約 3,577,356 件
https://w.atwiki.jp/tatecs/pages/22.html
農業協同組合のISO14001認証取得 | サイトマップ 環境保全型農業の推進 近年、農業分野においても環境保全型のシステムへの転換が課題となっている。 農業はこれまでは、自然保護的側面を有した環境調和型の産業であるとの認識が強かった。しかし、高度経済成長の時代に農薬・化学肥料に大きく依存した近代農業が普及し地域の環境を汚染してきたことは、まぎれもない事実である。 農業分野での取り組みの背景 農業分野でのISO14001とは、国際規格ISO14001を農業分野に導入していこうとするものである。つまり、持続的社会の実現という目的に向かい、JAとその組合員の営農活動にEMSを導入し、今日の経営が直面する「脅威(リスク)」対策を図り、さらには「事業機会(ビジネスチャンス)」を創りだしていこうとするものである。まず、その取組みの背景を3つに整理してみた。 第1は、近年、農業分野においても環境保全への対応が重要な課題となってきていることである。環境保全の概念が1999年に成立した「食料・農業・農村基本法」に取り入れられ、また同年には、いわゆる農業環境三法(持続農業法、肥料取締法、家畜排せつ物法)が成立する等、循環型社会の実現に向けてその社会制度改革は着々と進んできている。 持続性の高い社会への転換の試みが開始され、農政においても農業環境政策の視点が重要視されるようになってきたのである。 また、2002年に相次いで起った無登録農薬の問題は、食の安全性におけるコンプライアンスへの取り組みという課題を各農業経営に突きつけた。 このように、環境経営やリスクマネジメントの確立等、「マネジメント」概念の導入が必要となってきており、またそれにもとつく情報公開の推進もその重要性が年々増してきている。 第2は、日本農業の衰退への対応が喫緊の課題となっていることである。 農業者の高齢化の進展や担い手の不足問題等、農業生産の主体そのものの脆弱化が進んでいる。さらに、国内農業者は、輸入農産物との価格競争において劣勢状況にある。このような現状を打破する方策が求められ、農産物の差異化、ブランド化に伴う販売促進策が探求されている。 第3は、農業経営における環境保全活動の販売戦略の可能性が模索されていることがあげられる。農業の21世紀的課題(食の安全性や環境保全)に対して、一農業経営は、具体的にどのような経営を行っていけばよいのか、そして、農業経営が生き残っていくためには、どのような戦略が有効なのか。有機JAS認証への取組みやトレーサビリティシステムの構築、J-GAP認証等の販売促進に関する有効性が検証されている。 その答えを模索する1つの方法として、この農業分野へのISO14001の適用に期待がかかっている。農業経営にとって、環境保全への取組みは、事業機会(ビジネスチャンス)へと繋がっていく可能性を内包しているといってよいだろう。 ISO14001認証取得JAの調査 ながの農業協同組合(長野県) あづみ農業協同組合(長野県) 松本ハイランド農業協同組合(長野県) グリーン長野農業協同組合(長野県) 長野県ではISO14001に意欲的に取り組んでおります。 JAながのは、約10年を越える認証取得活動を経て、2010年7月、自己適合宣言へ移行しました。 自己適合宣言に当たってはTSDCによる第三者審査を受けて客観性を確保しております。 JAの先駆け的な取組みとなっております。 いるま野農業協同組合(埼玉県) JAいるま野では、野菜の産地ということもあり、各種野菜の営農指導・相談事業で間接的に影響を及ぼしうる活動に力を入れております。 またISO14001と環境省のチーム-6活動に登録し環境宣言をしております。 ISO14001と融合させ、全職員での取組みも実現しているところに特徴があります。 兵庫県信用農業協同組合連合会 JA兵庫信連では、経営トップの強いリーダーシップのもと環境経営を推進しております。 金融業務のためエコオフィス活動とともに、環境活動を金融の側面から支援する間接的に影響を及ぼしうる活動に力を入れております。 越後ながおか農業協同組合(新潟県)2010.6 JA越後ながおかでは、電気の省エネ、紙類の削減、廃棄物管理といったエコオフィス活動はもとより、営農指導・相談事業で間接的に影響を及ぼしうる活動に力を入れております。 エコ5-5活動とJGAPの普及推進、出荷コストの削減活動、バイオガソリンの使用推進、環境情報発信、エコマーケティングなどです。 農業協同組合をはじめとして農業関係の分野で、ISO14001を認証取得しているところは上記のほかにも調べてみますと、以下のJAで認証取得をしていることが分かりました。 ホクレン農業協同組合連合会(北海道) 長野県信用農業協同組合連合会 世田谷目黒農業協同組合(東京都) 兵庫六甲農業協同組合(兵庫県) 相生市農業協同組合 本店 (兵庫県) えちご上越農業協同組合(新潟県) 清水農業協同組合(静岡県) 愛知東農業協同組合 作手営農センター 愛知県経済農業協同組合連合会 愛知県経済農業協同組合連合会 米穀販売部 食糧販売課 東びわこ農業協同組合(滋賀県) くにびき農業協同組合(島根県) 土佐れいほく農業協同組合(高知県) 熊本県果実農業協同組合連合会(JA熊本果実連) 熊本宇城農業協同組合(熊本県) 鹿児島県経済農業協同組合連合会 農協観光 JAのISO14001の具体的活動テーマ いわゆるオフィスでのエコ活動は紙・ゴミ・電気が代表例です。 JAの営農指導・相談業務では認証取得した各JAのコメントに書かれたものです。 農業生産者による環境保全農業への取り組み ここ数年の食品関連の偽装事件などのニュース、食料の燃料化、食料の高騰により輸出規制などで食料事情が大きく変化してきている。 中国の餃子事件を発端とする農産物の農薬汚染、加工食品の添加剤使用や偽装食品等に関する報道などで、こうした観念が増幅してきている。 消費者は、農産物・食料品に対して強い“不安”を感じるようになっているのは間違いない。 人々は農産物・食料品に対する“危険”を感じるとともに、それに起因して自らの生命の存続にさえも強い不安を持つようになるに至っている。 社会システムはグローバル化し、国境を越えて農産物・食料品を供給するが、その安全性に対する“不信感”が急速に高まっている。 食料供給システムを構成する各サプライチェーンはこうした人々の不安・不信感の解消に向けての努力を強める必要性が強まっている。 そのなかでも、最も重要な取組みは、農業生産者による環境保全農業への取り組みでなければならないと考えられる。 ここで“環境保全農業”とは、とりあえずは、「減化学肥料・減農薬を基本とする農法に立脚したもの]と定義する。 このような方向を指向する農業生産者に対してこそ消費者は引き付けられるし、そのような農業こそ消費者は支持するであろう。一連の食の不安を引き起こした事件は、また、国産農産物への消費者選好の回帰の絶好のチャンスを作り出しているとも言えるであろう。 IS014001認証取得のすすめ 前述したように、環境保全農業とは「減化学肥料・減農薬を基本とする農法に立脚した農法である」と定義した。 これに対し、農林水産省は、“環境保金型農業”を次のように定義している。 「農薬や肥料の適正な使用の確保、稲わらや家畜排泄物等の有効利用による土づくり等によって、農業の自然環境機能の維持増進を図ろうとする農業生産方式」(平成13年度農業白書)19世紀後半、人類は化学肥料を発明し農業分野で使用を開始することで農業生産の増大・安定化に成功した。 20世紀後半には、化学農薬の使用がごく一般的なものとなった。さらに、近年は、バイオ技術による遺伝子組換え作物、クローン技術によるクローン家畜などがニュースになっている。 こうした技術進歩の活用によって食料の安定供給の確保が格段に向上したのはまぎれもない事実だし、今後も、こうした科学技術の進歩を農業・食料供給側が取り入れていくことを否定できるものではない。 21世紀に入った今、消費者は農産物・食料品に対して不安感・不信感を強く抱くようになったのは、これらの動きに対する反作用の現れであると認識しなければならない。 これらの歴史的経緯を振り返れば、人々は農業が自然の力を借りて存続することが正しい道であって、化学的・人工的に生産される食料は忌避しなければならないという結論に至るのは、人間の本能としての反省であり、気づきである。 したがってこれからは、現在の化学農薬や資材に依存した農業を、少しずつ非化学化していくことや、薬品漬けの食料品を少しずつ薬品漬けでないものにしていくことの必要性は容易に理解できる。 この必要なことを具体的して実行すれば農産物・食料品に“安心・安全”を付加することができ、消費者の関心を再び地域農業や国産食料品に向けさせる、あるいは引き付けることが可能であろう。 それはまた、地域農業の再生の契機となるであろう。 こうした環境保全農業への取組みの手法として、農林水産省が提唱する有機JAS認証制度やエコ・フアーマー制度の活用も有効であるが、最も現実的で、容易な方法は、IS014001認証取得をすることであると思う。 IS014001認証制度は環境保全のためのマネジメントシステムの世界標準規格である。それをコンサルタントの舘 喜久男は、主に農業協同組合の活動分野に適用できるように改良工夫して「JA版IS014001」として確立した。 農業IS014001認証制度と農林水産省の有機JAS認証制度、エコ・フアーマー認定制度との違いは、後二者が法令の定める基準に合致する経営者・事業体に対して行政庁が認証・指定するものであるのに対し、前者ISO14001は、経営者・農業協同組合が減農薬、減化学肥料等にかかる環境目的・目標を自ら設定し、その実現のために構築する推進体制や環境保全マネジメントプログラムに対して民間認証機関が認証を与えるものである。 即ち、後二者が行政庁による法令上の基準に合致しているかどうかを判定するものであるのに対し、前者は経営者・農業協同組合の自主的、自発的な取組みの妥当性とその実現性とを民間機関が判定するという点に特徴がある。 つまり、農業協同組合のIS014001は、行政庁の判断を経ないで実施できるというメリットがある。 IS014001認証制度は、経営者・農業協同組合のみではなく、例えば、組合員や農業法人が取り組むことにより、地域全体や団体の構成員が一体となって可能な範囲での環境保全活動に着手・実行し、地域全体の農産物の付加価値の上昇や、消費者との交流促進といった広域のマネジメントシステムを構築することもやり方によっては実施することが期待できるのである。 農業分野におけるISO9001ヘの取組み事例 ⇒ 詳細はこちらまで。JA(農業協同組合)のISO9001認証取得 ISO規格は、経営管理レベルでの本質的な要求事項 ISO14001やISO9001を認証取得するために、ここではその全体像を眺めておきましょう。 ISOの構築で柱となるのは、①リスクマネジメント、②コンプライアンス、③継続的改善、④情報開示の4点である。 ①「リスクマネジメント」とは、環境マネジメントシステム(EMS)では、汚染の予防であり、企業の潜在的危機への対応が求められているのである。 企業はこれらのリスクに対して、いかなるセキュリティシステムを想定し、実際にそれを構築していくかが問われてくる。また、品質マネジメントシステム(QMS) では、農産物の安全責任を果たすため、残留農薬のリスクなどをマネジメントしていくことと捉えることができる。 ②「コンプライアンス」とは、法規制を順守することである。環境マネジメントシステム(EMS)の構築に際し、まず各組織を取り囲む法規制を把握し、それを順守していく必要がある。それは、企業が社会的責任を果たしていくための第一歩となる。また、品質マネジメントシステム(QMS)においても、顧客満足のため、関連する法規制の順守や顧客と協定した契約内容の履行を推進していくことが求められている。 ③ 環境マネジメントシステム(EMS)、品質マネジメントシステム(QMS)の「継続的改善」への取組みもその構築・運用・改善の重要な柱である。 言及してきたように、EMS、QMSの不断な改善である。改善を繰り返していくことにより、常にその時代状況にマッチしたマネジメントシステムを保つことができる。またそれは、結果的に企業のコスト削減にも繋がっていくことが期待されうる。 ④最後に、「情報開示」があげられる。企業の環境施策等に関するアカウンタビリティ(説明責任)を果たしていく必要がある。この情報公開については、直接、ISO14001規格において要求されているわけではないが、環境経営の観点、あるいはEMSの継続的改善のためには「情報開示」を重点的に行うべきとされている。 また、品質マネジメントシステム(QMS)においても、農産物の安全性に関する情報開示はますます重要になってきている。 認証取得のメリット ISO14001、ISO9001認証を取得することが、各JAにとってどのようなメリットがあるのだろうか。 昨今、持続的社会の実現に向けて、企業の環境保全活動の必要性が盛んに謳われている。しかしながら、企業が環境保全活動のみに偏重し本業を疎かにすることは本末転倒である。あくまでも、企業とは利益を追求する組織であることから、環境に考慮しながら持続的発展を指向する経営を行うことが求められる。 そして、その持続的発展のためには、「環境」保全と「経済」性追求の両側面への対応が必要とされている。 しかしながら、経営意思決定のあらゆる場面で環境問題を意識することは、容易なことではない。そのためには、既存のマネジメントと環境情報の統合が必要となってくるし、それを支える新たなマネジメントの構築が必要となってくる。 農業協同組合(JA)にとって環境問題への対応は「脅威(リスク)」でもあり、「事業機会(ビジネスチャンス)」でもある。そして、その事業機会へのアプローチは、従来の「成長」や「利益獲得」のみに偏重した経営戦略ではありえず、あくまでも持続的社会の構築を前提にしたものでなければならない。 そこで、環境マネジメントシステムの構築への取組みが求められるのである。 その具体的な一般的メリットを整理しておくと、次のようになる。 【直接的メリット】 ① 経営基盤の強化、② 環境(品質)コストの削減、③ 組織の活性化、④ 情報公開の推進 直接的メリットのうち、① 経営基盤の強化としては、業務管理の適正化、コミュニケーションの円滑化、事業の積極的推進等があげられる。② 環境コストの削減として、廃棄物処理コストの抑制、資源の有効活用等がある。 ③ 組織の活性化は、組織体制の適正化、責任権限の明確化、専門性の付与等である。④ 情報公開の推進は、データベースの確立が容易となる事などがあげられる。 【間接的メリット】 ① 社会的信用の向上、② 新規事業開発機会の創出、③ 環境汚染リスク 間接的メリットとしては、① 社会的信用の向上として、例えば、環境格付の向上、エコファンドの推進等があげられる。② 新規事業開発の機会は、環境ビジネスの創出があげられる。また、③ 環境汚染リスクの回避としては、汚染の予防、将来のリサイクルコストの最小化が期待できることがあげられる。 関連するページは下記をクリックしてください。 JA(農業協同組合)のISO9001認証取得 JA(農業協同組合)のISO14001認証取得 食品安全マネジメントシステム 食品安全マネジメントシステム用語の解説 HACCP 関連記事はこちらまで~ → http //tatecs.fc2web.com/JA-E.htm 農業協同組合のISOはタテックスにお任せください 御見積りやご相談等はお気軽にタテックスまでお問合せください。~ お問合せは、ここをクリック ↓ お問合せ
https://w.atwiki.jp/tatecs/pages/193.html
ISO運用支援サービスとは ISO9001、ISO14001、ISO27001、ISO20000などの第三者認証取得を行っている組織は、1年もしくは半年毎の定期審査、3年毎の更新審査をクリアしていかなければ認証取得の維持が出来なくなります。 しかし、中小企業においては、人材不足の問題、能力不足の問題、仕事のかけもちなど、さまざまな理由から維持していくのは容易なことではありません。 終身雇用の時代ではなくなり、せっかく人材が育っても短期に退職してしまい運用ノウハウか継承されず維持が困難になることも生じたりします。 総務、経理、購買などさまざまな社内業務のアウトソーシングを請け負うサービスがあるようにISOの認証取得・維持に関わる業務も、社内に抱え込む業務なのか、外注してしまう業務なのか限りある経営資源をどうつかうか、今一度検討いただければと思います。 当社は第三者認証取得に必要な業務委託を受け、ISO管理責任者や事務局の業務の一部を代行したり、運用の仕方を教え人材育成するサービスを提供しています。これらの課題を克服する一助となりますのでぜひご検討をお願い申し上げます。 ISO業務委託の内容 業務委託の内容は、御社の希望を伺ってサービスする内容と範囲を決めていくことになります。決まり切った内容ではありません。組織の状況に応じたサービスを提供致します。 例1:社内の経営資源は本業に差し向け、ISOに掛かる工数はできる限り業務委託で行う場合。 →当社が「まる抱え」で、行わなければならない業務を全て代行する必要性が高いですが、ご相談により決定致します。 当社が常勤していない以上、「まる抱え」には限界があります。例えば日常業務の「作業日報」を作成することなど 代行することはできません。こうした業務は、限りなく実態に合わせて現場の皆さんに行っていただく以外無い訳です。 ISO認証取得維持に必要な、ISO固有の業務につきましては、全てを代行することは十分に可能です。 例2:人材を育成したい場合 →認証取得当時に、管理責任者やISO事務局として動いていてくれた人材が退職したり、何らかの理由でISO業務から外れて 認証取得維持の要領を判っている人がいなくなってしまう場合がかなりの確率で発生致します。特に人材の定着が悪い 状態に会社が置かれていますと、人材が育ったと思った段階でいなくなるということの繰り返しになっていたりします。 そうした中でも、将来の幹部候補生とか、後継者にしたい人材がいたりします。こうした人に運用の仕方を少しづつ教え 移管していくことで人材育成を図ることが可能になります。 サービスレベルはどの水準にあるのか ISO認証取得の維持を保証致します。 重欠点の不適合は出しません。 軽微な不適合はほとんど出ませんが、出た場合には全て対応策の処置まで対応致します。 改善の機会の提供については、ご相談のうえ、必要と判断されたものについてシステムに取り込みます。 サービスの始めに、双方のやるべきこと、役割分担を決めます。 長く継続していく中で会社の事情が分かってきますので、合意を得ながらサービスレベルをシフトしコストメリットを出します。 サービスメニュー ISO運用代行の内容には、以下のような事項が想定されますが、ご相談により役割分担を決めます。 1内部監査の計画、実施、報告書作成、是正処置のフォローアップ 内部監査規定の見直し、内部監査計画の作成、チェックリストの作成、内部監査の実施、内部監査報告書の作成、経営者へのご報告 2マネジメントレビューの実施 マネジメントレビューの資料作成、マネジメントレビューの実施支援、マネジメントレビュー後の記録の作成 3文書の改訂 マニュアル、規定、手順書、様式、フォーマット、社内規則や業務フローなど 4審査対応 審査料金の交渉、審査コスト削減のご提案、定期審査・更新審査の調整、定期審査・更新審査立会い、不適合に対する是正処置対応、経営者・管理責任者・ISO事務局部分の審査対応又は同席など 5方針・目標の改訂 2015年からは、4.1 組織及びその状況の理解と4.2 利害関係者のニーズ及び期待の理解と、経営戦略、方針目的・目標との整合性が重要になります。--当社は単なるISOコンサルタントではなく、ISO主任審査員、経営学の国家資格である中小企業診断士、経営学修士(MAB)の資格を持つ人のチェックによる指導ですので、組織にあった適切な提案を致します。 6文書・記録のスリム化、ムダ取り、改善 ISOで要求していない、御社でも要求していない文書や記録類を見直しします。 経営に役立つ視点、現場の実情にあった改善を推進致します。--文書の原本管理を行います。ワード、エクセルなど電子版での文書管理、紙での管理をご指導致します。 7その他、経営課題になっていること 本来はISOの認証取得の維持するためのサービスですが、経営というのは、あれもこれも、さまざまな経営課題が生じます。それらについてもご協議により支援致します。 いかがでしょうか? ISO運用代行サポートのイメージをして頂けましたでしょうか? 「ISO運用代行についてもう少し知りたい」という方は、まずは、お気軽にお問合せください。 これまでも、文字にはできないような大変な状況下でご相談をされ、せっぱつまった危機的な状況を打破する ご提案を当社からさせて頂き、結果を出して以来、長いお付き合いになっている企業様が多数ございます。 ISO運用代行の広告を低料金かのようにうたっているサイトとはサービスの質が違います。 ぜひ、ご相談ください。 お待ちしております。 御見積りは信頼と実績のタテックスまでお問合せください。 お問合せは、ここをクリック→お問合せ
