を関係者でレビューされることは大きな意味があると思います。
もし、活用していないものがあれば、この際「やめてみる」のはいかがでしょうか。
やめてみて、不都合があれば、元に戻すくらいの気持ちでやってみることだと、思います。(2)記録の保管は、紙媒体ではなく、電子媒体(パソコン管理)を主体にされてはいかがでしょうか。
その時には、文書や記録の改ざんを防ぐために、主管責任者を明確にし、更に、パスワード設定などの仕組みを設けることが必要です。
また、短時間で検索できるように、ファイリング方法の工夫も欲しいところです。(3)2015年版は、文書と記録の要求事項が合体化され「文書化した情報」という要求事項になります。
そして、自社の事情に応じた自由な形での文書化した情報で、マネジメントシステムを運営することが出来るようになります。また、2015年版は規格上は
・品質マニュアルの作成は要求されていない
・文書化された手順の要求はなくなり、自社で必要な手順書などを検討し作成することになります
Q  システム開発で、設計審査会という会を甲乙の乙側が主催で甲側はオブザーバ参加して開発結果をみてもらうことをします。この会が7章のどこに相当するのか教えて頂きたいです。(その後納品前に立会検査も行います)

A  甲はお客様、乙は貴社ということでよろしいでしょうか?

7章のどちらに当てはまるのかというご質問であれば、
7.3.4 設計・開発レビュー(ISO9001:1994では設計審査と訳されていました)
7.3.6 設計開発の妥当性確認のいずれか、又は両方に当たります。

(規格(9001 7.3.1)ではレビュー、検証、妥当性確認は”個々に、又はどのような組み合わせでも実施・・・”とされています。
どのタイミングで実施するかは、設計・開発の内容、期間にも寄ると思います)

7.3.4は関連部門の代表者が集まって実施する社内的なレビューになります。
社内的なレビューにお客様に参加いただいている会社もあります。

7.3.6は引渡し(納品)前、量産(市販)前までに実施するように定められています。
妥当性確認のひとつとして、納品するお客様に開発状況を見ていただく、
意見を聞く、試用して頂いている会社もあります。

Q  テキストの中で「~を確実にする」という表現が多々あるが、何をもって「確実とする」んか分りませんでした。
A  ~を確実にする の英文は、”ensure”です。 ”ensure”には、~を保証するという意味も含まれていますので 「何を持って、確実とするか」については、計画を記載した文書または実施の記録によって、確実にしていることを保証します。
Q  経営者のコミットメントの判断基準についての監査はないのでしょうか。
A  経営者のコミットメントについての判断基準は、経営者自らが設定し、判断すべきと考えます。 例えば、a)項の顧客要求事項を満たすことの重要性を組織内に周知する、に関しては、
(1)従業員が重要性を理解した結果、従業員の行動にどのような変化が表れていればよいのかを経営者が想定し、
(2)従業員の行動の変革を促すために経営者が何をするのかを決め、
(3)経営者が実践する。
(4)実際、従業員の行動に変化があったのかを検証する。b)c)は品質方針、品質目標が設定されていれば良しとします。
d)はマネジメントレビューが実施されていれば良しとします。
e)は経営資源は、会社の設備、従業員の力量、作業環境に満足しているかを確認できればと思います。
Q  下記2点の専門用語に対する意味を表記することはできませんか。
(1)インフラストラクチャー  (2)マネジメントレビュー
A  ISO規格は原文が英語で作成され、それを日本語に翻訳しているのですが、適切な日本語訳が見つからない場合、英語をカタカナ表示しているのが現状です。
従って、カタカナ表示では、その意味合いが理解しにくいものがありますね。(1)インフラストラクチャー:事業活動に必要不可欠な基盤となるシステム
先日の内部監査のテキストの一番後に「用語の定義」が載せてあります。
それによれば「組織の運営のために必要な施設、設備、及びサービスに関するシステム」と定義されています(確認してみて下さい)。
インフラストラクチャーは、「下支えをする」とか「構造」の意味を持っており、「基盤」を表わす観念的な用語です。
一般的には、主に都市の経済活動の基盤をなしている社会資本のことを指し、大きく分けると「生産基盤」と「生活基盤」があります。
以上のことを念頭に置き、「事業活動に必要不可欠な基盤となるシステム」と表記してみました。
ISOが有している性質・性格を表すように最後は「システム」という言葉で締めくくりました。(2)マネジメントレビュー:(改善に向けての)経営者による振り返り
マネジメントは「経営者(社長)」の意味です。そして、レビューは「振り返り」の意味です。
“振り返り”はPDCAの「C→A」の活動に該当するものです。
従って、「経営者がリーダーシップを発揮して振り返りをする」という意味になります。
“何ための振り返りか”というと、今の仕事のやり方で、その仕事の目標を達成できているかを種々のインプット情報を基に振り返り、仕事のやり方(仕組み)の改善をしていくのが目的です。

