京都で働くコンサルタントのブログ
1 | 2 | 3 | 4 | 5 | 最初次のページへ >>
2018-10-16 07:32:11

有意義なISO審査の観点

テーマ:マネジメントシステム

皆さん、こんにちは。
(株)マネジメント総研の小山です。

ご支援先のISO審査に立会う機会も多いのですが、納得感の得られる審査とそうでない審査があるのが実状です。

(認証取得はゴールではなく通過点であり、認証審査は改善の機会を得る場であるという前提でのお話です)


ISOの審査は、
・QMS(品質マネジメントシステム)なら「ISO 9001」
・ISMS(情報セキュリティマネジメントシステム)なら「ISO/IEC 27001」
・BCMS(事業継続マネジメントシステム)なら「ISO 22301」
というマネジメントシステム規格の要求事項に照らして、その組織のマネジメントシステムが適合しているか、有効に機能しているかを審査し、認証を付与するものです。

従って、納得感の得られる有意義な審査となるためには、「適合性」「有効性」の観点での審査の質が鍵を握ると考えます。


最も不本意な形で実施されるのは、「適合性」の観点が欠落することです。

規格の要求事項に依拠しない確認は、審査員の興味、関心事からの確認となり、客観的な基準に基づく審査にならないおそれがあります。

その結果、組織が本来期待している認証審査が行われず、不本意な審査となってしまうおそれがあります。

(審査を通じて、規格適合性を確認していただき、適合性の観点で改善の機会をいただき、よりよい仕組みに改善していきたい等の期待)


次に惜しいのは、適合性の観点で審査が行われるものの、規格要求事項の行間を読まず、杓子定規に行われる審査です。

審査員が指摘を出す際に、「規格に書いてあることができていない」というコメントに終始するケースが当たります。

仕組みを作る際も「規格に書かれているから」と表面的に合わせるのではなく、「なぜ規格にこのような要求事項があるのか」という行間まで意識することが重要ですが、それは仕組みを審査する側にも言えることだと考えます。

この要求事項を満たさない場合、どのような事態が起こり得るのか、というところまで掘り下げて指摘いただけると、受審組織の納得感は大きなものとなり、改善意欲が喚起されるものと考えます。


続いては、有効性の観点です。

色々な改善の機会を出していただけるのは有難いことですが、「リスク」ではなく「コントロール」を起点に確認される審査は、気をつける必要があります。

審査員は多くの組織を審査していることから多くの事例を知っています。

そこで、多くの組織ができている「コントロール」(あるいは抜けがちな「コントロール」)について審査で確認される審査員もいらっしゃいます。

当然、多くの組織ができている「コントロール」(あるいは抜けがちな「コントロール」)ですので、事例として参考になる情報だと考えられます。

しかし、「リスク」があるから「コントロール」が必要となるというのが本来であり、「リスク」のない「コントロール」は意味がありません。

そして、「リスク」は「組織の課題」と関連して考えられるものです。

規格では、「組織の課題」や「利害関係者の要求事項」を考慮し、「リスク及び機会」を特定することが求められています。

「ISO 9001」の序文にも、“Risk based thinking”と書かれています。

また、ISOでは、「リスク」は、“目的に対する不確かさの影響”と定義されています。

このことからも、組織が「ISOに基づいてマネジメントシステムを構築しよう」と考えた目的に照らして、運営管理されるべきであり、ISO審査もまたその観点を疎かにしないことが重要だと考えます。

(その組織の目的に着眼し、リスクベースでコントロールをみる)


そして、これらが意識された審査を受けられるようにするには、
・質の高い審査機関を選ぶこと
・質の高い審査員と巡り合うこと
・どのような審査を望むかを具体的に伝えられること
・有意義な審査になるように審査時にも働きかけること
が大事だと考える次第です。
 
 
 
 
 

 

2018-10-01 07:26:05

ISOの認証組織件数

テーマ:マネジメントシステム

皆さん、こんにちは。
(株)マネジメント総研の小山です。

今回は、ISOの認証組織件数についてです。

国内については、JAB(日本適合性認定協会)によって、2018年3月末時点でのマネジメントシステム認証組織件数が公表されています。

JABの公表資料には「ISO 22301(BCMS/事業継続)」の認証組織件数が含まれていません。これについては、ISMS-AC(情報マネジメントシステム認定センター)が認証した件数を公表しており、随時更新されています。