https://w.atwiki.jp/kimo-sisters/pages/444.html
455 「ダブルキャスト」 ◆zAA0hWWbi6 sage 2008/06/06(金) 14 48 34 ID VBHtq+q2 第一章「ご都合主義の始まり」 この世は不思議なことで満ちあふれています。 何を隠そう私が通い始めたお嬢様学校もその範疇にあります。 浮き世離れしたスカートの丈、お上品な言葉遣い、ぽわぽわの眉毛。 もちろんお嬢様方はトイレになど行きません。スカートの中でもしません。 超一流のお嬢様とは、あらゆる生理現象から完全にかけ離れたところでお茶会など嗜んでおられるのです。 びっくりです。 驚きのあまり、失禁させそうになりました。 近くにいたビッチを。 「ぴぎぃ!」 牝豚らしく良い声で鳴きやがります。ちょこっと尻を鷲掴みにしただけなのに。 ところでこのビッチ、どこから湧いてきたのかといえば、じつは最初からこの部屋にいたのです。 私が生活することになったこの2LDKの部屋にいて、鞄から出した荷物を整理していました。 部屋を共有することになった、言うなればルームメイトだそうです。 本来なら個室があてがわれるはずなのですが、 諸々の事情により本年度から一年は相部屋生活をすることになったらしいのです。 んなこと微塵も聞いてませんでしたが、別に文句はありません。ありませんよ? ちなみにこのビッチ、名前は青葉《アオバ》だそうです。名字は忘れました。 部屋割りをした人物は「二人で双葉、なんちゃって」とか思ったに違いありません。 死ねばいいのに。 それはともかくこのアホ葉、けっこう愉快な生き物です。 私ほどではありませんが見た目も可愛らしいので、さほど不快感はもよおしません。 挨拶ついでに尻を揉みしだいている今この瞬間も、 「……あっ……やめ」 短く切りそろえた柔らかヘアーを揺らし、つぶらな瞳を子犬みたいに潤ませて、喘ぎます。 わずかな抵抗は示すものの、暴れたり叫んだりする樣子はありません。 「やめてほしいの?」 調子にノリノリ耳元で囁きました。 返事がないので、私は空いた手をたわわな胸にシャイニングフィンガー。 もみもみ。 もみゅ! 思わず指先に力が入ってしまいました。 こいつが何気に着痩せするタイプだったからです。 私は切ない声をもらすアホバカら離れ、自分の荷物の整理をはじめました。 背中に当たる視線は無視です。 「あのー……」 「黙れよホルスタイン」 「ひぃっ!」 常日頃から蓄積していた暗黒成分が零れた気もしますが、まあ某国の有害さに比べれば微々たるものです。 いつも通り深層の令嬢を装っていきましょう。 「ねえ青葉」 「は、はい」 緊張して落ち着かない青葉を、氷柱のごとき眼差しで突き刺します。 「これから仲良く暮らしていく上で、いちばん大切なことは何かしら?」 私の問いに答えるべく青葉は米粒程度の脳みそをフル回転させて考えてる模様。 そして閃いたようです。 「おた、」 「違うわ」 面倒なので私自ら説いてやることにしました。 「私たちがこの限りある領土を分かち合い、平穏無事に一年を終えるのに必要なのはね」 間を置きます。 「絶対遵守の主従関係よ」 「え?」 理解の遅い青葉は間抜け面をして、主たる私を見つめます。 456 「ダブルキャスト」 ◆zAA0hWWbi6 sage 2008/06/06(金) 14 49 19 ID VBHtq+q2 平和ボケした温室育ちめ。 荒涼とした世間を知らずに生きてきた娘の甘ちゃんっぷりに、思わず溜息がもれます。 「いいわ。明日からでもみっちり叩き込んであげるから」 今日は、なんだか疲れてしまいました。 「仮眠をとるから、その間にそこの荷物を私好みに配置しておきなさい」 注文を付けると、私は日当たりの良い部屋を選んで入りました。 新入生を迎えるにあたり、大きな家具は学校側が予め用意しておいたようです。 真新しいベッドの上に俯せに倒れ込み、微睡みに身を浸します。 今日からここが私の部屋です。 特待生に対する学校側の配慮により、青葉とかいう侍女、兼、愛玩動物も進呈されました。 せいぜい有効活用させていただきますとも。 「あのね、その山田さん」 遠くのお兄さまを想います。 「山田呉葉さん」 どこかの高校に通うお兄さま。 私がいない寂しさに打ち拉がれながら、それでも適度に充実した日々を送っていることでしょう。 「山田呉葉さま?」 懸念があるとすれば、あのゴミ屑ジジイの存在です。 幼い頃の私の記憶によれば、 あいつは細菌にも満たない人間性しか持ち合わせぬ、まさに獣欲の塊のような男なのです。 美人を見かけて声をかけること矢のごとし。 子供たちの目をはばかることなくNANNPAを繰り広げ、 その優形の美貌に魅了された牝豚どもをホテルに連れ込み次々と食しておりました。 まあ私たち兄妹は晩餐会にはお呼ばれしませんでしたので、実際に食したかどうかは謎ですが。 「ねえねえ、呉葉さんってば」 ようやく察しましたか、この愚鈍な生娘は。 寝転んだまま、振り向きました。 「……なに? 死にたいの?」 「死にたい人は進学しないよ。それより、これ見てこれ」 なかなかどうして、胸と適応能力だけは発達しているようです。 怯えるどころかむしろ嬉しそうに、つぼみ状に合わせた両手を差し伸ばしてきます。 つぼみの中身を見せたいようです。 仕方ありません。 顔を近づけて覗き込むと、指の隙間から何かが垣間見えました。 「洗面所で見つけたの」 つぼみの中をコソコソと。 カサカサと。 「可愛いでしょ。ゴキちゃん」 ――――くっ! 私としたことが、完全にしてやられました。 こいつ芋子か…… 意識が、もろくも霧散します 復しゅ 虚ろの淵にて。 お兄さまと再会を果たすその日まで、退屈しのぎには困らなそうです。 つづけ!
https://w.atwiki.jp/tatecs/pages/158.html
ISO認証取得支援 サービスフロー サイトマップ ここでは、ISOを新規認証取得しようと検討されている方に、「ISOシステム構築への取組み」その1 を解説したいと思います。 社員が一丸となってゴールをめざす ISOシステム構築への取組みは、社員が一丸となって当面の目標であるゴールを目指すことが肝要となります。良い取り組みのスタートを切るためには、1 人ひとりが実現へ向けてモチベーションを高めていくこと、それを維持することが大切です。中小企業の社員にとってISOは、まだなじみが薄いので腰が引けている人がいます。皆さんのベクトルを同じ方向に向けなければなりません。 初めての取組みにあたり社員は、得体の知れないISOが突然降ってわいたように思うものです。「どうせまた上の方で決めてくれるだろう」くらいにしか考えないかもしれません。 トップや管理職の人が外部研修などで理解が深まりましたら、あまり間をおかずに社員へのポイント学習を実施するとよいでしょう。ISOへの認識をできるだけ早く共有することが大事です。”当たり前のことをやるだけ”という意識を早く持ってもらうことです。 そのためには、品質マネジメントシステムへの取り組み指針と、今後の活動の概要を整理しておくことをお奨め致します。 例えば、5W2Hの形式でまとめるのでしたら、次のように整理してみるとよいでしょう。 (1) ISO品質マネジメントシステムとは何か、その狙いは何か?(What) (2) わが社はなぜそれを取得するのか?(Why) (3) 誰がやるのか、どのような人材が必要となるのか?(Who) (4) どのような推進体制で取り組むのか、どう認証取得活動を進めるのか?(How to) (5) 仕組みをどのような形で表し、どの場面で必要になるのか?(Where) (6) いつから取り組み、いつ取得をするか?(When) (7) 取組みにどれくらいの工数がかかるか、その費用はどのくらいか?(How much) スタートよければ半ばよし 「段取り7分、仕事3分」と現場の作業ではいわれます。準備や計画の大切さは、日常の仕事で常に経験することですが、プロジェクトを成功させるにはなおさらです。ISOの取組みには、セレモニーと、明確なプランと体制づくりが欠かせません。 初心を忘れないためにもオーブニングセレモニーは実施した方がよいでしょう。社長の固い取得決意表明は社員を奮い立たせる効果が期待できます。 その次に、構築作業の全体スケジュールを立てます。プロジェクト管理の第一歩は、”まず計画ありき”の考えは、最終目標達成までの進捗管理は欠かせません。大日程を立て、推進体制の役割と責任を明確にします。 プロジェクト組織化のポイントは、 ① 推進事務局を設置(人材的に可能ならば専任の事務局員を置く)して、 ②関係部門から最低1名メンバーを選任(現業と兼務でよい)して実行チームをつくり、 ③実行チームのメンバーが自部門の小集団活動のリーダーとなりWGを組織して現場の末端まで参画させて、 ④経営層の合議体で定期的な報告や審議をして、全社的取組みとしてオーソライズさせるのがよいでしょう。 ISO認証を取得するということは、現在の品質マネジメントシステム度合いの分析が必要になります。ISOで要求している品質マネジメントシステム事項に対して、強い部分(すでに仕組みができあがっている分野)や弱い部分(仕組みがほとんど明確になっていない分野)などを知ることから始まります。現状をチェックシートなどでチェックして、取組み体制や所要期間などへのマンパワーの投入量・費用を検討するとよいでしょう。 推進体制づくりからシステム構築、運用~受審までの流れ例(従業員30~50人程度の場合) 1.認証取得の決意 ・経営トップがISO9001の意義を十分認識する。(取得の理由と効果、決意) ・研修やコンサルタントなどから情報を収集する ・適用範囲、認証サイト、コンサルタントなどを決める 2.管理責任者と事務局の任命 ・QMS責任者…社長または工場長/事業部長 ・推進責任者…品質保証部長 ・事務局…1~2名(品質保証部) 3.プロジェクトチームの編成 ・プロジェクトメンバーを選出 ・キックオフ・ミーティング開催 ・社内PR、社員への周知 ・推進計画の策定 4.システム構築 ・業務分析と見直し ・品質方針の策定 ・品質マニュアル、規定、手順書などの作成 5.システム運用 ・社員教育の実施 ・マニュアル、規定、手順書にそった作業の実施と記録 6.内部監査の実施 ・計画書、チェックリスト、監査実施、結果報告書の作成 ・是正処置、予防処置の実施 7.マネジメントレビューの実施 ・マネジメントレビューの実施 8.第三者審査の受審 ・予備審査の受審 ・本審査の受審 品質/環境/情報セキュリティなど マネジメントシステム文書の構成 品質マネジメントシステムとは、品質管理を推進するための組織の構造、責任、手順、工程、および経営資源などのしくみのことです。自社の品質マネジメントシステムと品質方針を明文化し、品質マネジメントシステム要求事項を実行するために用いる主要文書の典型的な形式が品質マニュアルです。 品質マニュアル作成の目的は、品質マネジメントシステムに関する適切な事項を記述し関係者に提供することです。 また、品質システムと文書類の位置付けとしては、まず品質システムを構成する文書類の最上位に品質マニュアルがあります。次に品質マニュアルを具体的な内容で表した規定・規格・標準がきます。その下位文書に、規定・規格・標準を実施するための手順書・指示書類が位置付けられます。 最後に、これら規定・規格・標準および手順書・指示書類に基づき実際に行なわれたことの証明としての伝票類を含む品質記録があります。記録は文書の一部とされています。 品質マネジメントシステム文書作成のポイント 品質マニュアルをはじめ、二次文書以下の品質システム文書作成にあたっては、「網羅性・簡便性・整合性」の3つを留意してすすめましょう。まず、 ISO9001で要求している"規格要求事項"が最低限満たされていることが必要です。そして、規定要求事項(顧客との契約事項、自社内部で規定する事項、法的・社会的要求に基づく事項など)が"分かりやすく""必要な事項は漏れなく""文書間の関連性が取られている"ことが必要です。 この3つの要素を満たし、迅速かつ合理的に作成するためには、品質システム構築技法などを適宜工夫して、次の6項目に気を配りながら作成するとよいでしょう。 ① ISO9000品質システムと既存の社内規定・標準の関係を認識する ② 自社の現状の標準化レベルを的確に把握する ③ 最低限要求事項を満たし、しかも自社でも実行できる範囲で、社内の規定を要約する ④ 品質マニュアルでは,簡潔かつ具体的に記述する。また下位文件の社内規格、手順書、指示書を引用する。また、図解、フローチャートで表現すると分かり易くなります。 ⑤ 品質マネジメントシステム要求事項と品質マニュアルの網羅性を確認する ⑥ 品質マニュアルと個々の社内規格・手順書・指示書との整合性を確認する 品質マネジメントシステム文書の社内体系(例) 経営管理 ・社内規定総則、経営基本政策規定、組織規定、職務権限規定など 組織図、委員会運営要領、経営方針策定要領、委員会議事録など 人事管理 ・人事管理規定、教育訓練規定など 教育計画作成要領、資格認定要領、研修報告書など 総務/庶務管理 ・就業規則、文書管理規定など 社内文書作成要領、文書配布要領、文書改訂通知書など 営業管理 ・受注管理規定、保守サービス規定、顧客満足度調査規定など 受注契約実施要領、見積書作成要領、契約内容打合せ覚書など 生産管理 ・生産管理総則規定、工程管理規定、作業管理規定など 生産計画作成要領、組立作業標準、作業日報、完了報告など 資材管理 ・資材管理総則規定、購買管理規定、外注管理規定、倉庫管理規定など 購買文書作成要領、取引先評価要領、ミルシート、納品書など 品質管理 ・品質保証規定、検査管理規定、苦情処理規定、品質監査規定など 受入検査/検収標準、自主管理標準、受入検査報告書、出荷検査報告書など 設備管理 ・設備管理規定、治工具管理規定、計測器管理規定など 治工具取扱い要領、計測器取扱い規準、日常点検表、設備管理台帳など 技術管理 ・技術管理総則規定、設計管理規定、図面管理規定、設計標準、製図標準など 製品規格、部品規格、材料規格、設計変更通知書、設計審査チェックシートなど 次は、ISOを新規認証取得しようと検討されている方に、「ISOシステム構築への取組み」その2 を解説したいと思います。 早く、安く、効果的な取組み方法 グローバル経済化が進んだ今日、国際的な取引は、”有言後に実行”の文化で実行していかなければなりません。昔の日本には、”あうんの呼吸で実行”とか、長期なれ合い取引により帳尻を合わせるような経営をしてきた面がありました。国際化が進展した今日、「主張しつつ、相手に受け入れられる方法」を身につけなければなりません。 国内取引においても、系列関係や身内意識がすでに崩れてしまい、まったく新規の顧客と取引を始める場合にはこの感覚が重要となります。 ”あうんの呼吸”だけの経営感覚ではISOのシステムは築けません。まず”先に契約ありき”であることを肝に銘じることも大事です。そして経営の仕組みを文書として明文化することが必要となります。 最近の新規認証取得企業は30名程度の企業が多くなってきました。こうした小規模企業のニーズは、早く、安く、効果的な取組みで認証取得したいということのようです。これを実現するには、経験と知識の豊富な経営コンサルタントの活用が鍵を握ります。 筆者が最近支援した企業は、3ヶ月半で認証取得しました。システム構築に1ヶ月弱、順次運用を初めて無事合格しています。しかもISO9001とISO27001の統合マネジメントシステムの構築、運用でした。優秀なコンサルタントのノウハウと時間を買うのはスピード経営が求められる今日、非常に大事なことなのです。 ISOには、2つの効能-特効薬と漢方薬 ISOは認証取得の動機でその効果が違ってきます。即効性を求めるか、遅効性でも体質改善を求めるかの違いです。 取引先から言われたから、輸出拡大のため、など外部要因による取組みは、差し迫った理由がありますので取得効果には即効性があります。この場合、取得することが目的ですので、”既成の市販のマニュアル”を入手し、住み心地の悪い”一夜城のシステム”を短期間で構築して取得することも可能です。 しかし、取得後は増改築、雨漏り、強度不足などで修復工事に四苦八苦します。ましてや、ライバル会社が認証取得したからとか、商工会の周辺の会社が取ったからとかの、受け身で取り組むと目的も効果見通しも不透明で、悲劇的結果を招きかねません。 やはり、ISO取得とその取組みの狙いを、短期的には対外的な特効薬として、長期的には自社の体質改善の漢方薬にするのがよいでしょう。そうすれば、社内におけるISOの「意味付け・位置付け・方向付け」が明確になり、社員にとっても分かり易くなります。 ISO取得に取り組む前に管理責任者が考えること ISOでは、文書作成および実施事項に対して、権限のある管理責任者を置くように義務付けている。管理者層がシステム構築段階から参画しなければ運用するのが難しくなります。 したがって、トップダウンとボトムアップの接着剤として、管理責任者の機能・役割が絶対に欠かせません。本当はこんな面倒なことはやりたくない、と考える管理者が多いかもしれません。 管理責任者は常日ごろ、部下の仕事が進まないという悩みを抱えながら仕事をしています。その上このような余計な役割を押しつけられたのではかなわないというのが本音でしょう。 しかし、部下が遅れる要因をもう少し掘り下げて分析してみるとよいでしょう。彼らからは、「やり方や仕組みが分からない」「能力以上のものを抱えている」「会社の目標が自分の目標につながらない」「個人としての価値が見出せない」「興味がわかない」などの意見が返ってきます。 結局、会社の方針だから仕方なくやっている。方針は押しつけとしか捉えられていない側面もあります。 反発的な者や、まったく気力のない者が混在しますが、その圧力的な対策に追われてばかりいても労力のムダになります。外堀から埋めていくよう環境づくりを考えておきたいところです。最低限、推進グループの足を引っ張らないようにする策は講じておくことが大事です。 部下にとってISO取得のメリットはあるのか 管理責任者は、部下の自発性・自己啓発を促し、その気にさせるには「社員にとって、ISO取得のメリットは何か」を部下に説明し、納得させなければなりません。それにはやはり管理者自身が、そのメリットは日常業務や個人の能力開発にあることを理解・納得する必要があります。 内部監査員養成研修を社員研修として実施する企業は相当数あります。中堅・幹部社員をまとめて、外部講師による社内研修が実施されています。ISO取得および取得後の維持には多数の監査員が必要になるからです。しかし受講の目的はそれだけではないようです。 これまで、会社には、自社の仕組みの全体像を知る機会あるいは知らせる機会がなかったことによるものと思われます。会社としては整備・見直しのチャンスであり、社員にとっては全体を知るチャンスであると同時に自ら整備・構築の作業に参加できるチャンスなのです。 具体的なインセンティブ(誘因)がなければ、社員がその気になるモチベーションとして十分ではありません。兼務で取り組むISOの仕組みづくりを円滑に達成するには、1人ひとりがその気になることが大事です。 それには一生懸命取り組み、役割を全うした者にはそれなりに評価するシステム(能力主義人事評価システムとの連動など)を検討しておくとよいでしょう。 産業界では今や、能力主義人事が当たり前になりました。社員がその気になり、ISOのシステムにより全社的にさらに大きな成果を得るには、このような周辺システムの見直しも必要となります。 ISOは経営管理の羅針盤になる 1. 社長の言うことや方針・目標がコロコロ変わる 2. 総務通達を出したがさっぱり実行されていない 3. 製品/サービスが、完成したのか否か担当者に聞かないと不明、しかもたまに不良品を出荷してしまう事もある 4. お客さんからクレームの連絡を受けて、その製品の製作者・製作月日・使用材料などの履歴を調べて報告するのにも、記録がなくいつもあちこちの書類を引っ掻き回す 5. 営業から設計への設計・開発仕様の内容がはっきり伝達されず手戻りがよく発生する 6. 他の部門との連絡・書類の配付がされていない 7. 得意先からの追加変更の連絡が製造に伝わっていない これらの苦情・トラブルが社内あちこちで日常化しているのでしたら、ISOをやりましょう。自分の役割と責任が明確になります。また、仕事の手順が誰でも分かるようになります。 トラブルによるコミュニケーション・ストレスが大きく減ることでしょう。 その結果、気が楽になります。社内の人事異動でも仕事の引継ぎが容易になります。認証取得して、システムを定着させれば、管理者の仕事も楽になります。 部下への怒鳴りや不信感も解消します。 ISOのシステムとその文書は、部下も上司も、顧客(得意先や親会社)も自社も平等に使えるコミュニケーションの共通語です。 社員自ら経営改善を図り、日常活動をスムーズに行なうためにも挑戦しましょう。ISOは、社員の改善活動の新しい羅針盤となります。 会社が生き残り、社員の生き残るための問題解決するための取組みでもあります。取り組みは受け身でやると嫌になります。システムをつくり上げる面白味や達成感を味わおうとする気持ちが大事です。 ■ 関連するページ → サービスフロー 御見積りは信頼と実績のタテックスまでお問合せください。 お問合せは、ここをクリック→ お問合せ