ISO 9001:2015について

Q  今度改定の7.1.6組織の知識の意味を教えて欲しい

A  ◆7.1.6 組織の知識

これは新しい要求事項です。次のことが要求されています。

『組織は、プロセスの運用に必要で、かつ製品及びサービスの適合を達成するために必要な 知識を決定しなければならない。この知識を維持し、必要な程度まで利用できる状態にしなければならない』

知識を経営資源の一部として活用することが求められています。
ナレッジ・マネジメントをすることを求めている訳ではないが、個人の知識やノウハウを 組織全体で共有し活用する重要です。
実務的には、組織が必要とする情報、作業者が共有すべき情報が、手順書や報告書に 明記されている状態を確実にすれば事足りると思われます。

ISO 14001:2004について

Q  環境目的・目標は、期間途中でも現状に合わせて変更できるのか?
A
ご質問にある“現状に合わせて”という言葉が具体的にどのようなことを意味しているのかが、ポイントになると思われます。
設定した目標(値)がここ数カ月未達なので、目標値そのものを達成可能な(安易な)方向へ変更する、という意味ではないですよね。
市場環境、同業他社との競合状況や市場ニーズ等は、常に変化しているので、その情報を素早くキャッチし、環境変化に俊敏に対応していくべく、目的(ありたい3年後の姿)や具体的な目標(アクションプログラム:実施計画)を変更させていくことは、企業にとって大切なこと、と認識しています。
ご質問への回答は、
「変更できる」というよりも「環境変化に合わせて、変更していくことが望ましい」と言えます。
「4.6 のマネジメントレビュー」でも、このことを意図した要求事項の内容となっています。
Q  環境影響評価について、点数付けの定義はどのように決めるのでしょうか。
スコアリング方式を実際に行ったときに、人によって考え方がまるで違って大変な経験がありました。
A
実際にスコアリング方式を採用しておられるのでしたら、その点数付けの定義を定めておられると思いますので、一度、レビューされたらいかがでしょうか。
また、市販のEMS関係の本(テキスト)にも、代表的な考え方の事例が載っていますので、それも参照されてはいかがでしょうか。
主観的ではなく「客観的評価がロジカルに可能である」ということで、この方式が採用されているのですが、実際の運用においては、感覚的な部分が含まれてくる要素もあり、評価者によって(その人の先入観も含めて)差が出やすいのが実態だと認識したほうが良いかもしれまん。きたる2015年版の発行を機に、もっとスマートで関係者の心に納得感のある(腑に落ちる)評価方法を、検討されることを期待しています。
その一つのやり方として、お渡しした手書き資料にもありますが「評価要素を経営的視点に重点を置く」ことが関係者の納得感があり、取り組むべき重要経営項目が上位にランクされてくると認識しています。
Q  「組織で実施する又は組織のために実施するすべての人」とは、どこまでを指すのか
A
範囲を狭くとらえるよりも、少し広めに捉える方がいいと思いますが、基本は同じ社長(経営者)
のマネジメント(指揮)もとに、同じ構内で働いているすべての人を考えればよい、と思います。
キーワードとして、
「同じ経営者のマネジメント(指揮)のもと」、「同じ構内」で考えてみましょう。
具体的には、「社員」の他に、同じ構内で働いている「パートさん」、「協力業者の方」などが対象になります。
Q  「力量に関する記録をもう少し説明願いたい」です。
A
ISOの言っている基本的な要求は、「特定した著しい(有害な)環境側面に関する仕事をする人 には、その特定した著しい環境側面を改善して、(有害な)環境影響を減らす(改善していく)力 量が必要」という考え方のもとに、環境改善できる力量をつけさせることを要求しています。
そして、力量をつけさせるために実施した教育訓練の記録を求めているのです。
コメント:
「特定した著しい環境側面(即ち、難しい課題)を、現状よりも改善していくのですから、その ためには改善できる(新たな)力量を身に付けさせる必要がありますね。その力量を身に付けさ せる教育訓練をして、記録を残してください」ということを言っているのです。