また、世界に目を向けると、2018年8月に、ISO(国際標準化機構)から、2017年12月末時点での認証組織件数が公表されています。


これらをもとに、主なISOマネジメントシステムの認証組織件数をまとめると以下のとおりです。


(1) ISO 9001(QMS/品質)
 ・国内:   44,284件(JAB:2018年3月末)
 ・世界:1,058,504件(ISO:2017年末)↓
     1,105,937件(ISO:2016年末)


(2) ISO 14001(EMS/環境)
 ・国内: 22,956件(JAB:2018年3月末)
 ・世界:362,610件(ISO:2017年末)↑
     346,147件(ISO:2016年末)


(3) ISO/IEC 27001(ISMS/情報セキュリティ)
 ・国内: 6,233件(JAB:2018年3月末)
 ・世界:39,501件(ISO:2017年末)↑
     33,290件(ISO:2016年末)


(4) ISO/IEC 20000-1(ITSMS/ITサービス)
 ・国内:  209件(JAB:2018年3月末)
 ・世界:5,005件(ISO:2017年末)↑
     4,537件(ISO:2016年末)


(5) ISO 22301(BCMS/事業継続)
 ・国内:   94件(ISMS-AC:2018年9月20日)
 ・世界:4,281件(ISO:2017年末)↑
     3,853件(ISO:2016年末)


(6) ISO 22000(FSMS/食品安全)
 ・国内: 1,230件(JAB:2018年3月末)
 ・世界:32,722件(ISO:2017年末)↑
     32,139件(ISO:2016年末)


(7) ISO 39001(RTSMS/道路交通安全)
 ・国内:164件(JAB:2018年3月末)
 ・世界:620件(ISO:2017年末)↑
     478件(ISO:2016年末)



世界のISO認証組織件数をみると、QMSは前年比4%減となっていますが、他のマネジメントシステムは増加傾向にあり、ISMSは前年比19%増、BCMSは前年比11%増となっており、情報セキュリティや事業継続のマネジメントの仕組みの構築・運用が求められていることが伺えます。

なお、QMSの減少については、現在、2015年版への移行期であることが影響しているようです。
(2000年版への移行期、2008年版への移行期にも一時的な減少がありましたが、その後、伸長を見せているようです)


以下、元資料です。
詳しくはこちらをご参照ください。

▼JAB:認証組織件数
https://www.jab.or.jp/certification_bodies/
・ページ最下段:認証組織件数

▼ISMS-AC:認証組織件数(BCMS適合性評価制度)
https://isms.jp/bcms.html
・ページ中段:登録情報

▼ISO:ISO Survey 2017
https://www.iso.org/the-iso-survey.html
 
 
 

 

 

2018-09-16 06:00:00

防災の手引き~いろんな災害を知って備えよう~

テーマ:事業継続マネジメント

皆さん、こんにちは。
(株)マネジメント総研の小山です。

大阪府北部地震、西日本豪雨、災害級の猛暑や逆走台風(12号)、そして先日(9/4)の台風21号、北海道胆振東部地震(9/6)、と災害つづきですので、防災情報についてご紹介します。

今回は、内閣府の「防災情報のページ」より、「防災の手引き~いろんな災害を知って備えよう~」についてご紹介します。

このページでは、以下について確認でき、参考になる情報がまとめられています。

 

・大規模自然災害ではどのようなことが起きるのか
・その時どう対応したら良いのか
・災害に対する備えはきちんと出来ているか



目次は、以下のとおりです。

・災害関連ツイッター
 http://www.kantei.go.jp/jp/headline/bousai/twitter.html

 

・地震では、どのような災害が起こるのか
 http://www.kantei.go.jp/jp/headline/bousai/jishin.html

・津波では、どのような災害が起こるのか
 http://www.kantei.go.jp/jp/headline/bousai/tsunami.html

・火山噴火では、どのような災害がおきるのか
 http://www.kantei.go.jp/jp/headline/bousai/funka.html

・大雨・台風では、どのような災害が起こるのか
 http://www.kantei.go.jp/jp/headline/bousai/taifu_ooame.html