https://w.atwiki.jp/tatecs/pages/123.html
ISO9001 ISO9001 2015とは ISO9001-2015 要求事項 ISO9001システム改善 ISO9001新規認証取得支援コンサルティング ISOシステム構築への取組み-その1 ISOは経営システムの基本である 社長はISOをどのように活用できるか ISO9001用語集 精密板金加工業への適用例 プレス加工業への適用例 機械加工業への適用例 電気工事業への適用例 ソフトウェアのISO9001 | サイトマップ ISO9001:2015とは はじめに: ISO9001 は2015年7月、FDIS版(最終国際規格案)を経て、2015年9月、IS版(国際規格)として正式発行されました。 ISO9001 2015年版発行と移行までのスケジュールについて: ISO 9001 2015 DIS(国際規格案) 2014 年5月14日発行 ISO / FDIS 9001(最終国際規格案) 2015 年7月9日発行 ISO 9001 2015 (国際規格) 2015 年 9月15日 発行 ISO 9001は、日本国内のJIS規格 JIS Q 9001 2015として2015-11-20付で改正されました。 対訳ポケット版も発行されています。 新版JISは、JAS-ウエブストアの他、全国JIS取扱い書店で購入できます。 新版JISには、旧版にも見られた下線を附した、「JIS独自の、 国際規格にはない参考事項」が含まれています。 改訂版への移行期間は 3年 です。 ISO版で認証している組織は、2018年9月14日までに、同様にしてJIS版で認証している組織は、2018年11月19日までに移行完了となると思われますが、確実な月日については、審査機関に問い合わせて確認してください。 ISO9001 2008 年版から 2015 年版での変更内容について: 新しい国際規格案は、統合版ISO補足指針・附属書SL(Annex SL)に定義されている上位構造及び語句の定義が適用されています。 また、この附属書SLによって、ISOマネジメントシステムに関係する共通テ キストが定義されています。 将来のISOマネジメントシステムの規格は、上位構造にて定義されている共通テキストと語句の定義によって、共通の枠組みの 中で成り立つようになります。 この共通の枠組みについては、ISO/IEC専門業務用指針、第1部、附属書SLにて詳細が記されております。 この共通の枠組み(共通テキスト化)が設定された目的は: 規格を標準化し、また効率的に開発するため。 今まで以上に規格同士の足並みを揃え、また互換性を持たすため。 複数のマネジメント規格を維持・取得を目指している組織にとって、使いやすいものにするため。 この共通テキストに基づいて、既に下記のISO規格が発行されています。: ISO 30301 2011 情報及びドキュメンテーション-記録のためのマネジメントシステム-要求事項 ISO 22301 2012 社会セキュリティ-事業継続マネジメントシステム-要求事項 ISO 20121 2012 イベントの持続可能性に関するマネジメントシステム-要求事項と利用手引 ISO 39001 2012 道路交通安全(RTS)マネジメントシステム-要求事項及び利用の手引 ISO 27001 2013 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項 ISO 55001 2014 アセットマネジメント-マネジメントシステム-要求事項 下記のISO規格についても、共通テキストに基づいて改訂されました。 ISO 14001 2015 環境マネジメントシステム-要求事項 ISO 9001 2015 品質マネジメントシステム-要求事項 ISO9001:2015年版における、主要な変更点について: 前述の附属書SLの上位構造が適用された。 プロセスアプローチの理解及び適用をサポート・改善するために、リスクに基づいた考え方(リスクベースドシンキング)が、より明確な要求事項として挙げられた。 指示的な要求事項は少なくなった。 文書に対しては、あまり重点が置かれなくなった。 サービス(の提供)に対する規格適用性が改善された。 QMSの適用範囲に関する、その「境界」を定めることが、要求事項になった。 組織の状況について、重点が置くことが追加された。 リーダーシップに関する要求事項が増えた。 顧客満足を改善するために必要とされる成果の達成に、大きな重点が置かれた。 品質マネジメントの原則の変更点について: 2008年版は、次の8大原則を掲げていました。ISO9001の構築活動は、企業に求められる8大要素を系統的で目に見える形に作り上げることであり、企業が成功するカギとされていました。2015年版では、次の7大原則に整理されました。 2008年版 2015年版 1 顧客重視 1 顧客重視 2 リーダーシップ 2 リーダーシップ 3 人々の参画 (involvement) 3 人々の参画(engagement) 4 プロセスアプローチ 4 プロセスアプローチ 5 マネジメントへのシステムアプローチ 6 継続的改善 5 改善 7 意思決定への事実に基づくアプローチ 6 証拠に基づく意思決定 8 供給者との互恵関係 7 関係のマネジメント 用語の変更点について: 下表の用語は、2015年版では次のように整理されました。 2008年版 2015年版 1製品 1製品及びサービス 2適用除外 2使用せず(附属書A.5の適用可能性の 明確化を参照) 3文書、記録 3文書化した情報 4作業環境 4プロセスの運用に関する環境 5購買製品 5外部から提供される製品及びサービス 6供給者 6外部提供者 規格項番の変更点について: 2008年版は8章の構成でしたが、2015年版は10章構成です。3.用語及び定義は、JIS Q 9000:2015 (ISO 9000:2015)を用いる形となりました。 2008年版 2015年版 1 適用範囲 1 適用範囲 2 引用規格 2 引用規格 3 用語及び定義 3 用語及び定義 4 品質マネジメントシステム 4 組織の状況 5 経営者の責任 5 リーダーシップ 6 資源の運用管理 6 品質マネジメントに関する計画 7 製品実現 7 支援 8 測定、分析及び改善 8 運用 9 パフォーマンス評価 10 改善 さらに細かい条項の目次を確認したい方は下記ページを参照下さい。 ISO9001-2015 要求事項 ISO9001関連するページ ISO9001システム改善コンサルティングの詳細はこちらへISO9001システム改善 ISO9001新規認証取得支援コンサルティングの詳細はこちらへISO9001新規認証取得支援コンサルティング ISOシステム構築への取組み-その1 +その2 ISOは経営システムの基本である 社長はISOをどのように活用できるか ISO9001 2015 ISO9001-2015 要求事項 ニーズで選べる支援内容 お客様のニーズにもとづき、ISO取得や改善に必要なサービス内容、工数等を設定できます。お問合わせください。 既にシステム運用をしていて、改善したい、運用を支援してもらいたいのだが。。。といった改善のご相談もお気軽にお問合わせください。 マニュアルや管理文書の改良(高度化、整合化、削減など)のための書き換えサービスを実施しております。 ISO9001,ISO14001,ISO27001など他規格との統合マネジメントシステムも対応可能です。 サービス内容はお客様との相談により対応しております。 お気軽にお問合せください。 お問合せ タテックス有限会社では、既にISOを認証取得している企業様のシステム改善支援コンサルティング、数年毎に行われる新規格への移行支援コンサルティング、並びに新規に認証取得しようとする企業様への認証取得コンサルティング、内部監査員新規養成研修、内部監査員レベルアップ研修、事務局運用支援サービス、自己適合宣言サービスなどを行っております。 お申し込み、ご相談はお気軽にお問合せ下さい。 御見積り・ご相談等は信頼と実績のタテックスまでお問合せください。 お問合せは、ここをクリック ↓ お問合せ
https://w.atwiki.jp/tatecs/pages/173.html
ISO14001 ISO14001-2015 ISO14001改善 環境関連法規制 環境法規制・条例の最新情報、改正または制定の関連リンク ISO14001用語集 | サイトマップ ISO14001用語集 環境 (environment) 大気、水、土地、天然資源、植物、動物、人及びそれらの相互関係を含む、 組織の活動をとりまくもの。 参考 ここでいうとりまくものとは、組織内から地球規模のシステムにまで及ぶ。 環境側面 (environmental aspect) 環境と相互に作用する可能性のある、組織の活動又は製品又はサービスの要素。 参考 著しい環境側面は、著しい環境影響をもつか又はもつ可能性がある 環境影響 (environmental impact) 有害か有益かを問わず、全体的に又は部分的に組織の環境側面から生じる、 環境に対するあらゆる変化。 汚染の予防(prevention of pollution) 有害な環境影響を低減するために、あらゆる種類の汚染物質又は廃棄物 の発生、排出、放出を(個別に又はその組合せにおいて)回避し、低減し、 管理するためのプロセス、操作、技法、材料、製品、サービス又はエネルギー の使用。 参考 汚染の予防には、発生源の低減又は排除、プロセス、製品又はサービス の変更、資源の効率的使用、代替材料及び代替エネルギ-の利用、再利用、回 収、リサイクル、再生、処理などがある。 環境マネジメントシステム、EMS(environmental management system) 組織のマネジメントシステムの一部で、環境方針を策定し、実施し、環境側面 を管理するために用いられるもの。 参考1 マネジメントシステムは、方針及び目的を定め、その目的を達成する ために用いられる相互に関連する要素の集まりである。 参考2 マネジメントシステムには、組織の体制、計画活動、責任、慣行、 手順、プロセス及び資源を含む。 環境方針 (environmental policy) トップマネジメントによって正式に表明された、環境パフォーマンスに関する 組織の全体的な意図及び方向付け。 参考 環境方針は、行動のための枠組み、並びに環境目的及び環境目標を設定 するための枠組みを提供する。 環境目的 (environmental objective) 組織が達成を目指して自ら設定する環境方針と整合する全般的な環境の到達点。 環境目標 (environmental target) 環境目的から導かれ、その目的を達成するために目的を合わせて設定される詳 細なパフォーマンスの要求事項で、組織又はその一部に適用されるもの。 環境パフォーマンス (environmental performance) 組織の環境側面についてのその組織のマネジメントの測定可能な結果。 参考 環境マネジメントシステムでは、結果は、組織の環境方針、環境目的、 環境目標及びその他の環境パフォ-マンス要求事項に対応して測定可能である。 利害関係者 (interested party) 組織の環境パフォーマンスに関心をもつか又はその影響を受ける個人又はグループ。 監査員 (auditor ) 監査を行なう力量をもった人。[ ISO9000 2000. 3.9.9 ] 内部監査 (internal audit) 組織が定めた環境マネジメントシステム監査基準が満たされている程度を判定 するために、監査証拠を収集し、それを客観的に評価するための体系的で、独 立し、文書化されたプロセス。 参考 多くの場合、特に中小規模の組織の場合は、独立性は、監査の対象となる 活動に関する責任を負っていないことで実証することができる。 組織 (organization) 法人か否か、公的か私的かを問わず、独自の機能及び管理体制をもつ、企業、 会社、事業所、官公庁若しくは協会、又はその一部若しくは結合体。 参考 複数の事業単位を持つ組織の場合には、単一の事業単位を一つの組織 と定義してもよい。 不適合 (nonconformity) 要求事項を満足していないこと。 [ISO9000 2000、3.6.2 ] 是正処置 (corrective action) 検出された不適合の原因を除去するための処置。 予防処置(preventive action) 起こり得る不適合の原因を除去するための処置。 文書 (document) 情報及びそれを保持する媒体。 参考1 媒体としては、紙、磁気、電子式若しくは光学式コンピュータ ディスク、写真若しくはマスターサンプル、又はこれらの組合せがあり得る。 参考2 ISO9000 2000,3.7.2を一部変更。 手順(procedure) 活動又はプロセスを実行するために規定された方法。 参考 手順は文書化することもあり、しないこともある。 参考 ISO9000 2000、3.4.5を一部変更。 記録(record) 達成した結果を記述した、又は実施した活動の証拠を提供する文書。 参考 ISO9000 2000、3.7.6を一部変更。 継続的改善 (continual improvement ) 組織の環境方針と整合して全体的な環境パフォーマンスの改善を達成する ために環境マネジメントシステムを向上させる繰り返しのプロセス。 参考 このプロセスはすべての活動分野で同時に進める必要はない。 グリーン購入 製品やサービスを購入する際に価格や品質・利便性・デザインだけでなく環境への影響を重視し、環境負荷が出来るだけ小さいものを優先して賭入すること。 3R Reduce・Reuse・Recycleの頭文字を取ってそう呼ばれる。Reduceは、ごみの発生を抑制すること、Reuseは、不要となったものを再使用すること、Recycleは、ごみを資源として再生利用すること。 サーマルリサイクルとケミカルリサイクル サーマルリサイクルとは、廃棄物を単に焼却処理せず、焼却の際に発生する熱エネルギーを回収・利用すること。 一方、ケミカルリサイクルは、使用済みの資源を、化学反応により組成変換してから、再生利用すること。 有価物 他社に有償売却する物品で利材品ともいう。不要物ではないため廃棄物には含まれない。 廃棄物 不要になり廃棄の対象となった物および既に廃棄された無価物を指す。事業者より排出の廃棄物を処分するためには、行政の許可を得た業者もしくは法律で認められた業に携わる者との委託契約が必要である。 一般廃棄物 一般家庭から排出される家庭ごみや事業所から排出される産業廃棄物・特別管理産業廃棄物以外の廃棄物(事業系ー般廃棄物)をいう。 産業廃棄物 事業活動に伴って生じた廃棄物で廃掃法により21種類が指定されている。 特別管理産業廃棄物 産業廃棄物のうち、爆発性・毒性・感染性・その他の人の健康又は生活環境に係る被害を生ずるおそれがある性状を有するもの。 温室効果ガス 大気圏にあって、地表から放射された赤外線の一部を吸収することにより温室効果をもたらす気体の総称。 ニーズで選べる支援内容 お客様のニーズにもとづき、ISO取得や改善に必要なサービス内容、工数等を設定できます。お気軽にお問合せください。 既にシステム運用をしていて、改善したいのだが。。。といった改善のご相談もお気軽にお問合せください。 現在、ISO14001のマニュアルの改良のための書き換えサービスを実施しております。 サービス内容はお客様との相談により対応しております。お気軽にお問合せください。 ISO事務局の運用支援・業務代行もご相談のうえサービス提供しております。お気軽にお問合せください。 御見積り・ご相談等は信頼と実績のタテックスまでお問合せください。 お問合せは、ここをクリック ↓ お問合せ
https://w.atwiki.jp/tatecs/pages/174.html