ISO 14001:2015について

Q  改定されたISO14001規格(2015年版)では、
社長がトップマネギメントを兼任することになるのか?
A
1)ISO 14001 規格の改定;
・本年9月に改定版(2015年版、英文)が発行されましたがJIS規格の日本語版は今月中に発行予定となっております。ここでは以下 新規格(2015)と記述してまいります。・2004年版規格は2018年9月までは有効ですが、ここでは以下 現規格(2004)と表記してまいります。2) 現規格(2004)でのトップマネジメントに関する記述は、序文(テキスト11頁⑤四角の中)、
3. 用語及び定義の3.11、4.2環境方針、4.4.1資源・役割・責任及び権限S18、及び4.6マネジメントレビューに出て参ります。
トップマネジメントとはISO活動を行っている組織の長を示しております。
したがいまして会社全体でISOに取り組まれております会社では社長を示し、工場として取り組まれておれば工場長となります。3)現規格(2004年版)でも序文(テキスト11頁)の⑤の四角の中でトップマネジメントの役割の重要性が記述されております。
さらに同じ頁の図でマネジメントレビュウー(トップマネジメントが行う)の役割を示し、トップマネジメントのリーダーシップがPDCAサイクルの中心にあり、規格箇条ごとの要求事項に対して常に関与し続けることを求めております。4)ISOの現状の問題の一つに、上記3)にもかかわらずトップマネジメント(社長)の関与が足りないのではないかとの指摘があります。これはISO事務局にお任せにしているのではないかということに加えて、管理責任者を任命(4.4.1 S18)することによりISOシステムの有効性に対する説明責任から逃げているとの指摘です。5)新規格(2015)では上記4)への対応としまして、ISOシステムの成功は、トップマネジメントによって主導されるコミットメントにかかっていることを全面に出しております。
加えて管理責任者の任命は削除されました。
またISO規格に事業計画を取込み、事業活動と環境改善活動とを一体化させようとしておりますが、これも社長が関与を強めざるを得ないことにつながると思われます。6)このように新規格(2015)では管理責任者をなくすことの他、上記のように様々な形でトップマネジメント(社長)自ら自社のISOシステムの運営についてリーダーシップを発揮するよう求めております。

ISO 27001について

Q  ISMSの今後の方向性(トレンド)知りたい。(サイバーセキュリティに特化していくなど)
A
今回の規格改定を受けてISMSとしての今後の方向性は、実業務との整合と考えられます。
資産だけではなく実業務(サービス)等もリスクアセスメントの対象とし、ISMSのリスクアセスメントによるリスクと実業務におけるリスクが整合しているか、といった点です。
ご質問にある具体的なセキュリティ対策としては、業種により異なるところがありますが、情報漏洩の一番の原因は、管理ミスや操作ミスです。
媒体としては、紙媒体による漏洩が一番多いです。
これらを考慮しますと、技術的な対策よりも、物理的な対策や組織的な対策が今後、重視されるかと思います。
Q  ISMSの運用を効率的に行うための手法を教えてほしい(運用システムやアプリケーションの開発導入事例など)
A
効率的なISMSの運用手法とは、運用しているISMS、業種、業態等により状況が異なるため、具体的にこれと決めてお答えするのはたいへん難しいものです。
考え方としては、セキュリティ対策の機密性と可用性のバランスが重要でしょう。そのセキュリティ対策の目的が明確であり、効果が発揮され、必要十分な程度であること、この3つの要素を満たすことです。
過剰なセキュリティ対策は、業務の妨げにもなりかねないものでもあり、前述の3つの要素、これが効率的なISMSの運用のキーとなると考えます。
Q  WebサービスによってISMSの対象外になる事がありますか。
A
管理しているWebサービス、利用しているWebサービス共にISMS適用業務外であれば、ISMS対象外となります。
Q  ベネッセの漏えい事件は、今回の管理策を適用していれば本当に防げたのか疑問が残った。
盗もうと思っても盗めない管理策なんて本当にあるのか?

