プライバシーマーク:聞き慣れない言葉「付属書SL」

■なんのこと?

プラーバシーマークの規格もJISQ15001:2017として新しくなった。
私はISO9001の審査員を10年以上やっているので戸惑うことはないのだが、初めて接する人は戸惑うことが多々あるだろう。

解説書などを見ても、この世界になれていないと戸惑う言葉が良く出てくる。
その中に「付属書SL」と言う言葉は戸惑うかもしれない。

一言で言えば、「従来、マネジメントシステムごとに規格の構成がバラバラだったのを統一させるための枠組み」と言える。

なぜそんなものが必要になったのかと云えば、

・ISOの規格にはISO9001(品質),ISO14001(環境)、ISO27001(情報セキュリティ)などのいくつかの種類があるのだが、企業によっては複数の規格を取得することを選択しているところもある。
・企業にとっては統治システムは一つなので、マネジメントシステムも多重化は不自然である。そのために、複数のマネジメントシステムがあろうと同じ枠組みで管理した方が合理的である。
・それを実現するためにMSSが提唱され、それが記載されている場所が「付属書SL」である。

で、なぜ「付属書SL」というかと云えば、上記の枠組みはISOを管理する団体が「ISO/IEC専門業務用指針第1部及び統合版ISO補足指針」としてまとめており、その中に規定文書の統一的構造を付属書SLに記載しているからです。

以前は誰でもダウンロードできたのですが今は公開されていません。

参考のために、付属書SLに記載されている規格文書の構造は、下記の通りです。

序文
1.適用範囲
2.引用規格
3.用語及び定義
4.組織の状況
5.リーダーシップ
6.計画
7.支援
8.運用
9.パフォーマンス評価
10.改善

■(参考)一つ前の規格の構造

① ISO9001:2008
序文
1.適用範囲
2.引用規格
3.用語及び定義
4.品質マネジメントシステム
5.経営者の責任
6.資源の運用管理
7.製品実現
8.測定、分析及び改善

② ISO14001:2004
序文
1.適用範囲
2.引用規格
3.用語及び定義
4.環境マネジメントシステム要求事項

③ ISO27001:2006
序文
1.適用範囲
2.引用規格
3.用語及び定義
4.情報セキュリティマネジメントシステム
5.経営者の責任
6.ISMS内部監査
7.ISMSのマネジメントレビュー
8.ISMSの改善

④ JISQ15001:2006
1.適用範囲
2.用語及び定義
3.要求事項

■移行時の混乱はないのか

上記に示すように、マネジメントシステムごとにバラバラの構成にあったものを同じ枠組みの構成にするには一定の工夫が必要になる。
さらに、新しい規格に移行するにあたっては、その仕組みが形骸化しないための工夫や過度な文書化要請の排除などもあり、「組織にあったマネジメントシステムの構築」を求めていると考えている。

ただし、本質的なマネジメントの仕方が突然変わることはあり得ないので「やっていること]自体は変更がなく、入れ替えだけですむことが多い。逆にそうでなければならない。とはいえ、規格への理解がないままでの運用をしてきた組織にとっては規格の理解から始めなければならないために混乱は生じたようだ。

実際にはISO9001しか知らないが、やはり新たな概念「リスクと機会」などは悩みの種だったようだ。実際には、多少の混乱はあるものの、企業活動を変質させるようなものではない。

ISO9001、ISお14001は、すでに新規格の移行はすんでおり、おそらくはJIQ15001での移行も順調に晋と思われる。

■言葉に惑わされないように

さて、プライバシーマークの取得支援の準備をしており、いろいろなドキュメントを見ているが、背景も何も説明なしに聞き慣れない言葉が出てくると戸惑うばかりだろう。そうした人の一助になれば幸いです。

これってどういう意味と思ったら問い合わせください。
サイトにできるだけ説明してアップします。

閑話休題

Be the first to comment

Leave a Reply