ISO9001 ISO9001-2015 ISO9001-2015 要求事項 ISO9001システム改善 ISO9001新規認証取得支援コンサルティング ISOシステム構築への取組み-その1 ISOは経営システムの基本である 社長はISOをどのように活用できるか ISO9001用語集 精密板金加工業への適用例 プレス加工業への適用例 機械加工業への適用例 電気工事業への適用例 ソフトウェアのISO9001 | サイトマップ 品質マネジメントシステム用語の説明 ISO 「国際標準化機構」(International Organization for Standardization)の略称。製品やサービスなどの世界的な標準化を推進しているという団体。略称がIOSではなくISOの由来は、ギリシャ語の「ISOS=相等しい」からきているとの説がある。「相等しい」の意味どおり、規格の世界標準化を推進している。 品質マネジメントシステム Quality management systemsを略してQMSとも言う。顧客満足を実現するために、経営者の策定した品質方針、品質目標を全社員が一丸となって達成するためのマネジメントシステムである。 要求事項 要求事項には、お客様からの要求事項、社内からの要求事項(供給能力・品質保証期間・決済条件など)、業務を遂行するのに関連する法的な規制の3つの意味が含まれている。 顧客満足 顧客満足(customers satisfaction(CS))とは、顧客のニーズのどの程度満足しているか顧客が判断したものである。ISO9001が目指しているのは、システムを効果的に廻すことによって社員の仕事の質(クオリティ)を高めるとともに、顧客満足を獲得することである。 品質方針 社長(最高経営者)によって公式に表明された品質に関する組織としての全般的な意図および指示。品質方針は、経営方針の一要素をなすもので、経営者によって品質保証の基本的な考え方を表したもの。 力量 力量とは、業務を行なう上で必要な知識・技能・経験のことである。ISO9001では、製品サービスを提供するのに関わる人の必要な力量を明確にすることを求めている。力量を満たすように教育・訓練を実施することが求められている。 「力量」は英語で"competence"つまり、能力とされている。よく「企業は人なり」と言われる。企業経営は、”人”と”システム”である。なぜなら企業が成長するためには、「人の成長」と「システムの成長」が必要だからである。また、システムを成長させるには、人の力量が必要である。したがって、システムの継続的改善のためには、人の力量の継続的レベルアップが必要となる。 人の力量について規格6.2.2の力量、教育・訓練及び認識では、「製品要求事項への適合に影響がある仕事に従事する要員に必要な力量」を求めている。人は設備と異なり、新人が入り、年配の人は退職し、または途中退職もあるので、継続的レベルアップが自然には保証されていないからである。 人材の育成項目(力量のニーズ)を、適切にリストアップし、マネジメントの仕組みを活用して経営成果につなげることが極めて重要である。それに対応するために、ISO9001の6.2.2をうまく活用されることが、「QMSを経営改善に生かす」ためのポイントになる。 しかしながら、力量のところで、企業の対応として望ましくないパターンとして、次のようなことが指摘できる。 1. 社内の資格制度を作成し、「Aさんは○○の力量があるから□□の仕事に従事させている」ことを審査員に見せるためのリストとして管理されているが、そこには、力量を向上するという概念が希薄である。~ 2. 社内資格を明確にして、管理をしているが、力量のニーズ(育成項目)に向上が見られない。~ 3. 力量のニーズが作業者中心であり、管理者の力量のニーズ項目がリストアップされていない。~ 4. 個人別の力量マトリックスを作成しているが、そのマトリックスの整備が目的になり、新たなニーズが見出せていない。~ 5. 公的資格に終始している。~ 企業によっては、教育後にテストをしたり、レポートを書かせたり、評価点をつけたりしている、大切なことは「次につなげるための今回の教育の評価」である。 私は内部監査員を中心にした力量の向上のための研修を実施している。つくづく思うのは、内部監査員、社員の力量の向上は企業にとっては永遠の課題であり、一朝一夕にはいかないということである。その意味から「力量の向上は一日にしてならず」なのである。 そのためには的確なマネジメントサイクル(PDCA)を維持することが重要であ。P・D・C・AサイクルをまわすにはQMSが最も適切なツールである。したがって御社でも社員の育成のためにぜひともISO9001を上手に活用下さい。 要員 ここでは正社員・契約社員・派遣社員などを含め、製品やサービスの提供に関わる人のことである。 インフラストラクチャー ISOでは業務の遂行上必要な施設・設備及びサービスを指す。社会的な基盤(道路や橋など)の意味ではない。 妥当性確認 ISO9001要求事項で、妥当性確認を求めているところがある。1つは設計・開発の妥当性確認製造された製品やサービスが、実際の使用に適切か、顧客ニーズに合っているか確認すること。もう1つは、製造・サービスプロセスの妥当性確認検査やチェックでその作業の良しあしを確認できない場合や、実際に製品を使用してみないと不具合が分からない場合に、その業務に問題が発生しないように確認することである。 トレーサビリティ 過去にさかのぼって業務内容や業務を遂行した痕跡を追跡できることである。追跡調査のことと理解すれば分かり易い。 内部監査 第一者監査ともいわれ、その組織の保有するシステムを評価するために自組織の社員や代理人が行う。内部監査は、自社のマネジメントシステムで決めたことが実行されていて、効果的であることを経営者に報告することが主目的である。~内部監査は組織の品質マネジメントシステムを構築し、維持していく上で重要であり、審査登録機関の審査でも、最も重要視される審査項目の一つとなている。内部監査の良し悪しは、内部監査員の力量によって大きく左右される。したがって、システムと監査についての知識と技能を持った内部監査員の育成が不可欠となる。内部監査の実施は、あらかじめ定められた間隔で計画的に行なう必要がある。 監視・測定 監視及び測定の要求事項には、8.2.3 プロセスの監視及び測定、8.2.4 製品の監視及び測定がある。プロセスの監視及び測定とは、品質マネジメントシステムのプロセスを適切な方法で監視することを求めている。各プロセスで適合性を証明するための記録類が作成され、適切性が確認されていれば、プロセスはある程度、監視されていると見なせる。しかし、それだけで規格要求事項を満たせるものではない。可能な限り、プロセスの結果を目標値に照らして達成度を評価できるように、指標化することが望ましい。8.2.4 製品の監視及び測定では、検査・試験により製品が要求事項を満たしていることの検証を、7.1項(及び8.1項)で計画された製品実現の適切な段階で実施することが要求されている。規格は、製品の適合の証拠としての検査・試験記録の維持とその検査・試験記録に、リリース(次工程引渡し又は出荷)を許可した人を明記することを要求している。製品の監視及び測定手順は、「検査・試験管理規定」に文書化しても良いし、責任と権限規定に次工程引渡し許可、出荷許可及び特採承認による出荷許可の権限者を明確にしておくのも良い。検査・試験の要領は、7.1項の製品実現の計画で明確にされているので、本条項の要求事項とはなっていない。 不適合 読んで字のごとく要求事項(判断基準)に適合していないことを意味する。要求事項とは、ISO9001の規格の要求事項だけを指すのではなく、顧客からの要求事項、社内からの要求事項、法的な要求事項などが含まれる。 是正処置 再発防止とも呼ばれている。不適合が発生した原因を調査し、再び不適合が発生しないように原因を取り除くことである。是正処置(再発防止)は、継続的な改善の重要なツールで、「なぜ、起こってしまったのか」真の原因を追求し、効果的な対策を打つことがポイントになる。ISO9001 2008の追補改正で、「是正処置において実施した活動のレビュー」という記述が、当然ながら実施しただけでなくその有効性までを見るように、「とった是正処置の有効性のレビュー」と変更された。当然のことである。EMSのJISQ14001 2004(ISO14001 2004、の条項4.5.3のe)と同じになっている。 予防処置 未然防止とも呼ばれている。問題が起こる前にあらかじめ対策を打ち、問題の発生を未然に防止することである。ISO9001 2008 の追補改正で、予防処置についても、e)は「とった予防処置の有効性のレビュー」と変更された。 現行のJISQ9004 2000では、この予防処置に対応して、「損失防止」という用語を当てている。「起こる前に起きないように予防する」ということから「損失を与えていない」、だから、「損失防止」という。内容については、JISQ9OO4 2000 の「8.5.3損失防止」を参照のこと。定められた様式を使わないと予防処置でないとしている企業が多いと思われる。しかし、ISOとは関係ないと組織が考え、実質的に行っている予防処置活動がいくつかある。例えば、TPM活動、提案制度、FMEA、FTAなどによる不具合分析、工程パトロール、経営診断などである。 マネジメントレビュー 経営者による見直しのことである。方針・目標などの当初設定していたものと、実際にマネジメントシステムを運用した状況・結果の情報を経営者が定期的に評価するもの。マネジメントレビューは、トップ自らが、社内の活動から得られた情報、市場からの情報をもとにして、「我が社の活動は適切なのか」「何をすることが、マネジメントシステムあるいは活動の有効性が上がるのか」「顧客あるいは利害関係者を考えたときに必要な改善は何なのか」「経営資源をどのように割り当てる必要があるのか」「方針、目標を見直す必要があるのか」等といったことを定期的に見直し、必要な指示を出す。指示された被指示者(部署)は改善の回答をトップに返すことが行われる。誤解され、いろいろな勘違いされている場合があるので、2008年版を契機に見直しをするとよいだろう。例えば、① マネジメントレビューのための会議が必要である、② 年1回行えばよい。、③ 毎回全ての項目について見直しを行わなければならない。、④ レビューする対象は、規格に要求されている項目だけでよい。、⑤ レビューのアウトプットは、規格に書かれている項目のみでよい。、⑥ 管理責任者からの報告書に、トップマネジメントが承認印を押すこと/押すための儀式を行うことがマネジメントレビューである。 品質管理 (広義)経営管理機能全般のうち、品質方針を定め、それを実施するすべての活動。品質にかかわる計画・実施・評価、経営資源の配分、およびその他の体系的諸活動を含み、組織のすべての人が参画する。(狭義)品質要求を満たすために用いる実施技法およびそれに基づく活動。「買い手の要求に合った品質の製品を、経済的に作り出すためのすべての手段の体系」。経済的効果を上げるため、活動の適切な段階においての"工程の監視と不具合原因の除去"を目的とする実施技法とそれに基づく活動を意味する。 品質保証 製品またはサービスが、品質要求事項を満たしていることの十分な信頼感を与えるために必要なすべての計画的かつ体系的な活動。「消費者の要求する品質が十分に満たされていることを証明するために生産者が行う体系的活動」。自社で規定する所与の品質要求が、顧客の要望を十分に反映したもの(顧客満足)でなければ、いくら規定事項を満足しても、品質保証は完全であるとはいえない。 品質マニュアル 品質方針を述べ、組織の品質システムを記述した文書。品質システムのすべてを1冊に表したものでもよいし、詳細を別に記述した他の文書を引用する方法でもよい。例えば、品質マニュアル、文書管理規定、品質文書作成要領など。 規定 ①おきて、定め、②規則、条文。社内組織内の「業務内容・手順・手続き・方法」に関する事項を定めたもの。例えば共通規定、部門別規定など 手順 ①物事をする順序、②段取り、手続き。広義的には、システム活動の手続き、方法を定めたものをいう。狭義的には、業務の具体的な実施のための方法、業務の流れ(フロー)など 標準 ①目当て、めじるし、②他の法となるもの、③型、規範。物体・性能・能力・配置・状態・動作・手順・方法・手続き・責任・義務・考え方・概念などについて定めた取決めのことで、具体的には「作業標準、技術標準、検査標準」など 品質記録 「品質要求事項の充足の程度又は品質システム要素の運営の有効性の客観的証拠を提供する」もの。品質マネジメントシステムが効果的に運営されていることを示す証拠文書のことを言う。品質記録の目的には、実証、トレーサビリティ、予防処置、是正処置活動の記録、がある。 品質計画書 特定の製品、プロジェクトまたは契約に関する固有の品質業務、経営資源、および活動順序を規定した文書。例えば、品質保証体系図、プロジェクト計画書、QC工程表、その他品質保証活動の各ステップで用いられる手順書類など。 設計審査 品質要求事項を満たす能力を評価し、もし問題があれば明確にし、解決策の作成を提案するための、文書化された包括的かつ体系的な、設計に関する検討。審査する資料としては、開発仕様書、設計基準書、試作品評価報告書など 設計検証 検証とは、「規定要求事項が満たされていることを、客観的証拠の調査および提出によって確認すること」。設計・開発において、検証は、ある活動に対する規定要求事項への適合性を確定するための、その活動結果の検討のプロセスに関係する。製品仕様書が満たされていることを確実にするため行なう検証など。 アウトソースしたプロセス 製品の品質に影響するプロセスを外注委託(アウトソーシング)する場合、管理を確実にする必要があります。管理の方法は、それぞれの重要性に応じて決めて運用します。また、どの仕事を外注しているかを、はっきり示せるようにしておきましょう。 プロセスの妥当性確認 作った後では検査できない工程について、作り方に問題がないことを予め証明することをいいます。 これに該当する工程には、① 納入する製品そのものを壊さないと検査できない場合、② 時間やコストの面から検査できないもの です。ただし、最終検査で確認できなくても、製造途中で確認できるものは該当しません。 製品の品質保証をすることが前提ならば、製造(またはサービスの提供)のプロセスの妥当性を確認しないで、製造(またはサービスの提供)を開始することはあり得ません。 検査 ある”もの"を何らかの方法で測定した結果を判定基準と比較して、個々の"もの"の良/不良またはロットの合格、不合格の判定を下すこと。試験とは「サンプルまたは試験片について、その特性を調べること」。従って検査と試験が区別されるポイントは、合否判定を下すか否かである。 プロセスの監視及び測定 監視とは、品質に関わるプロセスが決めた通りに進んでいるかどうかを、仕事の途中の段階で、あるいは終了後に適切な方法で確かめることをいいます。測定とは、数値で表せるものがあれば、機器で数値測定したり、作業記録の集計などにより、仕事が順調に進んでいるかどうかを確かめることです。プロセスの監視及び測定の対象は「製品に関わる業務」に限定していませんので、製造以外の仕事でも必要なものがあれば実施します。例えば設備管理プロセス、顧客関連プロセス、購買プロセスなどで、プロセスの進捗度や成果を管理しているのならば、それをこの項目で取り上げて監視・測定します。 もちろん、確かめた結果、予定通りの結果が出なかった、あるいはこのままでは予定通りの結果が出ないことが判明した場合には、対策を実施します。 御見積り・ご相談等は信頼と実績のタテックスまでお問合せください。 お問合せは、ここをクリック ↓ お問合せ
https://w.atwiki.jp/tatecs/pages/160.html
ISO27001 ISO27001:2013 製造業様向けISO27001・情報セキュリティマネジメントシステム認証取得支援コンサルティング 医療情報処理業ISO27001 ISO27001(2013年版)とは | サイトマップ ISO/IEC 27000 ISO27001と ISO 27002 は、ISO/IEC 27000 シリーズと呼ばれる情報セキュリティ規格群の 1つです。 この ISO/IEC 27000 シリーズは改訂され、2014-2015年が新規格への移行期間でした。 2014年に移行した組織は少なく2015年に大多数の認証取得している組織が移行しました。 ISO27000は、ISO/IEC 27000 シリーズの規格 の概要と、このシリーズ規格で使用される用語を定義した規格です。 よって、ISO27001 の IS 版では、この ISO/IEC 27000 が引用規格、及び用語及び定義の参照規格として用いられています。ISO/IEC 27000 も、ISO/IEC 27001 の改訂に併せて、改訂されました。 ISO/IEC 27001 改訂のポイント ISO/IEC 27001 の改訂のポイントは2つです。 マネジメントシステム規格の共通化の動きへの対応(上位 構造、共通のテキスト・用語及び定義の適用) リスクマネジメント規格 ISO 31000(2009 年発行)へ の対応 マネジメントシステム規格の共通化の動きの背景には、複数のマネジメントシステム規格(例えばISO27001とISO20000の2つのシステム)を運用している組織が増えていることがあげられます。 ISO/IEC 27001 2013は、ISO/IEC27001:2005を継承した規格です。 さらにISO/IEC27001 2013は、ISO MSS共通要素の適用、リスクマネジメント(ISO 31000 200(JIS Q 31000 2010))への対応を考慮した改定内容となっています。 ISO MSS共通要素は、組織が複数のマネジメントシステムを導入することを考慮して、マネジメントシステム間の整合性を図り、組織の負担を軽減することが共通化の目的です。 マネジメントシステムの一貫性と整合性を向上させた統一された上位構造と共通テキストから構成されています。そのために、どのようにするではなく、何をするかのマネジメントシステムの共通的な要求事項と、分野に固有な要求事項で構成されています。 「ISO/IEC 専門業務指針」に基づいて発行された・ 改訂予定のマネジメントシステム規格の状況 すでに、この新しいルールに基づいてマネジメントシステム規格が作らる時代に入っており、ISO/IEC 27001 や、これから策定改訂されるマネジメントシステム規格もこれに基づいて策定されています。 規格 名称 改訂状況 ISO30301 記録マネジメントシステム 2011年11月発行 ISO22301 事業継続マネジメントシステム 2012年5月発行 ISO20121 サステナブル・イベントマネジメントシステム 2012年6月発行 ISO39001 道路交通安全マネジメントシステム 2012年10月発行 ISO27001 情報セキュリティマネジメントシステム 2013年10月改訂 ISO55001 アセットマネジメントシステム 2014年1月発行 ISO14001 環境マネジメントシステム 2015年改訂 ISO9001 品質マネジメントシステム 2015年改訂 ISO/IEC 27001 2013の主な変更点 附属書 SL(上位構造、共通のテキスト・用語及び定義の適用) に基づいて、規格が策定 箇条 2 引用規格から、ISO27002 が削除され、ISO27000 が追加 箇条 3 用語及び定義から、16の用語の定義が削除 ⇒ ISO27000 を引用 専門用語の変更例 ISMS 基本方針 ⇒ 情報セキュリティ方針 ISMS の目的 ⇒ 情報セキュリティ目的 2005 年版の箇条 8.3 にあった「予防処置」という用語が削除 リスクアセスメントの要求事項は、ISO31000 との整合性 により、より一般的な表現に変更 「リスク所有者」を特定し、「リスク所有者」が情報セキュリティリスク対応計画とセキュリティ残留リスクを承認する 要求事項が追加 管理策の数が、133 から 若干削減され、管理領域は増加 ISO/IEC 27001 2013の構成 0.序文 1.適用範囲 2. 引用規格 3. 用語及び定義 4. 組織の状況 5. リーダーシップ 6. 計画 7. 支援 8. 運用 9. パフォーマンス評価 10. 改善 付属書A.管理目的及び管理策 A.5 情報セキュリティのための方針群 A.6 情報セキュリティのための組織 A.7 人的資源のセキュリティ A.8 資産の管理 A.9 アクセス制御 A.10 暗号 A.11 物理的及び環境的セキュリティ A.12 運用のセキュリティ A.13 通信のセキュリティ A.14 システムの取得、開発及び保守 A.15 供給者関係 A.16 情報セキュリティインシデント管理 A.17 事業継続マネジメントにおける情報セキュリティの側面 A.18 順守 詳細管理策 ワンポイント解説 A.5 情報セキュリティのための方針群 A.5.1 情報セキュリティのための経営陣の方向性 A.5.1.1 情報セキュリティのための方針群 A.5.1.2 情報セキュリティのための方針群のレビュー 解説 2005年版では情報セキュリティ基本方針という呼称であったが2013年版では情報セキュリティ方針となった。 