A

悪意を持っての盗難、破損に対応する管理策はありません。
ベネッセ問題での問題点は事業者側が検知できなかったことです。

次に検知及び被害を最小にする管理策となります。
・A.6.1.2:職務の分離:作業を一人でさせない。
・A.8.3.1:外部記憶媒体の利用制限
・A.9.2.2:利用者アクセス提供:データベースの分割
・A.9.4.1:情報へのアクセス制御:データベースの分割
・A.10.1.1:暗号による管理策の利用方針:データベースの暗号化
:暗号方式はアクセス許可者に知らせない。
・A.11.2.1:装置の設置及び保護:監視カメラでの監視
・A.12.4.1:ログの取得と定期的なレビュー
・A.12.4.2:ログの改ざん防止:
・A.13.1.3:外部ネットワークとの分離
・A.13.2.3:メールのフィルタリング
・A.18.2.1:内部監査
・A.18.2.2:部門の別人による点検

Q  「リスクと機会」のご説明の中で、今後「機会」に対する活動が増えるはず、と言われてましたが、理由は何でしょうか。増えた結果の良いことと悪いことは何でしょうか。

A

ISMSの運用を続けていくと、運用当初に特定したリスクが全て受容されていきます。
リスクが受容できるレベルまで低減されることは、たいへん良いことではありますが、一方で、マネジメントシステムの継続的改善を考えますと、この改善がいわゆる頭打ちの状態になってしまいます。
そこで、リスクの受容可否にとらわれず、日常業務の中で有効と考えられるセキュリティの 取組みを行っていこうという「機会」に対処する活動が、増えていくことになります。
ただひとつ、「機会」に対処する活動は、強制される改善活動でないため、組織の積極的な 改善に対する意識がなければ、この活動が増えないこともあるかもしれません。
以上のことからも、「機会」に対処する活動が増えることにより、マネジメントシステムの 改善が進むといった良いことはありますが、悪いことは特に考えられないかと思います。

Q  監査基準として用いる規格要求事項、管理策はどこを基準として引用の切り分けをすればよいのでしょうか?

A

規格要求事項、管理策は監査基準のため、どこを基準として引用の切り分けをするの意味がうまくわかりませんでしたので、監査チェックリスト作成時の整理として回答します。

限られた時間で実施する監査活動においては、全ての項目を毎回監査することは効率的ではありません。
このため、監査プログラムでは監査目的が設定されます。
監査活動は、監査の目的達成ため実施するため、基本的には設定された監査目的を満たすよう、リスクの高い活動を中心(できているが確認が漏れていると情報漏えい発生時に説明責任を果たせない項目を含む)に監査項目を選定します。

Q  要求事項と管理目的及び管理策、どちらが上位事項なのでしょうか??

A

マネジメントシステムの有効性の観点からは、要求事項(全体PDCA)が組織の状況によって対策レベルが異なる個別の管理策より重視されています。

しかしながら、リスク面からみれば、管理策が不適切であることによって情報セキュリティインシデントが発生している状況は管理策の設定が有効でないことを示しています。
このため、組織おいて設定された個別の管理策の適切性は、情報セキュリティマネジメントの目的を達成するために最も重要な活動となっています。

Q  (1)盗難は、内部と外部が有り、脅威の分類としては、意図的/偶発的のどちらに入るか?
(2)ISO資格は、事故が起こった場合、どうなる?
(3)リスクアセスメント表の例に「許可者がアクセスして情報を持ち出す」脅威は考慮しなくて良い?(力量、認識、懲罰で担保する)

A

(1)盗難は、社内(内部)の者が行う場合と、外部(社外)の者が行う場合がありますが、 いずれの場合も意図的に行われるものでありますため、意図的に分類されます。
例えば、「Aという資産を盗難しようと考えていたが、間違えてBという資産を盗難 してしまった」ということがあっても、結果的には偶発的にBという資産が盗難されて いますが、盗難という意図に変わりはありませんので、意図的に分類されます。

(2)事故の程度によりますが、原則として、事故を起こしてもISO認証をはく奪されること はございません。ただ、事故を起こした後の対応に重大な問題があった場合には、 はく奪される可能性はあります。
ISOの取組みは継続的改善であって、事故に速やかかつ適切に対応し、それを教訓として改善が行われていれば、問題ございません。

(3)「許可者がアクセスして情報を持ち出す」とは、例えば社内の従業者が不正に持ち出す ということですが、これは脅威として特定したほうが良いでしょう。
認識や懲罰は、従業者が不正な持出しをしないようにするため、不正な持出しをした場合の罰則であり、これらはこの脅威に対する管理策となります。

Q  ① A.11.2.5 資産の移動で見積り書持参の場合にも適用されますか?
資産のリスクに応じ て対象外とすることは適当ですか?
② A.13.2.2 外部関係者との転送について契約書条文例をおしえてください。