・竜巻では、どのような災害が起こるのか
 http://www.kantei.go.jp/jp/headline/bousai/tatsumaki.html

・災害に対するご家庭での備え~これだけは準備しておこう!~
 http://www.kantei.go.jp/jp/headline/bousai/sonae.html

・雪害では、どのような災害が起こるのか
 http://www.kantei.go.jp/jp/headline/bousai/setsugai.html

・特別警報と警報・注意報
 http://www.kantei.go.jp/jp/headline/bousai/keihou.html

・いつ、どこに、どうやって避難したらいいの?
 http://www.kantei.go.jp/jp/headline/bousai/hinan.html


それぞれ具体的な内容がわかりやすくまとめられており、関連事項へのリンクも整理されています。


ぜひ、気になるところから開いて確認してみてください。
そして、有事に備えていただけると幸いです。
 
 
 

 

 

2018-09-01 07:30:02

個人情報の取扱いにおける事故報告にみる傾向と注意点(平成29年度)

テーマ:情報セキュリティマネジメント

皆さん、こんにちは。
(株)マネジメント総研の小山です。

JIPDEC(一般財団法人日本情報経済社会推進協会)より、(平成29年度)「個人情報の取扱いにおける事故報告にみる傾向と注意点」が公表されました(8月27日公表、8月31日改正)。

これは、プライバシーマーク付与事業者からの事故報告をもとに、JIPDECが傾向と注意点をまとめたもので、毎年、公表されているものです。


以下、報告件数の前年度対比です。

・平成29年度:911付与事業者から2,399件の報告
・平成28年度:843付与事業者から2,044件の報告



事故原因の上位群は、前年度に比べ、「メール誤送信」が大幅に増加しました。

(1) メール誤送信 26.5%(前年度:20.7%)+5.8
(2) 紛失     19.1%(前年度:20.0%)-0.9
(3) その他漏えい 14.9%(前年度:13.8%)+1.1
(4) 封入ミス   13.7%(前年度:13.4%)+0.3
(5) 宛名間違い等 12.5%(前年度:14.8%)-2.3



「その他漏えい」の内訳は以下のとおりです。

(1) 事務処理・作業ミス        150件(前年度:64件)
(2) プログラム/システム設計・作業ミス 80件(前年度:89件)
(3) 不正アクセス・不正ログイン     48件(前年度:57件)
(4) 関係者のミスによる漏えい      41件(前年度:36件)
(5) 高等での漏えい           35件(前年度:27件)
(6) システムのバグ            3件(前年度: 8件)


「事務処理・作業ミスによる漏えい」の報告件数が前年度から2倍強に増加しています。


今回、メール誤送信が増加傾向にあることから、「メール誤送信事故を起こさないために」という資料が公表されました。
https://privacymark.jp/system/reference/pdf/H29JikoHoukoku_shiryo_180831.pdf


また以下の注意事項が簡潔にまとめられています。

○インターネットを介した事故
 パターン(作業ミス、ID/パスワードの漏えい、設定ミス)ごとの
 主な事故事例と発生原因、問題点、防止策例

○内部不正行為による事故
 不正行為者(従業者、退職者、委託先)ごとの
 主な事故事例と発生原因、防止策例

○その他、日常業務の中で注意すべき事故
 ・口頭での漏えいによる事故
 ・盗難・紛失による事故



コンパクトな資料ですので、ぜひ直接資料をご確認いただき、ご参考にしていただければと思います。


▼(平成29年度)「個人情報の取扱いにおける事故報告にみる傾向と注意点」
 について(JIPDEC)

https://privacymark.jp/news/other/2018/0827.html
 
 
  
 
 

2018-08-16 06:00:01

STOP! パスワード使い回し!