詳細管理策の見出しは、”方針群”となっている。方針はひとつではなく、複数を示していることがわかる。 経営者は情報セキュリティ方針を作成して周知する。 A.6 情報セキュリティのための組織 A.6.1 内部組織 A.6.1.1 情報セキュリティの役割及び責任 A.6.1.2 職務の分離 A.6.1.3 関係当局との連絡 A.6.1.4 専門組織との連絡 A.6.1.5 プロジェクトマネジメントにおける情報セキュリティ A.6.2 モバイル機器及びテレワーキング A.6.2.1 モバイル機器の方針 A.6.2.2 テレワーキング 解説 内部組織の管理策は、組織内の情報セキュリティを管理するため行なうもの。 モバイルコンピュ一ティング及びテレワーキングは、モバイルコンピューティング及びテレワーキングの設備を用いる時の情報セキュリティを確実にするため行なう。 テレワーキングとは、在宅勤務のこと。電話・ファクスやインターネットを通じて、社員は在宅のまま、調査・執筆・企画・パソコン入力・プログラミング作業などを行う。 A.7 人的資源のセキュリティ A.7.1 雇用前 A.7.1.1 選考 A.7.1.2 雇用条件 A.7.2 雇用期間中 A.7.2.1 経営陣の責任 A.7.2.2 情報セキュリティの意識向上、教育及び訓練 A.7.2.3 懲戒手続 A.7.3 雇用の終了及び変更 A.7.3.1 雇用の終了又は変更に関する責任 解説 A.7.1 雇用前は、従業員、契約相手及び第三者の利用者がその責任を理解し、求められている役割にふさわしいことを確実にするとともに、盗難、不正行為、又は設備の不正使用のリスクを低減するために行なう。 A.7.2 雇用期間中は、従業員、契約相手及び第三者の利用者の、情報セキュリティの脅威及び諸問題、並びに責任及び義務に対する認識を確実なものとし、通常の業務の中で組織のセキュリティ基本方針を維持し、人による誤りのリスクを低減できるようにすることを確実にするため行なう。 A.7.3 雇用の終了または変更は、従業員、契約相手及び第三者の利用者の組織から離脱又は雇用の変更を所定の方法で行うことを確実にするため行なう。 A.8 資産の管理 A.8.1 資産に対する責任 A.8.1.1 資産目録 A.8.1.2 資産の管理責任 A.8.1.3 資産利用の許容範囲 A.8.1.4 資産の返却 A.8.2 情報の分類 A.8.2.1 情報の分類 A.8.2.2 情報のラベル付け A.8.2.3 資産の取扱い A.8.3 媒体の取扱い A.8.3.1 取外し可能な媒体の管理 A.8.3.2 媒体の処分 A.8.3.3 物理的媒体の輸送 解説 A.8.1 資産に対する責任は、組織の資産の適切な保護を達成し、維持するため行なう。 A.8.2 情報の分類は、情報の適切なレベルでの保護を確実にするため行なう。 A.9 アクセス制御 A.9.1 アクセス制御に対する業務上の要求事項 A.9.1.1 アクセス制御方針 A.9.1.2 ネットワーク及びネットワークサービスへのアクセス A.9.2 利用者アクセスの管理 A.9.2.1 利用者登録と登録削除 A.9.2.2 利用者アクセスの提供 (provisioning) A.9.2.3 特権的アクセス権の管理 A.9.2.4 利用者の秘密認証情報の管理 A.9.2.5 利用者アクセス権のレビュー A.9.2.6 アクセス権の削除又は修正 A.9.3 利用者の責任 A.9.3.1 秘密認証情報の利用 A.9.4 システム及びアプリケーションのアクセス制御 A.9.4.1 情報へのアクセス制限 A.9.4.2 セキュリティに配慮したログオン手順 A.9.4.3 パスワード管理システム A.9.4.4 特権的なユーティリティプログラムの使用 A.9.4.5 プログラムソースコードへのアクセス制御 解説 アクセス制御に対する業務上の要求事項は、情報へのアクセスを制御するため行なう。 プロビジョニング( provisioning )とは ユーザの需要を予想し、設備やサービスなどのリソースを計画的に調達し、ユーザの必要に応じたサービスを提供できるように備える行為の総称。 複数のサーバやネットワーク、アプリケーション、ストレージなどのリソースを仮想化によって一つのコンピュータリソースとみなし、ユーザから要求があった場合や障害時などに、必要な分だけ、コンピュータリソースを動的に別のシステムに割り当てられるようにすること。 もともとは通信事業者が使っていた用語で、ユーザの申し込み後すぐにサービスを提供できるよう、回線設備などを事前に準備することを意味している。プロビジョニングが必要とされてきた理由としては、インフラ拡張が足かせとなって新規アプリケーションの展開が遅れることで、日々強まるITに対応できなくなることや、インフラ管理に要するコストをできるだけ下げたいという要求などが挙げられる。 A.10 暗号 A.10.1 暗号による管理策 A.10.1.1 暗号による管理策の利用方針 A.10.1.2 鍵管理 解説 暗号は、情報の機密性、真正性及び/又は完全性を保護するために、暗号の適切かつ有効な利用を確実にするため行う。 A.11 物理的及び環境的セキュリティ A.11.1 セキュリティを保つべき領域 A.11.1.1 物理的セキュリティ境界 A.11.1.2 物理的入退管理策 A.11.1.3 オフィス、部屋及び施設のセキュリティ A.11.1.4 外部及び環境の脅威からの保護 A.11.1.5 セキュリティを保つべき領域での作業 A.11.1.6 受渡場所 A.11.2 装置 A.11.2.1 装置の設置及び保護 A.11.2.2 サポートユーティリティ A.11.2.3 ケーブル配線のセキュリティ A.11.2.4 装置の保守 A.11.2.5 資産の移動 A.11.2.6 構外にある装置及び資産のセキュリティ A.11.2.7 装置のセキュリティを保った処分又は再利用 A.11.2.8 無人状態にある利用者装置 A.11.2.9 クリアデスク・クリアスクリーン方針 解説 セキュリティを保つべき領域は、組織の施設及び情報に対する認可されていない物理的アクセス、損傷及び妨害を防止するため行なう。-装置のセキュリティは、資産の損失、損傷、盗難又は劣化、及び組織の活動に対する妨害を防止するために行なう。 A.12 運用のセキュリティ A.12.1 運用の手順及び責任 A.12.1.1 操作手順書 A.12.1.2 変更管理 A.12.1.3 容量・能力の管理 A.12.1.4 開発環境、試験環境及び運用環境の分離 A.12.2 マルウェアからの保護 A.12.2.1 マルウェアに対する管理策 A.12.3 バックアップ A.12.3.1 情報のバックアップ A.12.4 ログ取得及び監視 A.12.4.1 イベントログ取得 A.12.4.2 ログ情報の保護 A.12.4.3 実務管理者及び運用担当者の作業ログ A.12.4.4 クロックの同期 A.12.5 運用ソフトウェアの管理 A.12.5.1 運用システムに関わるソフトウェアの導入 A.12.6 技術的ぜい弱性管理 A.12.6.1 技術的ぜい弱性の管理 A.12.6.2 ソフトウェアのインストールの制限 A.12.7 情報システムの監査に対する考慮事項 A.12.7.1 情報システム監査に対する管理策 解説 運用のセキュリティは、情報処理設備の正確かつセキュリティを保った運用を確実にするために行う。 A.13 通信のセキュリティ A.13.1 ネットワークセキュリティ管理 A.13.1.1 ネットワーク管理策 A.13.1.2 ネットワークサービスのセキュリティ A.13.1.3 ネットワークの分離 A.13.2 情報の転送 A.13.2.1 情報転送の方針及び手順 A.13.2.2 情報転送に関する合意 A.13.2.3 電子的メッセージ通信 A.13.2.4 秘密保持契約又は守秘義務契約 解説 通信のセキュリティは、ネットワークにおける情報の保護、及びネットワークを支える情報処理施設の保護を確実にするために行う。 A.14 システムの取得、開発及び保守 A.14.1 情報システムのセキュリティ要求事項 A.14.1.1 情報セキュリティ要求事項の分析及び仕様化 A.14.1.2 公衆ネットワーク上のアプリケーションサービスのセキュリティの考慮 A.14.1.3 アプリケーションサービスのトランザクションの保護 A.14.2 開発及びサポートプロセスにおけるセキュリティ A.14.2.1 セキュリティに配慮した開発のための方針 A.14.2.2 システムの変更管理手順 A.14.2.3 オペレーティングプラットフォーム変更後のアプリケーションの技術的レビュー A.14.2.4 パッケージソフトウェアの変更に対する制限 A.14.2.5 セキュリティに配慮したシステム構築の原則 A.14.2.6 セキュリティに配慮した開発環境 A.14.2.7 外部委託による開発 A.14.2.8 システムセキュリティの試験 A.14.2.9 システムの受入れ試験 A.14.3 試験データ A.14.3.1 試験データの保護 解説 システムの取得、開発及び保守における管理策は、ライフサイクル全体にわたって、情報セキュリティが情報システムに欠くことのできない部分であることを確実にするため行う。 これには、公衆ネットワークを介してサービスを提供する情報システムのための要求事項も含んでいる。 トランザクション(transaction)とは 商取引、売買、執行、取扱、議事録などの意味を持つ英単語。ソフトウェアの処理方式の一つで、互いに関連・依存する複数の処理をまとめ、一体不可分の処理単位として扱うことをトランザクション処理と呼び、そのような処理単位をトランザクションという。 データベースシステムや業務用ソフトウェアなどでよく用いられる概念で、金融機関のコンピュータシステムにおける入出金処理のように、一連の作業を全体として一つの処理として管理するために用いる。 トランザクションとして管理された処理は「すべて成功」か「すべて失敗」のいずれかであることが保証される。 例えば、資金移動システムをコンピュータで処理する場合、出金処理と入金処理は「どちらも成功」か「どちらも失敗」のどちらかであることが要求される。「出金に成功して入金に失敗」すると、出金された資金が宙に浮いてしまうからである。 このような場合に、出金と入金をまとめて一つのトランザクションとして管理し、どちらか一方が失敗したらもう片方も取り消し、どちらも成功したときに初めて全体を成功として確定する。 A.15 供給者関係 A.15.1 供給者関係における情報セキュリティ A.15.1.1 供給者関係のための情報セキュリティの方針 A.15.1.2 供給者との合意におけるセキュリティの取扱い A.15.1.3 ICTサプライチェーン A.15.2 供給者のサービス提供の管理 A.15.2.1 供給者のサービス提供の監視及びレビュー A.15.2.2 供給者のサービス提供の変更に対する管理 解説 この項目は、供給者がアクセスできる組織の資産の保護を確実にするため行う管理策である。 ICTサプライチェーンとは 企業における調達、製造、物流、販売、サービスといった行程を「供給の鎖」(サプライチェーン)として捉え、それに関わる情報を互いに共有管理して最適化を図る経営手法、または情報システムのことをいう。 サプライチェーンの各工程の個別最適ではなく、全体最適を図っていくことが重要とされている。 リードタイム短縮や在庫抑制によって、顧客満足度の向上を図りながら、コスト削減および収益拡大につなげる。 A.16 情報セキュリティインシデント管理 A.16.1 情報セキュリティインシデントの管理及びその改善 A.16.1.1 責任及び手順 A.16.1.2 情報セキュリティ事象の報告 A.16.1.3 情報セキュリティ弱点の報告 A.16.1.4 情報セキュリティ事象の評価及び決定 A.16.1.5 情報セキュリティインシデントへの対応 解説 情報セキュリティインシデントの管理及びその改善は、情報セキュリティインシデントの管理に、一貫性のある効果的な取組み方法を用いることを確実にするため行なう。 情報セキュリティの事象及び弱点の報告は、情報システムに関連する情報セキュリティの事象及び弱点を、時機を失しない是正処置を講じることができるやり方で連絡することを確実にするため行なう。 A.17 事業継続マネジメントにおける情報セキュリティの側面 A.17.1 情報セキュリティ継続 A.17.1.1 情報セキュリティ継続の計画 A.17.1.2 情報セキュリティ継続の実施 A.17.1.3 情報セキュリティ継続の検証、レビュー及び評価 A.17.2 冗長性 A.17.2.1 情報処理施設の可用性 解説 事業継続計画(Business continuity planning、BCP)は「競争的優位性と価値体系の完全性を維持しながら、組織が内外の脅威にさらされる事態を識別し、効果的防止策と組織の回復策を提供するためハードウェア資産とソフトウェア資産を総合する計画」のこと。事業継続と復旧計画(Business Continuity Resiliency Planning、BCRP)とも呼ばれる。 情報セキュリティの継続が事業継続マネジメント(BCM という。)プロセス又は災害復旧管理(DRM という。)プロセスに織り込まれているか否かを判断することが望ましい。 事業継続及び災害復旧に関する正式な計画が策定されていない場合,通常の業務状況とは異なる困難な状況においても,情報セキュリティ要求事項は変わらず存続することを,情報セキュリティマネジメントの前提とすることが望ましい。 事業継続管理は、情報システムの重大な故障又は災害の影響からの事業活動の中断に対処するとともに、それらから重要な業務プロセスを保護し、さらに、事業活動及び重要な業務プロセスの時機を失しない再開を確実にするため行なう。 情報セキュリティに対して"追加的な"BIA を実施するための時間及び労力を軽減するには,通常の BCM又は DRM における BIA に,情報セキュリティに関する側面を織り込むことが推奨される。すなわち,情報セキュリティ継続に関する要求事項が,BCM プロセス又は DRM プロセスにおいて明確に定められているということである。 BCMに関する情報が,JIS Q 22301,ISO 22313 及び ISO/IEC 27031 に示されている。 冗長性とは 余分なもの、余剰がある、重複しているという意味である。IT用語では、主に余裕のある状態、二重化など、ポジティブな意味合いで使われることが多い。 データ圧縮などにおいては、効率性の妨げになる余剰分を排除するという場合に本来の余剰、重複の意味で使われることもある。 コンピュータシステムでは、耐障害性を高めるためにネットワークを含むシステム全体を二重化して予備システムを準備することを冗長化といい、冗長化によって信頼性、安全性を確保した状態を冗長性があるという。 企業は,情報システムの可用性に関する業務上の要求事項を特定することが望ましい。 A.18 順守 A.18.1 法的及び契約上の要求事項の順守 A.18.1.1 適用法令及び契約上の要求事項の特定 A.18.1.2 知的財産権(IPR) A.18.1.3 記録の保護 A.18.1.4 プライバシー及び個人を特定できる情報(PII)の保護 A.18.2 情報セキュリティのレビュー A.18.2.1 情報セキュリティの独立したレビュー A.18.2.2 情報セキュリティのための方針群及び標準の順守 A.18.2.3 技術的順守のレビュー 解説 法的要求事項の順守は、法令、規則又は契約上のあらゆる義務、及びセキュリティ上のあらゆる要求事項に対する違反を避けるため行なう。-情報セキュリティ方針及び標準の順守、並びに技術的コンプライアンスは、組織のセキュリティ方針及び標準類へのシステムの順守を確実にするため行なう。-情報システム監査に対する考慮事項は、情報システム監査手続の有効性を最大限にするため、及び情報システム監査手続への/からの干渉を最小限にするため行なう。 2013年版での新規認証取得支援、運用維持・改善のコンサルティングを行っております。 御見積りは信頼と実績のタテックスまでお問合せください。 お問合せは、ここをクリック→お問合せ
https://w.atwiki.jp/tatecs/pages/184.html
ISO27001 ISO27001 2013とは 4. 組織の状況から10. 改善 付属書A.管理目的及び管理策 詳細管理策の解説 情報セキュリティ用語 医療情報処理業 ISO27001 製造業 ISO27001 | サイトマップ ISO27001(2013年版)とは ISO/IEC 27000 ISO27001と ISO 27002 は、ISO/IEC 27000 シリーズと呼ばれる情報セキュリティ規格群の 1つです。 この ISO/IEC 27000 シリーズは改訂され、2014-2015年が新規格への移行期間でした。 2014年に移行した組織は少なく2015年に大多数の認証取得している組織が移行しました。 ISO27000は、ISO/IEC 27000 シリーズの規格 の概要と、このシリーズ規格で使用される用語を定義した規格です。 よって、ISO27001 の IS 版では、この ISO/IEC 27000 が引用規格、及び用語及び定義の参照規格として用いられています。ISO/IEC 27000 も、ISO/IEC 27001 の改訂に併せて、改訂されました。 ISO/IEC 27001 改訂のポイント ISO/IEC 27001 の改訂のポイントは2つです。 マネジメントシステム規格の共通化の動きへの対応(上位 構造、共通のテキスト・用語及び定義の適用) リスクマネジメント規格 ISO 31000(2009 年発行)へ の対応 マネジメントシステム規格の共通化の動きの背景には、複数のマネジメントシステム規格(例えばISO27001とISO20000の2つのシステム)を運用している組織が増えていることがあげられます。 ISO/IEC 27001 2013は、ISO/IEC27001:2005を継承した規格です。 さらにISO/IEC27001 2013は、ISO MSS共通要素の適用、リスクマネジメント(ISO 31000 200(JIS Q 31000 2010))への対応を考慮した改定内容となっています。 ISO MSS共通要素は、組織が複数のマネジメントシステムを導入することを考慮して、マネジメントシステム間の整合性を図り、組織の負担を軽減することが共通化の目的です。 マネジメントシステムの一貫性と整合性を向上させた統一された上位構造と共通テキストから構成されています。そのために、どのようにするではなく、何をするかのマネジメントシステムの共通的な要求事項と、分野に固有な要求事項で構成されています。 「ISO/IEC 専門業務指針」に基づいて発行された・ 改訂予定のマネジメントシステム規格の状況 すでに、この新しいルールに基づいてマネジメントシステム規格が作らる時代に入っており、ISO/IEC 27001 や、これから策定改訂されるマネジメントシステム規格もこれに基づいて策定されています。 