A

①A.11.2.5
どのような情報資産を社外への持出し管理をするかは、事業者が決定します。決定基準は一般的には機密性が高いものとなります。例えば情報資産の価値評価で、機密性を4 ランクにした場合は、機密性=4 の情報資産を持出す場合は、「社外持出し管理台帳」に記録する。というルールとなります。 「見積書」は、顧客に提出することは業務の一部であるため、一般的には、移送時のルールに従うだけで十分であり、「社外持出し管理台帳」へ記録は不要と考えられます。

②A.13.2.2
輸送業者でしたら、契約書の条項に含める必要がありますが、そり以外の業者でしたら外部関係者の取り決めで結構です。規格では合意とありますが、文書化(契約書の締結)まで要求されていません。
プロジェクト開始時に外部関係者と情報転送に方法を決定してください。

例えば、
・電子メールでの添付資料は、ZIP 形式でパスワードは8 桁以上を設定すること。
パスワードは毎回、変更し、電話または別メールで通知すること。
・宅配便を使用する場合は、セキュリティ便を使用し、追跡可能とすること。
ただし、A.13.2.4 の「機密保持契約書又は守秘義務」に含める場合は、次の条項となります。

(情報転送)
○○条乙は、機密情報を転送する場合は、盗聴、複製、改ざん、誤った経路での通信及び破壊から保護する手段をとらなければならない。
2 乙は、機密情報の転送手段は事前に乙と合意を得えなければならない。

Q  リスク所有者の権限、監査時のポイント

A

規格要求でのリスク所有者は以下の役割があり、所管している業務についてリスク判断に よって、残留リスク受容ができる。=よりリスクの高い取り扱いの判断ができることとなっています。 監査では、講義時にご説明した通り、リスク所有者の主張する残留リスクを受容したローカルルールを変更できる権限を有しているかがポイントです。
「ドア」の件では入退出のルールは拠点管理者がルール作成できる場合はISMS組織において、当該のリスク所有者がより高位の権限を保有していれば残留リスクの責任をとれると判断できます。

規格6.1.3f)
情報セキュリティリスク対応計画及び残留している情報セキュリティリスクの受容について、リスク所有者の承認を得る。

Q  「リスクアセスメントの手順は変わらない」とのお話でしたが、今度リスクアセスメント手順の変更について推進担当者への外部講師の説明があると聞いています。外部内部の課題から入る、ということが「リスクアセスメント手順の変更」のことでしょうか?

A

新規格での大きな変更点は次となります。
・4.1:内部、回部の課題の決定、4.2:利害関係者の要求事項の決定及び4.1、4.2を考慮して
6.1.1:リスク及び機会を決定すること。
・これは事業のリスク及び機会を決定することを求めています。
事業者では事業計画が該当します。

それに対して、旧規格のリスクアセスメント(4.2.1 c)~j)は、新規格では
6.1.2リスクアセスメント及び6.1.3リスク対応が該当します。
表記の変更はありますが、要求している事項は同様です。
ただし、次の事項が追加されています。
・リスクの実施基準
・リスク所有者
・リスクの優先順位
・管理策は、附属書Aと比較し、見落としがないことを検証する。

ご質問にあります「内部及び外部の課題」がリスクアセスメントの変更ですか?
の回答は「いいえ」となります。
「内部及び外部の課題」はリスクアセスメントとは別の要求事項と考えてください。

Q  リスク分析・対応シートの具体的作成方法について、アドバイスをお願いします。
(初心者の注意するべき項目などおしえて下さい)

A

リスク分析、リスク対応の一般的な注意点を次に示します。
「リスク分析対応シート」の作成についての注意点は、
貴社の事務局にご確認をお願いします。

(1)重要な情報を取扱う業務の流れ(業務フロー)に従いリスク分析を行う。
(2)業務の流れの中で、情報のライフサイクルを意識してリスクを識別する。
ライフサイクル:取得、利用・加工、移送・送信、保管、委託、消去・廃棄
(3)特に取得、移送・送信、委託は漏えい、紛失のリスクは高い。
(4)リスクは具体的に記述する。
情報の漏えい:×
顧客資料を一時的に置く場合、いつもの場所が使用できず、別の担当者が使用して
いる場所に置いた場合に
別担当者が顧客資料を別の場所に置いてしまい、紛失してしまう。
(5)リスク対応が不十分(他に対応手段があるが費用等で対応できない。)は
残留リスクとして運用点検で管理する。