テーマ:情報セキュリティマネジメント

皆さん、こんにちは。
(株)マネジメント総研の小山です。
 
情報システムや端末、インターネット上のサービスを利用する際、IDとパスワードを用いて本人を認証するのが一般的です。
 
昨今、インターネット上のサービスでこの認証情報が漏洩し、悪用されるケースが増えています。
 
複数のサービスで、同一のパスワードを使い回すと、そのいずれかのサービスで認証情報が漏洩した場合、その認証情報を用いて、他のサービスへのログインが試みられ、不正にログインされ、被害に遭うおそれがあります。
 
そのような被害に遭わないように、認証情報の取扱いについて改めて見直していただければと考えます。
 
 
JPCERTコーディネーションセンターでは、以下の「安全なパスワードの条件」が掲載されています。
 
(1) パスワードの文字列は、長めにする(12文字以上を推奨)
(2) インターネットサービスで利用できる様々な文字種
  (大小英字、数字、記号)を組み合わせると、より強固になる
(3) 推測されやすい単語、生年月日、数字、キーボードの配列順などの
  単純な文字の並びやログインIDは避ける
(4) 他のサービスで使用しているパスワードは使用しない

 
 
攻撃する側にとって、パスワードを破るために費やす労力は、得られる成果よりも小さくなければ意味がありません。
 
例えば、数字4桁のパスワードと、英数8文字のパスワードを考えたとき、前者は「10の4乗」=「1万通り」のパターンを試すと破ることができ、後者は「(26+10)の8乗」=「2.8兆通り」のパターンを試す必要があります。
 
このように、パスワードのパターンを1つずつ総当たりで試す攻撃に対しては、文字種と桁数は多い方が安全であると考えられます。
(いわゆる総当たり攻撃、ブルートフォースアタック)
 
 
また、単語やキーボードの配列順などをパターンの1つとして組み込んで試行される攻撃手法もあります。
(いわゆる辞書攻撃、ディクショナリアタック)
 
その際、アルファベットや数字をよく似た文字・記号に置き換えるという方法も、予め推測されているおそれがあるため、安全とは言えません。
(例)「password」→「p@$$w0rd」
 
 
パスワードを使い回し、使い回していた他のサービスでアカウント情報(ID・パスワード)が漏洩した場合、上記のような「総当たり攻撃」や「辞書攻撃」によらず、認証を破ることができるため、攻撃する側にとっては、小さい労力でパスワードを破ることができると考えられます。
(いわゆるパスワードリスト攻撃、リスト型アカウントハッキング)
 
 
このような危険性を改めて認識するとともに、パスワードは正しい利用者であることを認証するために用いるという本来の目的に立ち返り、それが破られないように、ぜひ正しく設定し、管理するよう見直していただければと考えます。
 
 
なお、JPCERTコーディネーションセンターでは、パスワードの使い回しを控えるように広く呼びかけるため、「STOP! パスワード使い回し! キャンペーン 2018」が実施されております。

 

 

 

 

 

 


 

2018-08-01 08:03:02

ストレングス・ファインダー

テーマ:モットー

皆さん、こんにちは。
(株)マネジメント総研の小山です。

先日、ストレングス・ファインダーのアセスメントを受けました。

『さあ、才能(じぶん)に目覚めよう』(日本経済新聞出版社)という書籍に付いているコードをWeb上で入力し、180近くの質問に答えることで、自分が得意としている資質がわかるというものです。


この書籍の中には、以下の「強みの方程式」が登場します。

「才能」×「投資」=「強み」

※「才能」= 頻繁に繰り返す思考、感情、行動パターン
※「投資」= 練習やスキル開発、知識を身に付けるためにかける時間
※「強み」= 常に完璧に近い成果を生み出す能力



例えば、5段階で評価で「才能」と「投資」を考えると以下のとおり。

(1) 才能が不足している分野で目一杯努力した場合
  仮に才能が[2]、投資が[5]と考えると、
  この分野で強みを築ける可能性は最大[10]となる。
  (才能[2]×投資[5]=強み[10])

(2) 才能があるのに努力を怠った場合
  仮に才能が[5]、投資が[2]と考えると、
  この分野で強みを築ける可能性は同じく最大[10]となる。
  (才能[5]×投資[2]=強み[10])

(3) 才能があり、その分野で努力を尽くした場合
  仮に才能が[5]、投資が[5]と考えると、
  この分野で強みを築ける可能性は最大[25]となる。
  (才能[5]×投資[5]=強み[25])

つまり、この方程式で考えると、最も強みを伸ばすためには、自身の才能に気づき、その才能を起点にして、スキルや知識を身に付け、練習を積むことが重要である、と言えます。


