2016年6月24日 ISO審査を終えて

2016年5月にISO9001/27001の統合再認証審査を受審しました。再認証審査は3年に一度行われる認証の更新審査です。今年は約1週間かけて全部門への審査が行われ、マイナー不適合1件、Good Pointを含む観察事項が33件で認証更新の推薦が決定しました。

マネジメントシステム四半期報告でもお伝えしたとおり、ISO27001では今回リスクアセスメント手順の見直しを行いました。当社のISO27001におけるリスクアセスメントでは、当社が保有している情報資産を全部署にヒアリングをして洗い出し、リスク評価を行います。評価の結果、リスクが高いとされた情報資産に対して、新たなセキュリティ施策を検討します。

情報資産の洗い出しは、これまで情報資産一覧に記載されている項目に変更がないかを聞く形式でした。しかしそれでは抜け漏れもあるのではないかとの懸念から、今回はまず各部署の業務手順をヒアリングし、プロセスごとに使用する情報資産を洗い出していきました。その結果、これまで認識できていなかった情報資産を新たに追加することができ、意味のあるリスクアセスメントになりました。
さらに今回の審査においては、リスクアセスメント手順を見直したことが形骸化を未然に防ぐための工夫として高く評価され、Good Pointにつながりました。

見直しのきっかけとなったのはリスクアセスメントの複雑さでした。入社間もないときは、自分の知識が足りないせいもあり手順通りに行い、何とか形にしていました。しかしこれでは不十分なのではないかという疑問は残ったままでした。今にして思えば、当時のリスクアセスメントはひとつひとつの作業の集合体であり、そこにストーリーがなかったのです。どのような状況で情報資産が作成され、保管されているのか、その情報資産は誰が管理しているのか、個人情報は含まれるのか、どの程度の重要度なのか、起こりうるトラブルは何なのか、などを順番に見ていくことで、その情報資産がどのくらい重要なのかを見出すことができました。

もっと効率的にリスクアセスメントを行うことも大事です。しかし省いていった結果が表を埋めるための作業になってしまっては意味がありません。

これはリスクアセスメントに限ったことではありません。マネジメントシステムを運用していると、記録や文書を重視する傾向になりますが、日々運用していく中で本当に必要なもの、不要なものを振り分けることで、ただの作業ではない効率的な運用ができると考えています。また、マネジメントシステムのための記録ではなく、業務の流れの中で自然とマネジメントシステムが組み込まれることが、業務効率化への近道だと考えます。

当社ではISO9001とISO27001を取得しています。現在、ISO9001とISO27001はそれぞれに担当がおり、運用しています。しかしスタッフからは、こんなときどこに聞いたらいいかわからない、マニュアルが多くてどこを参照すればいいのかわからないといった声も聞こえてきます。

ISO9001が現在新規格への移行準備を進めていることもあり、今後は統合できるところは統合して、より効率的なマネジメントシステムを目指します。特にマニュアルなど、集約しシンプル化することで、スタッフにもわかりやすく自然と頭に入ってくるようなものを目指していきたいですね。

いきなり全てを変えるのは難しいかもしれませんが、少しずつでも目標に向かって進めていけたらと考えています。