Q  「規格要求事項と附属書Aの使いわけがわからない。」

A

それぞれの目的、内容は次となります。
規格要求事項はマネジメントシステムの要求事項となります。
附属書Aは情報セキュリティルールの要求事項となります。

内部監査では次の使い分けとなります。
規格要求事項は管理責任者、事務局の内部監査のチェック内容となります。
附属書Aは、各部門の内部監査のチェック内容となります。

Q  今回リスク所有者とこれまでの管理責任者は同じでしょうか。

A

規格が要求する「リスク所有者」は、リスクアセスメントに関して承認する権限を持ちます。
残留リスクや、リスク対応に関してもその結果を受容します。

「管理責任者」がそれらの権能をお持ちになるのであれば同じと解釈できます。

Q  情報単位でリスクオーナーを設定すべきでしょうか。

A

情報単位で「リスクオーナー」を設定するか否かは組織の判断であり、その部分に関して規格は何ら規定しておりません。

FSMSについて

Q  物流業ですが、取得したらどういう営業ルールに活かすのが良いですか? 他社は何?
A
物流業でFSMSを取得することで、
①庫内の清掃清潔、
②非食品との混載が無い、
③温度管理が必要な製品であれば、温度管理が徹底されて輸送される、
④荷積み、荷卸しの際にも、外装破損が無いように十分に注意して取り扱われる
などのメリットを、食品メーカーに感じていただけます。
よって、ご質問の「営業ルール」というのが、
マーケティング・営業活動を指すものであれば、まだ、業界の中で、FSMSを認証されている物流業は少ないでしょうから、前述のメリットを強みとしてアピールしてほしいです。
また、配送活動を指すものであれば、前述の通り、お客様の製品を安全に確実にお届けする手順を構築することとなります。実際に私も、運送業(トラック輸送、鉄道輸送)のISO22000をやりましたが、 上記の通りの運用ルールでした。
もし、物流拠点が沢山あれば、それは、倉庫保管という要求事項がありますので、 これも温度管理、清掃清潔、先入先出、フードディフェンスなどが、重要となります。
Q  個々の検証活動の評価と、検証活動結果の分析の違いが良く分かりません。 どちらも不十分な点があれば是正するところは同じではないでしょうか。是正する対象が異なるということでしょうか。
A
まず、評価及び分析の対象に違いがあります。
8.4.2評価は、対象が「検証プランの結果」です。評価の結果、必要な修正及び是正処置が必要となります。
8.4.3分析は、対象が「内部監査の結果」「外部監査の結果」「検証プランの結果」です。
且つ、分析は、8.4.3a)~e)に沿った分析結果を求めています。
この分析結果は、継続的改善に役立てられます。必ずしも、修正・是正処置とは限りません。
どちらも、結果として、改善活動するという点は共通しています。私見ですが、次、この規格が改訂される際は、 ご指摘の評価と分析は、同じ要求事項内で規定されると考えられます。
本来、分析及び評価とは連続性のあるものなので、その分析・評価の対象を並べることで、 それらを分析・評価しないさい、という要求事項になるのが、論理的な流れだと考えます。
よって、ご質問の主旨は、賛同いたします。
Q  従業員全員(現場の末端の作業者まで)へのFSSCに関する知識(要求事項等を含む)の周知徹底及び教育の方法を教えていただきたい。
他社がどのように取り組んでいるのかを知りたい。
A
絶対的な方法はございません。 ISO22000及びISO/TS22002の要求事項の知識の周知は、ハードルが高いです。
管理者が気付いた都度、「注意する」「説明する」ことを繰り返すことが重要です。人は入れ替わるものなので、これらの運用手順、知識、力量について、必要なものは、文書化することです。
文書化したとしても、読んで理解しなければ、意味が無いので、当然その後に教育しなければなりませんが、教育する側の質のばらつきを考慮すると、やはり、文書化するのがベターです。文書化した後に、従業員一人一人の教育プラン(キャリアデザイン)をして、 段階に応じた社内外の教育訓練や自己啓発を推進できるよう、経営資源を割り当ててください(教育手当、資格手当など)。 教育の方法としては、社内外の勉強会・研修会・学会・自己学習などありますが、どれが一番というよりは、組み合わせです。他社も様々なやり方で周知徹底及び教育をされていますが、第三者の目で見て、しっかり教育されているな~、と感心する企業は、やはり管理者の方が良く勉強されていて、かつ、現場でのコミュニケーションが円滑に行われています。
教育訓練のメニューをいくら増やしても、周知徹底及び実行という側面においては、 「意識(≒モチベーション)」の課題が多分にあるので、その「意識」に働きかける一番の方法は、直接のコミュニケーションです。
Q  既設工場の取り組みはもちろんですが、設計・建設や機械・設備にかかわる 企業・担当者へISO/FSSCに関する助言、指導などもされないと、ハード面で問題が生じているように思います。
A
おっしゃる通りです。
食品工場を得意とする建設会社や食品製造加工機器のメーカーも、多数、当社研修をご受講いただいています。
フードチェーン全体で取り組まなければならないと、切に思います。