この「才能」の要素として「資質」が位置づけられており、その資質は34に分類されており、アセスメントにより、自身の上位5つの「資質」が明らかになります。


34の資質とは、以下のとおりです。
(日本語だけではニュアンスが微妙なため英語も添えておきます)

・アレンジ(Arranger)
・運命思考(Connectedness)
・回復志向(Restorative)
・学習欲(Learner)
・活発性(Activator)

・共感性(Empathy)
・競争性(Competition)
・規律性(Discipline)
・原点思考(Context)
・公平性(Consistency)

・個別化(Individualization)
・コミュニケーション(Communication)
・最上志向(Maximizer)
・自我(Significance)
・自己確信(Self-assurance)

・社交性(Woo)
・収集心(Input)
・指令性(Command)
・慎重さ(Deliberative)
・信念(Belief)

・親密性(Relator)
・成長促進(Developer)
・責任感(Responsibility)
・戦略性(Strategic)
・達成欲(Achiever)

・着想(Ideation)
・調和性(Harmony)
・適応性(Adaptability)
・内省(Intellection)
・分析思考(Analytical)

・包含(Includer)
・ポジティブ(Positivity)
・未来志向(Futuristic)
・目標志向(Focus)



ちなみに、私の実施結果は以下のとおりでした。

(1) 学習欲(Learner)
  「学ぶプロセスに心を惹かれる」という解説に納得。

(2) 個別化(Individualization)
  「個人個人の違いに注目する」「1から10まで説明して
  ほしい人と1を示せば10を知る人に合わせて教え方を
  調整したりすることができる」
という点は心掛けている
  ことでもあります。

(3) 達成欲(Achiever)
  「1日が終わるまでに何か具体的なことを成し遂げ
  なければならない」
という記述を見て、「1日を無駄なく
  過ごす」というモットーを思い出しました。また、
  「長い時間燃え尽きることなく働くために必要な
  エネルギーを与えてくれる」「原動力」
という言葉に納得。

(4) 責任感(Responsibility)
  「自分がやると言ったことに対して何でもやり遂げよう
  という強い気持ちを持つ」
という解説に納得。また、
  「良心、物事を正しく行うことに対する強迫観念に
  近い考え、非の打ちどころがない倫理観、これらが
  すべてあいまって『絶対的に信頼できる』という
  高い評価を生み出す」
という説明に気持ちが救われました。

(5) 親密性(Relator)
  「相手の感情や目標、不安、夢を深く理解したいと思う」
  という点に強く首肯。


5つとも大切にしていることなので、納得感がありました。

書籍には、それぞれの資質の説明や、行動アイデア、その資質が高い人との働き方、などが記載されています。

そして、「強みの方程式」のとおり、自身の才能に気づき、活かし、強みを伸ばしていくきっかけが得られるツールだと感じた次第です。



 

 

2018-07-16 07:01:00

情報セキュリティインシデントに関する調査報告書(2017年)

テーマ:情報セキュリティマネジメント

皆さん、こんにちは。
(株)マネジメント総研の小山です。
 
6月13日に、JNSA(日本ネットワークセキュリティ協会)より「2017年 情報セキュリティインシデントに関する調査報告書【速報版】」が公表されました。
 
 
この調査報告書は毎年公表されているもので、今回の対象期間は、2017年1月1日から2017年12月31日となります。
 
 
以下、2017年調査報告書の概要です。
 
・漏洩人数     :519万8,142人(1,396万5,227人)
・インシデント件数 :386件(468件)
・平均漏洩人数   :1万4,894人(3万1,453人)
・平均想定損害賠償額:5億4,850万円(6億2,811万円)

 
※( )内は2016年の数値
※平均漏洩件数:1件当たりの平均漏洩件数
※平均想定損害賠償額:1件当たりの平均想定損害賠償額
※想定損害賠償額算出式:JOモデル
 (JNSA Damage Operation Model for IndividualInformation Leak)
 損害賠償額=漏洩個人情報価値
       ×情報漏洩元組織の的責任度
       ×事後対応評価
 
*2016年は1件で漏洩人数679万人を数えるインシデントが発生したため、
 2017年は数字上大きく減少しているように見える点に注意が必要です。
 
 
 