規格 名称 改訂状況 ISO30301 記録マネジメントシステム 2011年11月発行 ISO22301 事業継続マネジメントシステム 2012年5月発行 ISO20121 サステナブル・イベントマネジメントシステム 2012年6月発行 ISO39001 道路交通安全マネジメントシステム 2012年10月発行 ISO27001 情報セキュリティマネジメントシステム 2013年10月改訂 ISO55001 アセットマネジメントシステム 2014年1月発行 ISO14001 環境マネジメントシステム 2015年改訂 ISO9001 品質マネジメントシステム 2015年改訂 ISO/IEC 27001 2013の主な変更点 附属書 SL(上位構造、共通のテキスト・用語及び定義の適用) に基づいて、規格が策定 箇条 2 引用規格から、ISO27002 が削除され、ISO27000 が追加 箇条 3 用語及び定義から、16の用語の定義が削除 ⇒ ISO27000 を引用 専門用語の変更例 ISMS 基本方針 ⇒ 情報セキュリティ方針 ISMS の目的 ⇒ 情報セキュリティ目的 2005 年版の箇条 8.3 にあった「予防処置」という用語が削除 リスクアセスメントの要求事項は、ISO31000 との整合性 により、より一般的な表現に変更 「リスク所有者」を特定し、「リスク所有者」が情報セキュリティリスク対応計画とセキュリティ残留リスクを承認する 要求事項が追加 管理策の数が、133 から 若干削減され、管理領域は増加 ISO/IEC 27001 2013の構成 0.序文 1.適用範囲 2. 引用規格 3. 用語及び定義 4. 組織の状況 Context of the organization 4.1 組織及び状況の理解 4.2 利害関係者のニーズ及び期待の理解 4.3 ISMSの適用範囲の決定 4.4 ISMS 5. リーダーシップ Leadership 5.1 リーダーシップ及びコミットメント 5.2 方針 5.3 組織の役割、責任及び権限 6. 計画 Planning 6.1 リスク及び機会に対処する活動 6.1.1 一般 6.1.2 情報セキュリティリスクアセスメント 6.1.3 情報セキュリティリスク対応 6.2 情報セキュリティ目的及びそれを達成するための計画 7. 支援 Support 7.1 資源 7.2 力量 7.3 認識 7.4 コミュニケーション 7.5 文書化した情報 7.5.1 一般 7.5.2 作成及び更新 7.5.3 文書化した情報の管理 8. 運用 Operation 8.1 運用の計画及び管理 8.2 情報セキュリティリスクアセスメント 8.3 情報セキュリティリスク対応 9. パフォーマンス評価 Performance evaluation 9.1 パフォーマンス評価 9.2 内部監査 9.3 マネジメントレビュー 10. 改善 Improvement 10.1 不適合及び是正処置 10.2 継続的改善 付属書A.管理目的及び管理策 A.5 情報セキュリティのための方針群 A.6 情報セキュリティのための組織 A.7 人的資源のセキュリティ A.8 資産の管理 A.9 アクセス制御 A.10 暗号 A.11 物理的及び環境的セキュリティ A.12 運用のセキュリティ A.13 通信のセキュリティ A.14 システムの取得、開発及び保守 A.15 供給者関係 A.16 情報セキュリティインシデント管理 A.17 事業継続マネジメントにおける情報セキュリティの側面 A.18 順守 詳細管理策 ワンポイント解説 A.5 情報セキュリティのための方針群 A.5.1 情報セキュリティのための経営陣の方向性 A.5.1.1 情報セキュリティのための方針群 A.5.1.2 情報セキュリティのための方針群のレビュー 解説 2005年版では情報セキュリティ基本方針という呼称であったが2013年版では情報セキュリティ方針となった。 詳細管理策の見出しは、”方針群”となっている。方針はひとつではなく、複数を示していることがわかる。 経営者は情報セキュリティ方針を作成して周知する。 A.6 情報セキュリティのための組織 A.6.1 内部組織 A.6.1.1 情報セキュリティの役割及び責任 A.6.1.2 職務の分離 A.6.1.3 関係当局との連絡 A.6.1.4 専門組織との連絡 A.6.1.5 プロジェクトマネジメントにおける情報セキュリティ A.6.2 モバイル機器及びテレワーキング A.6.2.1 モバイル機器の方針 A.6.2.2 テレワーキング 解説 内部組織の管理策は、組織内の情報セキュリティを管理するため行なうもの。 モバイルコンピュ一ティング及びテレワーキングは、モバイルコンピューティング及びテレワーキングの設備を用いる時の情報セキュリティを確実にするため行なう。 テレワーキングとは、在宅勤務のこと。電話・ファクスやインターネットを通じて、社員は在宅のまま、調査・執筆・企画・パソコン入力・プログラミング作業などを行う。 A.7 人的資源のセキュリティ A.7.1 雇用前 A.7.1.1 選考 A.7.1.2 雇用条件 A.7.2 雇用期間中 A.7.2.1 経営陣の責任 A.7.2.2 情報セキュリティの意識向上、教育及び訓練 A.7.2.3 懲戒手続 A.7.3 雇用の終了及び変更 A.7.3.1 雇用の終了又は変更に関する責任 解説 A.7.1 雇用前は、従業員、契約相手及び第三者の利用者がその責任を理解し、求められている役割にふさわしいことを確実にするとともに、盗難、不正行為、又は設備の不正使用のリスクを低減するために行なう。 A.7.2 雇用期間中は、従業員、契約相手及び第三者の利用者の、情報セキュリティの脅威及び諸問題、並びに責任及び義務に対する認識を確実なものとし、通常の業務の中で組織のセキュリティ基本方針を維持し、人による誤りのリスクを低減できるようにすることを確実にするため行なう。 A.7.3 雇用の終了または変更は、従業員、契約相手及び第三者の利用者の組織から離脱又は雇用の変更を所定の方法で行うことを確実にするため行なう。 A.8 資産の管理 A.8.1 資産に対する責任 A.8.1.1 資産目録 A.8.1.2 資産の管理責任 A.8.1.3 資産利用の許容範囲 A.8.1.4 資産の返却 A.8.2 情報の分類 A.8.2.1 情報の分類 A.8.2.2 情報のラベル付け A.8.2.3 資産の取扱い A.8.3 媒体の取扱い A.8.3.1 取外し可能な媒体の管理 A.8.3.2 媒体の処分 A.8.3.3 物理的媒体の輸送 解説 A.8.1 資産に対する責任は、組織の資産の適切な保護を達成し、維持するため行なう。 A.8.2 情報の分類は、情報の適切なレベルでの保護を確実にするため行なう。 A.9 アクセス制御 A.9.1 アクセス制御に対する業務上の要求事項 A.9.1.1 アクセス制御方針 A.9.1.2 ネットワーク及びネットワークサービスへのアクセス A.9.2 利用者アクセスの管理 A.9.2.1 利用者登録と登録削除 A.9.2.2 利用者アクセスの提供 (provisioning) A.9.2.3 特権的アクセス権の管理 A.9.2.4 利用者の秘密認証情報の管理 A.9.2.5 利用者アクセス権のレビュー A.9.2.6 アクセス権の削除又は修正 A.9.3 利用者の責任 A.9.3.1 秘密認証情報の利用 A.9.4 システム及びアプリケーションのアクセス制御 A.9.4.1 情報へのアクセス制限 A.9.4.2 セキュリティに配慮したログオン手順 A.9.4.3 パスワード管理システム A.9.4.4 特権的なユーティリティプログラムの使用 A.9.4.5 プログラムソースコードへのアクセス制御 解説 アクセス制御に対する業務上の要求事項は、情報へのアクセスを制御するため行なう。 プロビジョニング( provisioning )とは ユーザの需要を予想し、設備やサービスなどのリソースを計画的に調達し、ユーザの必要に応じたサービスを提供できるように備える行為の総称。 複数のサーバやネットワーク、アプリケーション、ストレージなどのリソースを仮想化によって一つのコンピュータリソースとみなし、ユーザから要求があった場合や障害時などに、必要な分だけ、コンピュータリソースを動的に別のシステムに割り当てられるようにすること。 もともとは通信事業者が使っていた用語で、ユーザの申し込み後すぐにサービスを提供できるよう、回線設備などを事前に準備することを意味している。プロビジョニングが必要とされてきた理由としては、インフラ拡張が足かせとなって新規アプリケーションの展開が遅れることで、日々強まるITに対応できなくなることや、インフラ管理に要するコストをできるだけ下げたいという要求などが挙げられる。 A.10 暗号 A.10.1 暗号による管理策 A.10.1.1 暗号による管理策の利用方針 A.10.1.2 鍵管理 解説 暗号は、情報の機密性、真正性及び/又は完全性を保護するために、暗号の適切かつ有効な利用を確実にするため行う。 A.11 物理的及び環境的セキュリティ A.11.1 セキュリティを保つべき領域 A.11.1.1 物理的セキュリティ境界 A.11.1.2 物理的入退管理策 A.11.1.3 オフィス、部屋及び施設のセキュリティ A.11.1.4 外部及び環境の脅威からの保護 A.11.1.5 セキュリティを保つべき領域での作業 A.11.1.6 受渡場所 A.11.2 装置 A.11.2.1 装置の設置及び保護 A.11.2.2 サポートユーティリティ A.11.2.3 ケーブル配線のセキュリティ A.11.2.4 装置の保守 A.11.2.5 資産の移動 A.11.2.6 構外にある装置及び資産のセキュリティ A.11.2.7 装置のセキュリティを保った処分又は再利用 A.11.2.8 無人状態にある利用者装置 A.11.2.9 クリアデスク・クリアスクリーン方針 解説 セキュリティを保つべき領域は、組織の施設及び情報に対する認可されていない物理的アクセス、損傷及び妨害を防止するため行なう。-装置のセキュリティは、資産の損失、損傷、盗難又は劣化、及び組織の活動に対する妨害を防止するために行なう。 A.12 運用のセキュリティ A.12.1 運用の手順及び責任 A.12.1.1 操作手順書 A.12.1.2 変更管理 A.12.1.3 容量・能力の管理 A.12.1.4 開発環境、試験環境及び運用環境の分離 A.12.2 マルウェアからの保護 A.12.2.1 マルウェアに対する管理策 A.12.3 バックアップ A.12.3.1 情報のバックアップ A.12.4 ログ取得及び監視 A.12.4.1 イベントログ取得 A.12.4.2 ログ情報の保護 A.12.4.3 実務管理者及び運用担当者の作業ログ A.12.4.4 クロックの同期 A.12.5 運用ソフトウェアの管理 A.12.5.1 運用システムに関わるソフトウェアの導入 A.12.6 技術的ぜい弱性管理 A.12.6.1 技術的ぜい弱性の管理 A.12.6.2 ソフトウェアのインストールの制限 A.12.7 情報システムの監査に対する考慮事項 A.12.7.1 情報システム監査に対する管理策 解説 運用のセキュリティは、情報処理設備の正確かつセキュリティを保った運用を確実にするために行う。 A.13 通信のセキュリティ A.13.1 ネットワークセキュリティ管理 A.13.1.1 ネットワーク管理策 A.13.1.2 ネットワークサービスのセキュリティ A.13.1.3 ネットワークの分離 A.13.2 情報の転送 A.13.2.1 情報転送の方針及び手順 A.13.2.2 情報転送に関する合意 A.13.2.3 電子的メッセージ通信 A.13.2.4 秘密保持契約又は守秘義務契約 解説 通信のセキュリティは、ネットワークにおける情報の保護、及びネットワークを支える情報処理施設の保護を確実にするために行う。 A.14 システムの取得、開発及び保守 A.14.1 情報システムのセキュリティ要求事項 A.14.1.1 情報セキュリティ要求事項の分析及び仕様化 A.14.1.2 公衆ネットワーク上のアプリケーションサービスのセキュリティの考慮 A.14.1.3 アプリケーションサービスのトランザクションの保護 A.14.2 開発及びサポートプロセスにおけるセキュリティ A.14.2.1 セキュリティに配慮した開発のための方針 A.14.2.2 システムの変更管理手順 A.14.2.3 オペレーティングプラットフォーム変更後のアプリケーションの技術的レビュー A.14.2.4 パッケージソフトウェアの変更に対する制限 A.14.2.5 セキュリティに配慮したシステム構築の原則 A.14.2.6 セキュリティに配慮した開発環境 A.14.2.7 外部委託による開発 A.14.2.8 システムセキュリティの試験 A.14.2.9 システムの受入れ試験 A.14.3 試験データ A.14.3.1 試験データの保護 解説 システムの取得、開発及び保守における管理策は、ライフサイクル全体にわたって、情報セキュリティが情報システムに欠くことのできない部分であることを確実にするため行う。 これには、公衆ネットワークを介してサービスを提供する情報システムのための要求事項も含んでいる。 トランザクション(transaction)とは 商取引、売買、執行、取扱、議事録などの意味を持つ英単語。ソフトウェアの処理方式の一つで、互いに関連・依存する複数の処理をまとめ、一体不可分の処理単位として扱うことをトランザクション処理と呼び、そのような処理単位をトランザクションという。 データベースシステムや業務用ソフトウェアなどでよく用いられる概念で、金融機関のコンピュータシステムにおける入出金処理のように、一連の作業を全体として一つの処理として管理するために用いる。 トランザクションとして管理された処理は「すべて成功」か「すべて失敗」のいずれかであることが保証される。 例えば、資金移動システムをコンピュータで処理する場合、出金処理と入金処理は「どちらも成功」か「どちらも失敗」のどちらかであることが要求される。「出金に成功して入金に失敗」すると、出金された資金が宙に浮いてしまうからである。 このような場合に、出金と入金をまとめて一つのトランザクションとして管理し、どちらか一方が失敗したらもう片方も取り消し、どちらも成功したときに初めて全体を成功として確定する。 A.15 供給者関係 A.15.1 供給者関係における情報セキュリティ A.15.1.1 供給者関係のための情報セキュリティの方針 A.15.1.2 供給者との合意におけるセキュリティの取扱い A.15.1.3 ICTサプライチェーン A.15.2 供給者のサービス提供の管理 A.15.2.1 供給者のサービス提供の監視及びレビュー A.15.2.2 供給者のサービス提供の変更に対する管理 解説 この項目は、供給者がアクセスできる組織の資産の保護を確実にするため行う管理策である。 ICTサプライチェーンとは 企業における調達、製造、物流、販売、サービスといった行程を「供給の鎖」(サプライチェーン)として捉え、それに関わる情報を互いに共有管理して最適化を図る経営手法、または情報システムのことをいう。 サプライチェーンの各工程の個別最適ではなく、全体最適を図っていくことが重要とされている。 リードタイム短縮や在庫抑制によって、顧客満足度の向上を図りながら、コスト削減および収益拡大につなげる。 A.16 情報セキュリティインシデント管理 A.16.1 情報セキュリティインシデントの管理及びその改善 A.16.1.1 責任及び手順 A.16.1.2 情報セキュリティ事象の報告 A.16.1.3 情報セキュリティ弱点の報告 A.16.1.4 情報セキュリティ事象の評価及び決定 A.16.1.5 情報セキュリティインシデントへの対応 A.16.1.6 情報セキュリティインシデントからの学習 A.16.1.7 証拠の収集 解説 情報セキュリティインシデントの管理及びその改善は、情報セキュリティインシデントの管理に、一貫性のある効果的な取組み方法を用いることを確実にするため行なう。 情報セキュリティの事象及び弱点の報告は、情報システムに関連する情報セキュリティの事象及び弱点を、時機を失しない是正処置を講じることができるやり方で連絡することを確実にするため行なう。 A.17 事業継続マネジメントにおける情報セキュリティの側面 A.17.1 情報セキュリティ継続 A.17.1.1 情報セキュリティ継続の計画 A.17.1.2 情報セキュリティ継続の実施 A.17.1.3 情報セキュリティ継続の検証、レビュー及び評価 A.17.2 冗長性 A.17.2.1 情報処理施設の可用性 解説 事業継続計画(Business continuity planning、BCP)は「競争的優位性と価値体系の完全性を維持しながら、組織が内外の脅威にさらされる事態を識別し、効果的防止策と組織の回復策を提供するためハードウェア資産とソフトウェア資産を総合する計画」のこと。事業継続と復旧計画(Business Continuity Resiliency Planning、BCRP)とも呼ばれる。 情報セキュリティの継続が事業継続マネジメント(BCM という。)プロセス又は災害復旧管理(DRM という。)プロセスに織り込まれているか否かを判断することが望ましい。 事業継続及び災害復旧に関する正式な計画が策定されていない場合,通常の業務状況とは異なる困難な状況においても,情報セキュリティ要求事項は変わらず存続することを,情報セキュリティマネジメントの前提とすることが望ましい。 事業継続管理は、情報システムの重大な故障又は災害の影響からの事業活動の中断に対処するとともに、それらから重要な業務プロセスを保護し、さらに、事業活動及び重要な業務プロセスの時機を失しない再開を確実にするため行なう。 情報セキュリティに対して"追加的な"BIA を実施するための時間及び労力を軽減するには,通常の BCM又は DRM における BIA に,情報セキュリティに関する側面を織り込むことが推奨される。すなわち,情報セキュリティ継続に関する要求事項が,BCM プロセス又は DRM プロセスにおいて明確に定められているということである。 BCMに関する情報が,JIS Q 22301,ISO 22313 及び ISO/IEC 27031 に示されている。 冗長性とは 余分なもの、余剰がある、重複しているという意味である。IT用語では、主に余裕のある状態、二重化など、ポジティブな意味合いで使われることが多い。 データ圧縮などにおいては、効率性の妨げになる余剰分を排除するという場合に本来の余剰、重複の意味で使われることもある。 コンピュータシステムでは、耐障害性を高めるためにネットワークを含むシステム全体を二重化して予備システムを準備することを冗長化といい、冗長化によって信頼性、安全性を確保した状態を冗長性があるという。 企業は,情報システムの可用性に関する業務上の要求事項を特定することが望ましい。 A.18 順守 A.18.1 法的及び契約上の要求事項の順守 A.18.1.1 適用法令及び契約上の要求事項の特定 A.18.1.2 知的財産権(IPR) A.18.1.3 記録の保護 A.18.1.4 プライバシー及び個人を特定できる情報(PII)の保護 A.18.1.5 暗号化機能に対する規制 A.18.2 情報セキュリティのレビュー A.18.2.1 情報セキュリティの独立したレビュー A.18.2.2 情報セキュリティのための方針群及び標準の順守 A.18.2.3 技術的順守のレビュー 解説 法的要求事項の順守は、法令、規則又は契約上のあらゆる義務、及びセキュリティ上のあらゆる要求事項に対する違反を避けるため行なう。-情報セキュリティ方針及び標準の順守、並びに技術的コンプライアンスは、組織のセキュリティ方針及び標準類へのシステムの順守を確実にするため行なう。-情報システム監査に対する考慮事項は、情報システム監査手続の有効性を最大限にするため、及び情報システム監査手続への/からの干渉を最小限にするため行なう。 2013年版での新規認証取得支援、運用維持・改善のコンサルティングを行っております。 お客様のニーズにもとづき、ISO取得や改善に必要なサービス内容、工数等を設定できます。お気軽にお問合せください。 既にシステム運用をしていて、改善したいのだが。。。といった改善のご相談もお気軽にお問合せください。 現在、ISO27001の情報セキュリティマニュアルの改良のための書き換えサービスを実施しております。 サービス内容はお客様との相談により対応しております。お気軽にお問合せください。 ISO事務局の運用支援・業務代行もご相談のうえサービス提供しております。お気軽にお問合せください。 御見積り・ご相談等は信頼と実績のタテックスまでお問合せください。 お問合せは、ここをクリック ↓ お問合せ