Pマークについて

Q  個人の識別、とは何ができると識別されたとするのでしょう 氏名と住所がわかれば識別、なのか
A
個人情報の「識別」とは?
特定個人が識別できる情報を個人情報といいます。
個人特定情報といういい方もあります。
氏名、住所等の記述、携帯電話番号や顧客ID、 マイナンバーなどの記号番号、ビデオ映像など、どのような形式であれ、 その情報から「あっ!○○さんだ!」とわかれば個人情報であり、  「あっ!○○さんだ!」とわかることが識別です。
特定の人物を、他の誰でもなく、正しく特定することを「識別」といいます。
Q  プライバシーマークについて参考となりそうな、WEB情報(参考URL)分ればばお願いしす。
今後のスキルアップに役立てたいです。
A
プライバシーマーク、個人情報保護等に役立つサイト(1)プライバシーマーク制度(JIPDEC)
(2)JISガイドライン
(3)IT関連法務情報(JISA)
(4)個人情報保護法ガイドライン
(5)マイナンバー制度ガイドライン
(6)ぜい弱性&セキュリティ対策情報(IPA)
(7)ぜい弱性情報(JPCERT)
(8)情報サイト
http://itpro.nikkeibp.co.jp/security/index.html
http://www.atmarkit.co.jp/ait/subtop/security/
http://www.security-next.com/
Q  名刺の保存期間がわからないです。
A
名刺の保存期間
名刺の保存期間は、会社で決めてあればそれに従ってください。
決め方としては、変更(異動)があって新しい名刺をもらったとき、データ入力して名刺自体が要らなくなった時、1年に一度名刺を整理して直近1年連絡を取った覚えがない時、など決め方は色々あるでしょう。
Q  個人情報を「最新のものとする」(3.4.3.1)は具体的にどのように行えば良いでしょうか。
A
要求事項に記載している利用目的の達成に必要な範囲内において、個人情報を、正確、かつ最新の状態にするとは、要約すると、旧版と最新の個人情報が混在せず、何処に何が保管されているのか把握する事です。その為、取得した個人情報を一律に最新化する必要はございません。尚、具体的措置をお考え頂く上で、下記のような状況が項目として挙げられます。・個人情報の入力時の照合・確認の手続きの整備
・誤りを発見した場合の訂正等の手順
・個人情報の更新や内容に変更が生じた場合の本人からの申し出に対する対応
・保管期間の設定上記項目に対して、貴社で運用面、コスト面等を考慮の上、対応のルール化を図って頂ければ問題ございません。

OHSASについて

Q  会社内で「受容可能なリスク」について議論が分かれた場合に、どのように対応すればよいか悩むケースがあるように思います。
もしそのような場合のケーススタディなどがあれば教えていただければと思います。
A
受容可能かどうかは製品のユーザーにとっての重要性、経営側のリスク発生時の損失の受容可能性により異なるため、一般的な基準は講義でお話ししたように最大リスクの10%程度という表現しかできません。
Q  9001 14001は2015年に大幅改定されたが18001の改定動向について
A
ISO45001として2016年9月の予定でISO化と同時に改訂されます。
ISO14001:2015と同じように10章立てでHLS構造となり、ISO14001等とともに 他の規格との統合化が容易となります。