○インシデント・トップ10
 
   漏洩人数   | 業種       | 原因
(1) 118万8,355人 | 製造業      | 不正アクセス
(2)  67万6,290人 | 公務       | 不正アクセス
(3)  59万7,452人 | 情報通信業    | 不正アクセス
(4)  37万1,200人 | 情報通信業    | 不正アクセス
(5)  19万9,169人 | 公務       | 不正アクセス
(6)     19万人 | サービス業    | 管理ミス
(7)  18万4,981人 | 公務       | 管理ミス
(8)  16万3,000人 | 公務       | 紛失・置忘れ
(9)  14万  408人 | 情報通信業    | 不正アクセス
(10) 13万1,936人 | 卸売業,小売業  | 不正アクセス

 
*漏洩人数上位10件のうち、不正アクセスが7割を占めています。
 
 
 
○漏洩原因トップ5
 
(1) 誤操作      97件 <25.1%> (2位: 73件 <15.6%>)
(2) 紛失・置忘れ  84件 <21.8%> (4位: 61件 <13.0%>)
(3) 不正アクセス  67件 <17.4%> (3位: 68件 <14.5%>)
(4) 管理ミス     50件 <13.0%> (1位:159件 <34.0%>)
(5) 不正な情報持出 25件 < 6.5%> (5位: 32件 < 6.8%>)

※( )内は2016年
 
*内部での不備(管理ミス、誤操作、紛失・置忘れ)が
 漏洩原因の多くを占める一方で、不正アクセスの割合が
 増えつつあります。
 
 
 
○漏洩媒体・経路トップ5
 
(1) 紙媒体      150件 <38.9%> (1位:220件 <47.0%>)
(2) インターネット   87件 <22.5%> (2位:108件 <23.1%>)
(3) 電子メール     77件 <19.9%> (3位: 65件 <13.9%>)
(4) USB等可搬記録媒体  41件 <10.6%>  (4位: 45件 < 9.6%>)
(5) PC本体       16件 < 4.1%> (5位: 20件 < 4.3%>)

※( )内は2016年
 
*紙媒体による漏洩割合は減少しており、
 電子メールによる漏洩割合が増加しています。
 
 
 
以上、ご参考になれば幸いです。
詳細は、以下をご確認ください。
 
 
▼情報セキュリティインシデントに関する調査報告書
http://www.jnsa.org/result/incident/
 
 
 
 
 

2018-07-01 07:02:05

ISO 22000:2018(食品安全マネジメントシステム-要求事項)

テーマ:マネジメントシステム

皆さん、こんにちは。
(株)マネジメント総研の小山です。

「ISO 22000:2018(食品安全マネジメントシステム-フードチェーンのあらゆる組織に対する要求事項)」が、2018年6月19日に発行されました。

「ISO 22000」は2005年に国際標準規格として制定されましたが、長らく改訂されておらず、13年ぶりの改訂となりました。


ISOのマネジメントシステム規格は、品質、環境、情報セキュリティ等、複数発行され、それぞれが異なる章立てで統一されていなかったため、2つ以上のマネジメントシステムに取組む組織にとって、統合・整理して運営管理するには易しくない状況がありました。

そのような中、2012年に「ISO/IEC 専門業務用指針-第1部」の「附属書SL」にて、マネジメントシステムの共通仕様が示され、以降、制定/改訂されるISOのマネジメントシステム規格は、この共通仕様に基づいて発行することが原則となりました。

そして、情報セキュリティの「ISO/IEC 27001」は2013年の改訂で、品質の「ISO 9001」、環境の「ISO 14001」は2015年の改訂で、それぞれ「附属書SL」に基づく章立てに変更されました。


「ISO 22000:2005」は従来のHACCPと品質マネジメントシステムの考え方を組合せて作られたことから、「ISO 9001:2000」に準じた章立てで構成されていましたが、今回の改訂で、「附属書SL」に基づく章立てに変更され、「ISO 9001:2015」、「ISO 14001:2015」、「ISO/IEC 27001:2013」等と同じ構成となりました。