https://w.atwiki.jp/tatecs/pages/52.html
ISO9001 ISO9001-2015 ISO9001-2015 要求事項 ISO9001システム改善 ISO9001新規認証取得支援コンサルティング ISOシステム構築への取組み-その1 ISOは経営システムの基本である 社長はISOをどのように活用できるか ISO9001用語集 精密板金加工業への適用例 プレス加工業への適用例 機械加工業への適用例 電気工事業への適用例 ソフトウェアのISO9001 | サイトマップ なぜ経営管理のシステムにならないのか | サイトマップ 経営者が、経営改善のために苦労しているにもかかわらず、なぜ導入したISOが真に経営のためのシステムとはならないのでしょうか。 その理由として、規格の理解不足や、手法の活用方法の問題もあります。しかしここでは、より根本的な要因として、当事者の意識の問題に着目します。 「ISOを経営に役立てる」と言うと、反対する人はいません。しかし、多くの会社のISO関係者がやっていることを見ると、とても経営を意識しているとは思えない状況を目にします。 上記のような取り組みを続けた結果、ISOが形骸化して、新たな成果が得られないと悩んでいる企業がたくさんあります。確かに、力のある企業だったら、何年かたてばISOで決めたルールは守れるようになります。しかし、企業の経営上の課題は尽きないはずです。表面的な適合や不適合の改善を乗り越えて、経営的な視点でシステムを改善すれば、本当にやるべきこと、成さねばならないことが見えてきます。 しかし、現状では仕事が増えただけでISOが役に立っていない企業がたくさんあります。このような組織は、経営とISOを分離して考えているはずです。経営上のメリットの視点で見直してみれば、何が必要で何がムダかが見えてきます。 今、ISOの認証に向けて取り組まれている企業は、本当の目的を見失うことなく、ISOによる会社の大改革を成功させてください。そのためには、他社の取り組み事例などから学んで、自社のISO見直しのヒントをつかんでください。 そして、ISOの活動がマンネリ化を招いてしまい、思考停止の状態に陥っている企業は、タテックス有限会社のコンサルティングを受け、システム運用改善に着手しようではありませんか。お気軽にお問合せください。 経営の役に立つISO9001へ それでは、実際にISO9001の認証を受けた企業ではどうなっているでしょうか。残念ながら、多くの会社では、全社の経営方針、事業目標とは別に、ISO審査用として品質方針や品質目標があったりします。 そして、会社の他のマネジメントとは別に独立させて、ISO用に品質マニュアルや規定などの文書がつくられていたりします。これでは、とてもISOが経営の管理手段として、効果的に活用されている状況であるとは言えません。 仮に、品質保証、トラブル防止、コミュニケーションなどで役立っているとしても、その扱いはせいぜい現場の業務管理システム止まりです。 「ISOを経営に役に立てる」というのは、このような現状を打破し、システムを改善することで、ISO9001を経営方針の実現の手段あるいは経営リスクの低減の手段として、有効活用することです。 "Output Matters" とパフォーマンス ISO9001 2008の追補改正版でキーワードとされていたのが”Output Matters”です。 ”Output Matters”とは「ISO9001が提示する品質マネジメントシステムは、要求事項を満たした製品を一貫して提供し、顧客満足を向上させるためのものであると適用範囲に規定されているにもかかわらず、現実にはISO9001に適合していると判断されていても要求事項を満たす製品を提供できないことがある」という問題提起からきています。 規格の本体への変更も検討されたものの、今回の改正では序文で品質マネジメントシステムの有効性が強調されたに過ぎませんので、ISO9001 2008の勉強した人でないと ”Output Matters”を知らない人も多いことでしょう。 「パフォーマンス」という言葉には非常に多くの定義があり、その言葉を使う人によって、パフォーマンスの意味する内容が異なる場合があります。マネジメントシステムでは、どのように定義されているのかといいますと、ISO9001 2008解説5.1の文章にある「成果、結果などだけでなくその過程も重要であるとの認識から」という表現です。 ここでは、過程と結果をひとかたまりのものとしてパフォーマンスという概念を捉えています。「組織のマネジメントの測定可能な結果」とは、目標や目的だけではなく、そこへ行き着くまでの過程も含めたものと捉えたほうが、より定義に則した解釈と言えそうです。ISO14001やOHSAS18001の定義にも同様のニュアンスがあります。 クレーム処理、苦情処理はまたとない顧客とのコミュニケーションの機会 苦情が発生するのは確かに好ましい事態ではありません。しかし、その機会を利用して顧客に深い印象を与え、長期安定的なリレーションの構築に結び付けている事例も多くあります。苦情処理の迅速さ・巧拙が、取引維持・拡大か顧客喪失かの分かれ目となり得るのはまぎれもない事実です。 苦情を受け付けて適切に対応し、その機会を利用して逆に顧客とのリレーションを深めるためには、経営者が自ら進んで顧客の声を聞き、場合により陣頭指揮で迅速な解決に当たるなど、積極的に動くことが望ましいことは言うまでもありません。 企業の製品・サービスに対して不満を持っている顧客の数は、経営者が思っているより、はるかに多いと考えてよいでしょう。一説には、不満を持つ顧客のうち苦情を言うのは4%で、あとの96%は、ただ怒って二度と来ないだけであると言われています。 表面に現われる苦情よりも、潜在的な苦情の方がはるかに多いのが現実なのです。 本来、顧客はわざわざ労力をかけて苦情を申し立てるほど、その企業のことを思ってくれてはいないということです。苦情を言ってくれる顧客は貴重な存在です。企業にとって苦情の情報は、お金を払ってでも入手したい大事な情報であるはずです。 顧客に苦情を簡単に申し立てることのできる機会を提供すれば、一気に苦情の洪水が流れ込んでくるかもしれません。その上で、苦情を誠実に取り上げ解決するという姿勢を見せて、継続して実績を挙げれば、顧客はその企業を評価しロイヤルティを高めることも可能なわけです。 優れた企業はこのことに気がついて、日常業務の中で顧客が苦情を言いやすい環境を準備しています。たとえば、簡単なアンケート調査票や「お客様ご要望メモ」のような用紙の配布と回収、フリーダイヤルの苦情処理センターの設置などです。また企業側のアクションによって定期的に実施されるCS調査も、顧客に苦情申し立ての機会を提供する良い手段として、重要な位置を占めています。 顧客満足度把握の方法と顧客満足度データの活用 顧客満足度を把握する方法と顧客満足度データの活用は、経営システムを改善していくうえで非常に重要です。顧客満足(CS)経営は、何よりも事実を把握することを出発点とする経営なのであり、継続して把握し分析される客観的なCSデータが大きな意味を持っています。また、企業が顧客の声を聞く姿勢を行動で示すこと事態が、顧客志向の経営を実践していることを対外的に示す良い機会になります。 ・顧客満足度の把握は、定期的に、できるだけ客観的なデータが得られるよう工夫して実施されなければなりません。客観的なCSデータを把握し分析することは、CS経営の実践において絶対に必要なことです。 ・収集するデータの内容についても、本当に意味のある顧客二ーズの切りロや良いアイディアを提供するものなのかどうか、常に検証した方がよいでしょう。 ・データの量に関しては、多くのものが収集できればその方がベターです。あまりにも少ないサンプル数に基づいて分析を行い、改善の基礎データとするのは、統計学的にも危険があります。 ・顧客満足度を把握する調査方法は、通常のマーケティング等の調査方法と同様であり、色々な種類があり得ます。 基本的には簡単な方法で十分であり、必ずしも大規模な情報システム装備を必要としません。 具体的には、調査票への回答記入を顧客に依頼する方法(調査票の配布・回収について、調査員の直接訪問による方法、留置法、郵送法などがある)、電話インタビューを行い調査員が聞き取った回答内容を調査票に記録する方法、フォーカス・グループ・インタビューによる自由な討議を記録する方法、随時得られた CS情報をデータベースに集積する方法などが利用されます。CSの最大化を目指す以上、何よりも顧客満足度の把握方法が優れていなければなりません。 ・CSデータは、適切な方法を用いて客観的に把握され、かつ組織全体を通じて活用されることで、CS経営の実践に貢献します。データを収集しただけでは意味がありません。分析して、活用してこそ意味があるのです。 マネジメントシステムは形骸化避けて通れない、それを乗り越えれられるか否か 形骸化を招いてしまうのはISOのマネジメントシステムだけではありません。年金制度など社会的な制度、就業規則など社内の制度にも当然あり得ます。 社会や会社の集団を取り仕切っているルール(制度)は、よほどの手入れがないと形骸化が避けられないものと捕えたほうが良さそうです。 人間は社会や会社の中で集団生活をし、活動しています。そうした鳥合の集団をまとめて秩序を作るのには何らかのルールが必要になります。 このルールのひとつが万人に対して適用される法規法令や規則であり、人間の活動を円滑に営むための決めごとを定型化・定式化したものが制度です。 その制度の恩恵にあやかりその利点を享受できるのは、その制度の本来の趣旨や意図に沿った人や組織であるはずですが、制度の脆弱性につけ込んで、体裁だけ整え、手っ取り早く、ときには不正に制度に滑り込む人や組織が出てきます。 内部監査などで、書式やチェックリストを用い、所定の決めごとを満たしているか、形式的、表面的に点検し、そのプロセスが制度の決めごと(要求事項)に則っていれば、誰も結果にノーと言いようがないわけです。その結果が、本来の趣旨や意図に沿っているかどうかを客観的かつ公平に判断するのは極めて難しいのです。 それから慣れの問題、楽をしたいという制度崩しの傾向も見逃せません。例えば、人間関係においても、同じタイプの人間が集まり群れを作ります。なぜかと言えば、自分が理解しやすい人間と一緒にいることが楽だからです。そうやってあらゆることに、人間は楽な選択をしがちです。 確かに日本の企業では、上司が具体的な指示をしなくても、部下は上司が言わんとすることを察して行動する「あうんの呼吸」もあり、無駄の少ない快適なコミュニケーションが、日本の企業文化にも浸透しています。 ところが、人間が楽をしようとして作ったはずなのに、そのシステムに縛られて、運用が形骸化・マンネリ化するのは、人間のもうひとつの性質 「慣れ」 によるものです。ISOも本来、仕事の効率を上げて、質を高めるものだと理解していますが、その根底には、システム化することで楽で快適に仕事をしたいという人間の本来の性質が見られると思います。 マネジメントシステムを確かなものにするために、文書や記録、手順書などが存在するのですが、業務がうまく回っていると、それらは見慣れてきてその意味が希薄化します。 工場やサービス業の現場では、作業も慣れてくると、見間違い、錯覚、見落としなどが生じます。現場レベルからISO事務局、さらには経営層にまでマンネリ化はどこからでも忍び寄ってきます。しかし、これらの行動はISO自体に問題があるのではなく、人間本来の性質なのです。楽な選択はうまくいっているうちはいいのですが、刺激がなくなるばかりか、向上心を奪ってしまう場合もあります。 しかし、人間には、マンネリ化を乗り越えるさらに上位の精神が存在します。 「心理学者A.H.マズローは、欲求五段階説で、人間の欲求は5段階のピラミッドのようになっていると指摘しています。 即ち、(1)「生理的欲求」、(2)「安全の欲求」、(3)「親和の欲求」、(4)「自我の欲求」、(5)「自己実現の欲求」の5つです。 (4)は他人に認められたいという欲求、最上位の(5)は創造的活動や自己の成長を追求する欲求です。人間は常に向上したいと思っていて、そのための努力も惜しみません。もしマネジメントシステムの運用に形骸化があるなら、人間はそれを克服するためにさまざまな工夫をすることでしょう。 最近の経営環境は非常にきびしくリーマンショック、高齢化、少子化、新産業育成の遅れなどが重複して発生し、経済は右肩下がりの時代です。 こうした経営環境の変化に対応するため、人員削減による一人あたりの労働力の負担増加のほか、企業の合併や統廃合、再編、アジアへ事業所移転など、さまざまな職場環境の変化に、従業員の心身にかかる負担は大きくなっています。 急速な社会の変化の中で、効率的で、人間にとって快適なマネジメントシステムを作り上げるために各社の取り組みはさまざまです。 ここで自社のマネジメントシステムが形骸化に襲われていたらどうしたらいいか、ISO事務局やマネジメントシステム管理責任者のレベルでの対処法を考えてみましょう。 ISOマネジメントシステム推進のリーダーには 「ここはもうちょっと改良できるな」という精神を持つことが大事です。今は分業化が進んで、自分個人での業務の改善が難しくなってきています。それをシステムとして業務を怠らないように改善していくことが必要です。 勿論、マネジメントシステムの仕組みを改善するには、経営学など多面的な勉強や経験も必要になってきます。併せて組織の人材のモチベーションを高める工夫も大事になってきます。 これまで見慣れたマニュアル、規定、手順書、様式集を新しい視点で再構築するには、いろいろなケースを知っていることや訓練が必要です。 そのためにはタテックス有限会社のように、ISOに精通したプロのコンサルタントのアドバイスを得ることも非常に有効です。当社はマネジメントシステムを改善したい組織を応援するため日々、研究を重ねています。是非、お気軽にお問合せください。必ずや御社の事業発展に寄与できると確信しております。 あなたの会社のISOは 経営の役に立っていますか? 新たに事業を起こして成功する企業はほんの一握りです。そして成功した事業を維持していくのも大変なことです。せっかく、良い製品やサービスやビジネスモデルがあるのに、組織はなかなか経営者の思う通りには動いてくれません。従業員は、やるべきことを分かっていないし、危機感も足りないし、教育訓練も足りないし。経営者の悩みは尽きません。 この時、ふと耳にしたISO。これを導入すれば、方針が徹底され、ルールが守られ、改善が進む……かもしれない。 でも、そうは簡単にうまくはいきません。確かに良くなった部分も多いが、期待したほどではない。表向きには「ISOをやって会社が変わった」と話すものの、本音では「やっぱり、そんな都合の良い話はないよな」というのが、多くの経営者の感想でしょう。 しかし、中にはISOの導入で、真の経営改善に成功した企業もあります。それでは成功した企業と、中途半端で終わった企業とでは、いったいどこがどいう違うのでしょうか。 日本の品質マネジメントは 外的変化に対応し切れているか 日本企業の品質マネジメントに関して品質コストという観点から考えてみましょう。日本企業は収益率が低いことが問題提起として挙げられます。ROAやROEについて、欧米企業と比較してみると、1980年代はとそんなに遜色がなかったそうです。 それが21世紀に入ると大きな差が生じてし まっています。 日本はものづくりの技術力のレベルが高いにもかかわらず、収益率が低いのは、品質コストという観点での経営に問題がある指摘しています。 そこで、品質コストという会計のモノサシを使って、日本企業の、「品質第一主義」「ゼロディフェクト」といった考え方を見直す必要があると指摘している学者もいます。 ここで品質コストとは、 不具合などの問題を発生させないための品質管理活動に伴うコストと、 製品に問題が生じた際の失敗コスト の2種類からなります。 この 両者を足したコスト、これを総品質コストと呼びます。 実は欧米と日本企業では考え方が異なっていました。ゼロ ディフェクトといえども不具合をゼロにすることはできません。逆にゼロにしようとすると膨大な費用がかかります。 日本企業において、直視しなければならない問題は、失敗コストが増加傾向にあるということです。 その実例として、ソニーやパナソニックのバッテリの回収や三菱自動車のリコールやなどは莫大のコストが掛かっていますが、まさに品質に関するリスクの典型例だといえます。 こうしたリスク に関するコストが多大になっているのは、消費者の安全・安心の意識が高くなったこと、製品ライフサイクルが短かくなっていること、技術の高度化していること、グローバリゼーション競争が熾烈なこと、顧客などからの評判等が関係していると言えるでしょう。 このような状況下で、品質管理コストも上昇しており、総品質コストが上がっている現実があります。 経営においてISOの果たす役割 ISO9001の目的は、「品質の良い製品やサービスを提供して、顧客の期待に答えること」です。当然、その先にあるのは、顧客の信頼を得て、売上げを伸ばし、事業を発展させることです。 品質マネジメントシステムで管理するのは事業の核となる活動ですから、ISO9001が機能しないことには、会社の経営方針の実現はありえません。 ISO9001で実現しようとする「方針及び目標」とは、会社の「経営方針及び経営計画」そのものであり、その中の製品(サービス)、組織、顧客に関する部分です。 一方、ISO14001(環境)、ISO27001(情報セキュリティ)、ISO22000(食品安全)、OHSAS(労働安全)などのマネジメントシステムは、会社の経営に重大な影響を与えるリスクと社会的責任を取り扱っています。これらへの対応を、経営方針の一部として組み込み、展開することで、会社全体の活動とし、経営リスクの低減と社会的責任の実行を図るものです。 ISO9001 2015、現在の品質マネジメントシステムをどのように見直したらよいか? 認証取得している組織のなかで、① 1994年版、2000(2008)年版の考えをひきずっている組織、② 要求事項のみでシステムを構築している組織、③ラベル・看板のためにのみ取り組んでいる組織、④規格の適用除外、認証範囲の部門除外を必死になって考えている組織、⑤今活動しているマネジメントシステムと、認証のためのマネジメントシステム双方を持つている組織などは、この2015年版を契機に見直しを行い、顧客要求事項及び適用される規制要求事項を満たした製品を一貫して提供する能力をもつことを確実にしていくことが期待されています。品質マネジメントシステムの見直しでは、下記のチェックをしてみましょう。 1.品質マニュアル他を用いて、自社の品質マネジメントシステムを説明できますか? 2.規格要求事項目に抜けはありませんか? 3.認証範囲に対応した組織となっていますか? 4.「製品実現のプロセス」は、提供する製品(サービス)保証に適切なプロセスですか? 5.「製品実現のプロセス」を支援プロセスや活動が明確ですか? 6.特定したそれらの活動が適切に運用されていることの確認は実施されていますか? 7.問題や苦情があったときに、適切な対応がなされていますか? 8.方針、目標を含めて、適切な運営がなされていることを確認していますか? 9.立案した目標を含め、きちっと改善がなされ、企業としての向上が見られますか? 10.マネジメントシステムが、仕組みとして有効に機能していることが確認できますか? 11.顧客満足は実現できていますか?企業としての理念は、実現できそうですか? 12.事業プロセスとISOとの統合が進んでいますか?" 現在、タテックス社では、ISO9001の品質マニュアルへの書き換えサービスを実施しております。