13485について

Q  この研修は、医薬品医療機器等法(薬機法)もある程度カバーした内容となっているのでしょうか。
A
ISO13485内部監査員研修のため、薬事法については関連性の説明までで 「カバーしているか」の意味がどこまでの要求なのかわかりませんが、関連性としては 以下の通りです。1.平成17年の薬事法改正及び平成25年の薬機法についてはQMS省令のレベルで   ISO13485との共通点、相違点の説明をします。2.薬機法に対する詳細対応については本研修の対象外ですので,各企業様で対応   していただくことになります。
Q  医療機器ソフトウェアについての監査について
医療機器ソフトウェアについてISO13485の監査をする場合、IEC62304との兼ね合いはどのように考えたらよいのでしょうか。
具体的には、医療機器ソフトウェアのライフサイクルプロセス規格であるIEC62304における開発プロセスや維持プロセス等を理解して監査する必要があるかどうか教えて欲しい。
A
IEC62304規格は、医療機器ソフトウェア安全設計・保守に必要なライフサイクルプロセスに関する国際規格として、欧州向けMDD、IVDD申請、中国向けのCFDA申請、及びまたは米国FDA申請においても、事実上IEC 62304 対応が基本要件となります。 貴社がこれらの地域に製品承認の手続きをとる場合は、IEC62304への対応は必須となりす。また日本国内では2014年11月25日、薬事法の改正により施行される医薬品医療機器等法(薬機法)により、プログラム単体の医療機器においては単体プログラムとして医療機器になるように改正されたようにIEC62304に準拠した形でソフトウェアの安全性を担保したライフサイクルプロセスの実施が求められます。以上の背景からISO13485監査の際に、貴社が製品開発等でIEC62304の適用を受ける場合は、7.3.2の設計開発へのインプットにおいて「適用される法令・規制要求事項」の対象として適用を受け、その他の項の要求事項の「関連する規制要求事項」で要求されている箇所はIEC62304が対象となります。従ってこれらを監査する必要があります。

その他

Q  ・ISOは9001あるいは14001・・・などと番号が大きく飛んでいる。
それらの間に数字があるのか、また数字に意味があるのか。
・ISO 0001はあるのか。
A
1. ご質問の内容
・ISOは9001あるいは14001・・・などと番号が大きく飛んでいる。
それらの間に数字があるのか、また数字に意味があるのか。
・ISO 0001はあるのか。 2. お答え
ISOの規格の作成ルールからご説明したいと思います。
1)  ISOは、国際標準化機構の略称でスイス・ジュネーヴに本部を置いて電気分野を除く工業分野の国際規格を策定しております。これには各国1機関が参加できるとの決まりがあり、日本では日本工業標準調査会(JISC)が加盟しております。
電気分野につきましてはISOではなく国際電気標準会議(IEC)が策定することになっております。
2)  国際標準化機構が出版した国際規格もISOと呼ばれています。
3)  国際規格であるISOは、膨大な項目を含むため規格番号で分割され識別することになっております。規格番号は切れ目なく決められておりますが、検討はされたけれども規格に採用されなかったものもあり、実際の規格番号は飛び飛びになっております。・ISO 1からISO999まで
・ISO 1000からISO1999まで
・ISO 2000からISO2999まで
・ISO 3000からISO3999まで
・ISO 4000からISO4999まで
・ISO 5000からISO5999まで
・ISO 6000からISO6999まで
・ISO 7000からISO7999まで
・ISO 8000からISO8999まで
・ISO 9000からISO9999まで
・ISO 10000からISO10999まで
・ISO 11000からISO11999まで
・ISO 12000からISO12999まで
・ISO 13000からISO13999まで
・ISO 14000からISO14999まで
・ISO 15000からISO15999まで
・ISO 16000からISO16999まで
・ISO17000からISO17999まで
・ISO 18000からISO18999まで
・ISO 19000からISO19999まで
・ISO 20000からISO29999まで
・ISO 30000以降4) 例えば
ISO 1 製品の幾何特性仕様(GPS)-製品の幾何特性仕様及び検証のための標準基準温度
ISO 2 繊維-糸及び関連製品におけるねじれ方向の名称などなどISO9000 品質マネジメントシステム-基本及び用語
ISO9001 品質マネジメントシステム-要求事項
ISO9004 組織の持続的成功のための運営管理-品質マネジメントアプローチ
ISO9005 核エネルギー-二酸化ウラン粉末及び焼却ペレット-電流滴定法による酸素/ウラン原子数比の測定
などなどISO14001 環境マネジメントシステム-要求事項及び利用の手引
ISO14004 環境マネジメントシステム-原則、システムおよび支援技法の一般指針
ISO14005 環境マネジメントシステム-環境パフォーマンス評価の使用を含む環境マネジメント
システムの段階的実施の指針などなどがあります。5) 日本で運用されているISOマネジメントシステム規格の主なものは以下の通りであります。
ISO9001 品質マネジメントシステム
ISO14001 環境マネジメントシステム
ISO22000 食品安全マネジメントシステム
ISO27001 情報セキュリティマネジメントシステム
ISO39001 道路交通安全マネジメントシステム
ISO22301 事業継続マネジメントシステムなど

受講前にご利用ください。

お問い合せ先