「ISO 22000:2018」の主な章立ては以下の通りです。

1 適用範囲
2 引用規格
3 用語及び定義
4 組織の状況
 4.1 組織及びその状況の理解
 4.2 利害関係者のニーズ及び期待の理解
 4.3 食品安全マネジメントシステムの適用範囲の決定
 4.4 食品安全マネジメントシステム(FSMS)
5 リーダーシップ
 5.1 リーダーシップ及びコミットメント
 5.2 方針
 5.3 組織の役割、責任及び権限
6 計画
 6.1 リスク及び機会への取組み
 6.2 FSMSの目標及びそれを達成するための計画策定
 6.3 変更の計画
7 支援
 7.1 資源
 7.2 力量
 7.3 認識
 7.4 コミュニケーション
 7.5 文書化した情報
8 運用
 8.1 運用の計画及び管理
 8.2 前提条件プログラム(PRPs)
 8.3 トレーサビリティシステム
 8.4 緊急事態への準備及び対応
 8.5 ハザードの管理
9 パフォーマンス評価
 9.1 監視、測定、分析及び評価
 9.2 内部監査
 9.3 マネジメントレビュー
10 改善
 10.1 不適合及び是正処置
 10.2 継続的改善
 10.3 FSMSの更新



上記のとおり、ほぼ「附属書SL」に基づいていますので、他のマネジメントシステムとともに取組んでいる組織にとって、統合整理の機会になればと考えるところです。


なお、「ISO 22000:2018」の邦訳版は7月に発行予定のようです。
「附属書B」には、旧版「ISO 22000:2005」との対比が示されていますので、「附属書B」を参照しながら移行・整理するのが有効だと考えます。
 
 
 
 
 

2018-06-16 07:10:01

ISO 9004:2018(持続的成功を達成するための指針)

テーマ:品質マネジメント

皆さん、こんにちは。
(株)マネジメント総研の小山です。

2018年4月に「ISO 9004」が改訂されました。

これまでの「ISO 9004」のタイトルは以下のとおりです。

1987「品質管理及び品質システムの要素-指針」
1994「品質管理及び品質システムの要素-指針」
2000「品質マネジメントシステム-パフォーマンス改善の指針」
2009「組織の持続的成功のための運営管理-品質マネジメントアプローチ」
2018「品質マネジメント-組織の品質-持続的成功を達成するための指針」


当初は、「ISO 9001」に基づく品質マネジメントシステム(QMS)の
構築・運用ガイドのような立ち位置にありましたが、2009年の改訂で、
品質マネジメントアプローチにより、組織の持続的成功を達成するための
運営管理の指針として、大幅に改訂されました。

そして今回の改訂では、主に以下2つの整理が行なわれました。

・他のマネジメントシステム規格と同様に、附属書SL(マネジメント
 システム共通仕様)を意識した箇条構造に整理された。
・“製品/サービスのクオリティ”ではなく“組織のクオリティ”の規格
 であることをタイトルで示し、内容も整理された。


主な箇条は以下の通りです。

1 Scope
2 Normative references
3 Terms and definitions
4 Quality of an organization and sustained success
 4.1 Quality of an organization
 4.2 Managing for the sustained success of an organization
5 Context of an organization
 5.1 General
 5.2 Relevant interested parties
 5.3 External and internal issues
6 Identify of an organization
 6.1 General
 6.2 Mission, vision, values and culture
7 Leadership
 7.1 General
 7.2 Policy and strategy
 7.3 Objectives
 7.4 Communication
8 Process management
 8.1 General
 8.2 Determination of processes
 8.3 Responsibility and authority for processes
 8.4 Managing processes
9 Resource management
 9.1 General
 9.2 People
  9.2.1 General
  9.2.2 Engagement of people
  9.2.3 Empowerment and motivation of people
  9.2.4 Competence of people
 9.3 Organizational knowledge
 9.4 Technology
 9.5 Infrastructure and work environment
  9.5.1 General
  9.5.2 Infrastructure
  9.5.3 Work environment
 9.6 Externally provided resources
 9.7 Natural resources
10 Analysis and evaluation of an organization's performance
 10.1 General
 10.2 Performance indicators
 10.3 Performance analysis
 10.4 Performance evaluation
 10.5 Internal audit
 10.6 Self-assessment
 10.7 Reviews
11 Improvement, learning and innovation
 11.1 General
 11.2 Improvement
 11.3 Learning
 11.4 Innovation
  11.4.1 General
  11.4.2 Application
  11.4.3 Timing and risk
Annex A Self-assessment tool
 A.1 General
 A.2 Maturity model
 A.3 Self-assessment of detailed elements
 A.4 Using the self-assessment tools
Bibliography