文書のスリム化、実態に合った内容への書き換えなど、他のコンサルタントなどが構築したシステム改善でも請負しております。サービス内容はお客様との相談により対応しております。お気軽にお問合せください。 適切なQMSの設計は、品質目標達成と改善のメカニズムを実現する 「マネジメント力としてISO9001が取り扱うべき事項(品質マネジメントシステム規格とマネジメント力)」について考えてみましょう。 QMSを適切に設計するとはどういうことを指しているのでしょうか。 規格の要求事項に適合する仕組みをつくることがQMSの設計だと捉えているケースが多いことがあげられます。第三者認証取得を第1に考えるとそうなってしまいます。 規格の読み方次第でこうした捉え方がされていると考えられますが、ISO規格にはこのような内容は書かれていないという解釈が正しいでしょう。 では本題に戻り、「QMSが適切に設計されていればどういう結果が期待されるか」について考えててみましょう。 QMSが適切に設計されていれば「QMSに組み込む品質目標達成及び改善のメカニズム」の実現につながるといえるのではないでしょうか。 この品質目標達成及び改善のメカニズムの実現については、次の4つが必要になってきます。 「顧客及びの製品の明確化」 「想定すべきリスクの特定」 「ネットワークとコミュニケーション」 「 PDCAループ(仕組み)」 「顧客及びの製品の明確化」について 品質目標にも関係してきますが、マネジメントシステムが適切に設計されていればQMSのスコープの明確化、いわゆる「顧客及び製品の明確化」にもつながってきます。 さらに適切なQMSの設計については、システムレベルという観点も重要です。その理由は、組織自身、目標とするQMSの到達レベルが決まっていない状態でISO 9001の要求事項だけを見ていても適切な設計はできない、ということが言えるからです。 「想定すべきリスクの特定」について 想定すべきリスクを特定するまでの過程で、取り扱うべきリスクの検討も行います。そこで、「そもそもシステムを設計する」とはどういうことでしょうか。「適切なQMSの設計」に関して検討するにあたって、この意味をしっかりと確認しておく必要があります。 いろいろな意見があるでしょうが、「システムを設計するとは、システムに内在されているある種のリスクについてどういうことをやるか事前に決めておくことである」と結論づけることができます。 「ネットワークとコミュニケーション」について QMSに組み込む品質目標達成及び改善のメカニズムの実現のための要素のひとつとして「ネットワークとコミュニケーション」の観点も重要です。 品質目標の達成及び有効な改善のメカニズムが実現するには、各システム要素が機能的に連携するためのネットワークや コミュニケーションの構築が不可欠だからです。 また、この両者が機能しない場合、将来に向けてのシステムとしての学習能力が機能不全に陥る、いわばシステムそのものの有効性が高まっていかないことになるからです。 ISO9001 beyond 企業にとって常に改善していかなければならない3大要素に、Q(品質)、C(コスト)、D(納期)があります。そしてこの Q、C、Dは、個別に独立したものではなく、相互に関連しています。ISO9001はこの中で、Q(品質)に限定して要求事項を述べています。しかし、経営コンサルティングの場面は、むしろコスト低減が最も多いといえます(つまり、企業が最も強く改善を感じている領域はコストかもしれません)。 この事実に対して、「品質以外は要求事項ではないので、別のシステムにすべきだ」と思っておられる企業が多いのも事実です。 ISO9001は2000年版から、「品質マネジメントシステム」というより「顧客満足のためのシステム」と原則にも書いてあります。この視点から考えるとISO9001の要求事項ではないけれども、重要な関連領域・システムは数多く存在します。 当然ですが企業はQ(品質)、C(コスト)、D(納期)のバランスの取れたマネジメントシステムを持つべきです。 その実現のためには、一つのシステムであっても、複数のシステムであってもよいでしょう。そうすると、選択肢のひとつとして「ISO9001の要求事項のよさをベースにして適用できる領域には横だし、上乗せしてシステムを構築することが浮上します。 ISO9001の要求事項の良さとして、P・D・C・Aサイクル、プロセスアフローチ、目標管理、是正&予防処置など継続的改善を構成するツールが挙げられます。これに付加する対象としては、「.販売、利益、コスト管理」「納期管理(製造業における生産管理)」「新商品/新サービス開発管理」「提案型の営業システム」「社内改革システム」などが考えられます。 このようにISO9001に横だし、上乗せしてシステムを構築しても、規格要求以上のことを規定していることに対して、審査員は過剰だから、不適合ということはありません。審査員は規格要求事項に適合しているか(網羅しているか)を見て指摘をしますが、過剰なシステムに対して指摘するのはコンサルティングと判断されるので指摘できないはずです。 上記の5つのシステム拡大の例は、規格要求上からは玉虫色ですが、規格要求に含まれていると判断しても不自然ではありません。一方、御社がこれらの拡大システムにするメリットを感じられるなら、経営改善のために「横だし、上乗せ」して、実施をマネジメントし、審査員にも審査してもらってもよいのではないでしょうか。私を含めた多くの審査員は、経営改善を考慮した「横だし、上乗せ」は歓迎致します。しかし、この希望は、ISO9001だけの専門家では審査することが不可能になります。経営コンサルタント(中小企業診断士などの公的な資格と実務経験を持つプロのレベルの人)であり、かつ、ISOの審査員としてもプロとしての力量をもつ人に評価してもらうのがよいでしょう。 ISO9001システム運用改善に関するQ&A Q1ISO9001 2015への移行において、現在の品質マネジメントシステムをどのように見直したらよいか? A1 認証取得している組織のなかで、① 1994年版、2008年版の考えをひきずっている組織、② 要求事項のみでシステムを構築している組織、③ラベル・看板のためにのみ取り組んでいる組織、④規格の適用除外(1.2)、認証範囲の部門除外を必死になって考えている組織、⑤今活動しているマネジメントシステムと、認証のためのマネジメントシステム双方を持つている組織などは、この2015年改正版を契機に見直しを行い、顧客要求事項及び適用される規制要求事項を満たした製品を一貫して提供する能力をもつことを確実にしていくことが期待されています。品質マネジメントシステムの見直しでは、下記のチェックをしてみましょう。~~1.品質マニュアル他を用いて、自社の品質マネジメントシステムを説明できますか?~2.規格要求事項目に抜けはありませんか?~3.認証範囲に対応した組織となっていますか?~4.「製品実現のプロセス」は、提供する製品(サービス)保証に適切なプロセスですか?~5.「製品実現のプロセス」を支援プロセスや活動が明確ですか?~6.特定したそれらの活動が適切に運用されていることの確認は実施されていますか?~7.問題や苦情があったときに、適切な対応がなされていますか?~8.方針、目標を含めて、適切な運営がなされていることを確認していますか?~9.立案した目標を含め、きちっと改善がなされ、企業としての向上が見られますか?~10.マネジメントシステムが、仕組みとして有効に機能していることが確認できますか?~11.顧客満足は実現できていますか?企業としての理念は、実現できそうですか?~ Q2品質目標の設定、管理方法の改善を行うにはどうすればいいのか A2 QMSを活用して経営改善する上で、最も重要な点は「トップマネジメントのリーダーシップ」「マネジメントレビュー」「経営資源の準備」「人の育成」「継続的改善」「内部監査」「業務改善」などいろいろ答えが考えられます。QMSを経営改善に生かすには、「適切な品質目標を設定し、確実に達成すること」です。「適切な」とは、・企業の当面の課題に対する的を射た品質目標・経営成果(利益、コスト、業務改善、顧客満足、信用)につながっている・努力しなければできない達成レベル(値)・確実に達成するために、達成のための手段を明確にし、実施計画(達成スケジュール)を立て、実施の管理を確実にすることです。 ここでISO9001の要求事項を確認してみましょう。1. 規格要求「5.3品質方針」では、c)項で「品質目標の設定及びレビューのための枠組みを与える」とあります。トップマネジメントは、自社の経営改善につながる品質目標を立てて、改善活動をするための枠組み(方向性、領域)を明示する必要があります。この枠組みは抽象的過ぎず、具体的過ぎないのが望ましいでしょう。品質方針と整合の取れた品質目標を設定するために重要であるともいえます。2. 規格要求「5.4.1品質目標」には、「品質目標は、その達成度が判定可能で、品質方針との整合がとれていなければならない」とあります。トップマネジメントが、品質方針の中で明確にした「品質目標設定の枠組み」に従って、各部門などで品質目標を設定することを要求しています。3.規格要求「5.4.2品質マネジメントシステムの計画」では「品質目標満たすために、品質マネジメントシステムの計画を策定する」とあります。 ISO9001の要求事項に含まれていない項目であっても、企業の経営改善につながるのなら、必要なことは採用するべきでしょう。 品質目標は「品質目標項目を決める」「機会損失から目標値を決める」という考え方があります。「品質目標項目」とは、何を対象に改善活動をするかです。言い換えれば、どこに改善余地があるか、何が問題かということになります。ここでの「目標値」はどの程度かを決めることを指します。その目標を決める時の一つの発想方法が「機会損失」です。機会損失とは、機会があるのに、実施していないことによる損失という意味で、ここではやればできるのに現在実施していないことを発想することです。 次に重要なことは、品質目標達成のための「手段」です。これは「具体的には何をして、目標を達成するのか」ということです。実は先の「機会損失」との関連が深いのです。手段を達成したときに得られる成果の合計が目標値になりますが、この段階では、品質目標値を上回る手段を発想しておくのが望ましいでしよう。 なぜなら、手段はすべてが思惑通りに実施できるとは限らないからです。実施計画は目標達成のためのスケジュールですが、具体的には、設定した手段ごとにスケジュールを明確にすることになります。 立てた計画通りにはなかなか進まない、これが現実でしょう。実施の管理では「手段」の項目ごとにPDCAを回すことになります。PDCAを回すことで目標を達成していくことこそがマネジメントシステムであると考えてください。 この機会に経営成果を得るためには、御社にとって何が重要かを考えて下さい。その一つの解が、品質目標を有効に機能させること、それによって成果を出すことが運用の改善そのものなのです。 Q3従業員の力量を高めるにはどうすればよいか A3力量とは、業務を行なう上で必要な知識・技能・経験のことである。ISO9001では、製品サービスを提供するのに関わる人の必要な力量を明確にすることを求めている。力量を満たすように教育・訓練を実施することが求められている。 「力量」は英語で"competence"つまり、能力とされている。よく「企業は人なり」と言われる。企業経営は、”人”と”システム”である。なぜなら企業が成長するためには、「人の成長」と「システムの成長」が必要だからである。また、システムを成長させるには、人の力量が必要である。したがって、システムの継続的改善のためには、人の力量の継続的レベルアップが必要となる。 人の力量について規格6.2.2の力量、教育・訓練及び認識では、「製品要求事項への適合に影響がある仕事に従事する要員に必要な力量」を求めている。人は設備と異なり、新人が入り、年配の人は退職し、または途中退職もあるので、継続的レベルアップが自然には保証されていないからである。 人材の育成項目(力量のニーズ)を、適切にリストアップし、マネジメントの仕組みを活用して経営成果につなげることが極めて重要である。それに対応するために、ISO9001の6.2.2をうまく活用されることが、「QMSを経営改善に生かす」ためのポイントになる。 しかしながら、力量のところで、企業の対応として望ましくないパターンとして、次のようなことが指摘できる。1. 社内の資格制度を作成し、「Aさんは○○の力量があるから□□の仕事に従事させている」ことを審査員に見せるためのリストとして管理されているが、そこには、力量を向上するという概念が希薄である。2. 社内資格を明確にして、管理をしているが、力量のニーズ(育成項目)に向上が見られない。3. 力量のニーズが作業者中心であり、管理者の力量のニーズ項目がリストアップされていない。4. 個人別の力量マトリックスを作成しているが、そのマトリックスの整備が目的になり、新たなニーズが見出せていない。5. 公的資格に終始している。 企業によっては、教育後にテストをしたり、レポートを書かせたり、評価点をつけたりしている、大切なことは「次につなげるための今回の教育の評価」である。 私は内部監査員を中心にした力量の向上のための研修を実施している。つくづく思うのは、内部監査員、社員の力量の向上は企業にとっては永遠の課題であり、一朝一夕にはいかないということである。その意味から「力量の向上は一日にしてならず」なのである。 そのためには的確なマネジメントサイクル(PDCA)を維持することが重要である。P・D・C・Aサイクルを回すにはQMSが最も適切なツールである。したがって御社でも社員の育成のためにぜひともISOを上手に活用下さい。 Q4審査機関を変更できますか? A4審査機関の変更は可能です。それまでのサーベイランスの実施サイクルの時期もそのままに移行できます。審査機関の営業や担当コンサルタントに相談してみましょう。 ところで御社は期待される審査員像をお持ちでしょうか。それは御社のマネジメントシステムの経営上の位置づけ、マネジメントシステムの目的、期待値によって異なることでしょう。しかし、この読者はマネジメントシステムで経営改善を考えておられるでしょう。その場合の審査員は経営改善につながる審査をしてくれる人でなければなりません。 御社に来る審査員はいかがですか。規格要求の言葉にとらわれた、経営とは関係が薄い指摘ばかりしていませんか。審査員を変えて欲しい場合は、審査機関に変更依頼ができますし、極端な例としては忌避が可能なのです。 最近では、アウトプットの成果を重視する有効性審査が少しずつ展開されています。組織としては、有効性審査を期待されているのですが、 ① 審査員個人の能力不足でできない ② 審査機関の審査ルールの縛りが多くて出来ないようになっているの2つの要因で、結果として実現しない場合が多いようです。①の場合は少し時間が掛かるが、審査に来た人の中から探すか、他社の情報の活用により適した審査員を探して審査機関に希望してみることでしょう。 一方、②は審査機関の審査のシステムによります。審査システムの悪さを審査員でカバーできるところもありますが、それができるのは審査員の能力がかなり高い場合でしょう。いずれにしても、審査員や審査機関はその気になれば、変更できるのです。 ところが審査員が変わるというと多くの企業は「いままで指摘されていなかったことを不適合といわれるのではなかろうか」と心配されます。私は「いままでの審査員には発見されなかった御社の改善点が見つかるかもしれませんよ」と推奨しています。一つの選択肢として、検討すべきでしょう。 審査機関は、その審査機関の審査員から学ぶことが多くありそうな場合は、引き続きの審査を依頼し、学ぶべきことが少なくなったら審査機関を変更するというスタンスでよいです。御社は高い審査料を払っているのですから選ぶ権利があります。 Q5審査で指摘されたことを役立てるにはどうすればよいか? A5審査で指摘された不適合や推奨や改善の機会の提供を経営の改善に活かすためのポイントを以下に述べてみます。 まず挙げられるのが、マネジメントシステムの改善点を探してもらうことです。審査員はコンサルティングが禁止されているし、規格要求事項以外では指摘できないけれども、改善点に気づくことは多々あります。 しかし、審査員として良かれと思い指摘をしても、受審企業の中にはまったく聞く耳を持たないで自社の妥当性を強調される場合があります。看板目的の登録であれば、それでよいでしょうが、推奨されるスタンスとしては、審査員に「経営改善につながる審査のアウトプット」を求めることでしょう。 例えば、初回会議で、「経営改善につながる審査のアウトプット」を期待していることを伝えることです。実際、私はこれを経験して、かなりプレッシャーを感じて審査をした経験があります。高い審査料に見合ように審査員の持てる力を最大限に発揮してもらうことを希望するのです。 例えば、管理責任者が、審査員に対し「3件以上の不適合(システムの改善点)を見つけてくれ」と依頼したとします。そうすると審査員は必死になって指摘を探してくれます。社外の審査員を外力としてのうまく活用するのです。 また単に文書化された指摘事項にのみ対応するのでなく、いかに審査員から多くのものを吸収するかというスタンスが非常に重要です。 ISO規格では、マネジメントレビューのインプットとして「監査の結果」を要求しています。おそらく多くの企業のマネジメントレビューでは、審査結果報告書が提示されたり、そのポイントが報告されたりしているのでしょう。 要はその中身が大切で、有効なアウトプットにつながっているかどうかです。審査結果の中で、当社のシステムの改善のネタになりそうなこと、当社製品、サービスの改善のネタになりそうなことを、単に審査報告書からだけでなく、審査員の話、審査を受けたときの審査員とのやり取りの中での気づき事項などを御社のマネジメントシステムの改善のネタとして、マネジメントレビューでインプットしているかということです。 ISO9001関連するページ ISO9001システム改善コンサルティングの詳細はこちらへISO9001システム改善 ISO9001新規認証取得支援コンサルティングの詳細はこちらへISO9001新規認証取得支援コンサルティング ISOシステム構築への取組み-その1 +その2 ISOは経営システムの基本である 社長はISOをどのように活用できるか ISO9001 2008 追補改正版とは ISO9001:2015 とは ニーズで選べる支援内容 お客様のニーズにもとづき、ISO取得や改善に必要なサービス内容、工数等を設定できます。お気軽にお問合せください。 ISO9001品質マニュアルの改良のための書き換えサービスを実施しております。 ISO14001,27001など他規格との統合マネジメントシステムも対応しております。サービス内容はお客様との相談により対応しております。 ISO事務局の業務をアウトソーシングしたいというお客様のニーズへも対応しております。お気軽にお問合せください。 ISO9001システムの無料診断! タテックス有限会社では、ISO9001、ISO14001、Pマーク取得など、既存のマネジメントシステムを無料で診断致します。現状の抱えるシステムの問題点などとともにマニュアル類を送付して頂いてのマニュアルレビュー診断、あるいは訪問しての現地診断(交通費など実費はご負担して頂きます。)を実施しております。診断の結果の所見、改善の提案などのコメントを差し上げます。 ISO担当者だけでなく経営者も必見の情報と必ずなります。 ISO27001,ISO14001,ISO9001,Pマーク取得に関するお悩み・ご相談を無料メール相談でも受けしております。専門家のアドバイスを受けたい方、まずはこの無料サービスで、お気軽にお問合せください。 御見積り・ご相談等は信頼と実績のタテックスまでお問合せください。 お問合せは、ここをクリック ↓ お問合せ