JIS化はまだされていませんが、邦訳版はすでに発行されています。
詳しく内容を確認されたい場合は、日本規格協会のサイトから購入
できますので、ご確認ください。
 
 
 

 

 

2018-06-01 07:10:07

GDPR(EU 一般データ保護規則)

テーマ:情報セキュリティマネジメント

皆さん、こんにちは。
(株)マネジメント総研の小山です。

2018年5月25日に、欧州で「GDPR」が施行されました。
(General Data Protection Regulation:一般データ保護規則)

違反した場合の制裁金が巨額であることから話題となっています。


「GDPR」とは、EU域内に所在する個人データの処理、及び、個人データをEU域内から第三国に移転するために満たすべき法的要件が規定されたもので、日本でいうところの個人情報保護法に相当するものです。

2012年に立案、2016年4月に採択され、2016年5月24日に発効、2018年5月25日から行政罰を伴う適用が開始され、これをもって実質的な施行となりました。

また、これにより、1995年から適用されている「EUデータ保護指令(Data Protection Directive 95)」は廃止となります。

違反した場合の制裁として、以下の2類型の制裁金が規定されており、いずれも非常にインパクトが大きい内容となっています。

(上限額)
・1,000万ユーロ、または、全世界年間売上高の2%のいずれか高い方
・2,000万ユーロ、または、全世界年間売上高の4%のいずれか高い方



「GDPR」はEUの法規制ですが、日本の企業等も以下のような場合には、適用対象となる点に注意が必要です。

・EUに子会社、支店、営業所、駐在員事務所がある
・日本からEUに商品やサービスを提供している
 (インターネット取引などでEU域内の所在者の
  個人データをやり取りする場合を含む)
・EUから個人データの処理について委託を受けている
 (データセンター事業者やクラウドベンダー等)



該当する場合は、以下のステップで「GDPR」への対応要否を確認し、対応を検討・実施するのがベターです。

(STEP1)対応状況の把握
 ・対象データの取扱い状況の把握
 ・法令、ガイドラインなどにおける要求事項の把握

(STEP2)ギャップ分析
 ・要求事項と対応状況を整理し、ギャップを把握する

(STEP3)対応方針の検討
 ・ギャップへの対応を検討・整理する。

(STEP4)対応策の実施
 ・対応方針に基づき、対応策を実施する。


無関係のようで無関係でない場合がありますので、ご注意ください。


詳しくは以下をご確認ください。

▼個人情報保護委員会:GDPR
https://www.ppc.go.jp/enforcement/cooperation/cooperation/GDPR/

▼JETRO:EU 一般データ保護規則(GDPR)について
https://www.jetro.go.jp/world/europe/eu/gdpr/



なお、「GDPR」では、EU域内から域外へ個人データを移転するには、

・十分な個人データ保護の保障
 (欧州委員会が、データ移転先の国が十分なレベルの
  個人データ保護を保障していることを決定)

・BCR(Binding Corporate Rules:拘束的企業準則)の締結
  (企業グループで1つの規定を策定し、
  データ移転元の管轄監督機関が承認)

・SCC(Standard Contractual Clauses:標準契約条項)の締結
  (データ移転元とデータ移転先との間で締結し、
  欧州委員会が承認)

・明確な本人同意


等、一定の条件を満たすことが求められています。


現時点で、日本は欧州委員会から「十分なレベルの個人データ保護を保障している」と認められていない状況ですが、昨年施行された改正個人情報保護法に加え、個人情報保護委員会により拘束力を持つ新たなガイドラインが2018年前半に発行される予定で、これをもって欧州委員会から日本への十分性が認められる見通しのようです。


この動向については、またお伝えしたいと考えているところです。
 

 

 

 

 

1 | 2 | 3 | 4 | 5 | 最初次のページへ >>

Ameba人気のブログ

Amebaトピックス