ISO14001の教育訓練とはどんな資料を作ればいいのか
サイズ修正.jpg)
こんにちは。ISOコム マネジメントコンサルタントの亀田 昭子です。
このブログにアクセスしていただき、ありがとうございます。
今回のブログでは、「ISO14001の教育訓練とはどんな資料を作ればいいのか」について、考えていきたいと思います。
最初にISO14001(EMS)の教育訓練について、要求事項を確認していきたいと思います。
ISO14001では、7.2項「力量」に力量についての要求があります。
7.2項の概要ですが、環境パフォーマンスに影響を与える業務、順守義務を満たす組織の能力に影響を与える業務を行う人にその業務を遂行できる力量を決定し、教育訓練や経験などによりその力量を持たせる。
また環境側面やEMSに関する教育訓練のニーズ(必要性)を明確にし、その必要がある人に対して、ニーズを満たすための教育訓練を実施し、その教育訓練の有効性を評価することが要求されています。
要求だけを読んでいるとなんだかよくわからないですよね。
※力量についてはコチラに詳しく書きましたのでご覧ください。
どのような教育訓練を行わないといけないでしょうか?
例えば次のような人を育成するための教育が必要になります。
・環境影響を決定し、評価する人:皆様の組織(会社)の業務全体(例えば製造業の場合は、部材の購入から製品の廃棄に至るまで、自社のみでなく、外注先等も含めて)の中で、何が著しく地球環境に良い・悪い影響を与えているかを決定できる人
・順守義務を決定し、順守評価する人:自社(組織)が守らなければいけない法規制として何があるのかを理解し、抽出し、自社が法規制の要求通り対応しているか評価できる人
・著しい環境影響の原因となる可能性を持つ業務を行う人:全ての業種で、自分の仕事が地球環境に影響を与える人のことで、環境に悪化させてしまう場合だけでなく、良くする場合もあります。自分の仕事がどのように環境に影響しているのかを理解していないと環境を悪化させる原因になってしまう場合もあります。
・環境目標の達成に寄与する人:自社の環境目標を達成するために自社のEMSの要求事項を理解している人
・緊急事態に対応する人:環境側面で、環境の緊急事態として特定したことに対応している人(地球環境が自社に影響を与える自然災害、自社が地球に影響を与える緊急事態として交通事故などによる油の漏洩など)
・内部監査を実施する人:ISO14001:2015版の要求事項を理解し、また、ISO19011の監査の指針に基づいた監査ができる人
力量の証拠は、文書化された情報として保持することが要求されているため、力量確保のための教育訓練を含めて、環境側面とEMSに関して、どの業務を行う人は、どのような力量が必要で、各人がどのような教育訓練が必要かを明確にするための「力量表」や、その人に必要な教育訓練を提供するための「教育訓練計画書」を準備されるといいと思います。
また、力量の証拠(教育訓練を行った結果)として、「教育訓練報告書」、「緊急事態対応訓練報告書」等で保持するとよいと思います。
※ISO14001:2015年度版改訂のポイントについてはこちらをご覧ください。
ISO14001の教育資料とは
最後に、ISO14001の教育資料としてどのような資料を作成すればよいかですが、主な資料としては、下記を準備されるといいと思います。
・環境方針や環境目標、社内のEMS活動の教育には、「環境マニュアル」「環境方針」「環境目標設定書」など
・環境影響評価を理解するための教育には、「環境マニュアル」「環境影響評価のやり方・考え方」「環境影響評価表」「著しい環境側面に対する対応手順書」など
・環境法規制の順守を理解するためには、「環境マニュアル」「環境法規制一覧表」「関連法規制説明資料」「環境法規制対応手順書」など
・緊急事態対応を理解するには、「環境影響評価表」「緊急事態対応マニュアル」
・内部監査教育には、「環境マニュアル」「内部監査員教育資料」
まとめ
以上、今回もISO14001については当社のコンサルタントが解説しました。
正直なところ、余裕のある会社ならISOの新規取得や更新は自社でもできます。
ただ、弊社のようなコンサルタントを入れた方が、無駄な作業に社員が関わらなくなるため、長い目で見ると結果的に安く済みます。社員の皆さんは本来の事業に注力できるため売り上げ増につながるのです。これは間違いありません。
また、当社のコンサルタントであれば皆さまの事業に活用できるISOに作り変えるため、経営改善にも絶対に役立つはず。
ISO取得のご依頼はこちらまで今すぐご相談を!
2018/07/30
プライバシーマーク(JISQ15001)とは何か?わかりやすく簡単に説明
こんにちは。ISOコム通信にアクセスしていただきありがとうございます。
今回のテーマは、
“プライバシーマーク(JISQ15001)とは何か?わかりやすく簡単に説明”です。
プライバシーマークを一言で言うと、
個人情報を扱って事業を行う会社や組織に対して、個人情報を持つ人(以下“本人という”)が、
自分の個人情報(名前、住所、電話番号、貯金額、病歴や保険加入状況等・・・)を預けて
いいかどうかを、審査機関が本人の代わりに、確認して合格したらマークを与える。
つまり、プライバシーマークを持っている会社や団体なら、自分の個人情報を預けてもいいね!
と安心してもらうための制度といえるかと思います。
プライバシーマークの規格である、JISQ15001及び個人情報保護マネジメントシステムに関して、少し詳しく説明しますと・・・
1.プライバシーマーク(JISQ15001)とは何か
個人情報保護の必要性は、徐々に定着してきていますが、意外とその歴史などは知られていないと思います。
昔からプライバシーの保護を言われていましたが、多少異なります。
現在の個人情報保護の動きは、欧米に合わせたものですが、2017年5月の個人情報保護法が改訂され、より厳しいものとなっています。
しかし、実務で行っている内容が、個人情報保護法に合っているかどうかは、自分たちではわかりにくい点もありますが、プライバシーマークを受けていれば、問題があるかどうかを審査機関が、判定してくれます。
プライバシーマークの審査では、法律違反までを指摘をしてはいけないことになっていますが、かなり個人情報保護の内容とJIS規格の内容が近くなっておりますので、不備な点はかなりわかると思います。
これが、プライバシーマークを持っているメリットの一つです。
ただし、2017年に改訂された規格では、個人情報保護法を前提にしているので、番号法などに関しての不備に対しては、今後の取り扱いは明確ではありません。
2.個人情報保護に関する規格などの歴史について
プライバシーマーク(JISQ15001)に関してまとめる前に、この目的である個人情報保護に関する規格の歴史を復習してみましょう。
25年くらい前には、同窓会名簿などの作成が普通でした。
特に高校や大学の同窓会名簿には、勤務先などがあり、記載されていたことにより、仕事の関係などで連絡を取る場合には非常に便利でした。
当然、その名簿の内容は、お互いのためだけではなくセールスプロモーション(拡販)などのために利用可能であり、受取人にとって不要なダイレクトメールなどの乱発につながっていきます。
そのために、違法な方法で名簿データを入手し、販売するような輩も出てきました。
一方、ヨーロッパでは昔から、個人情報の保護も含んだ個人の権利を守ることが普通になっていましたが、それらを発展させ日本も加盟しているOECDで「プライバシー保護と個人データの国際流通についてのガイドライン」(通称「OECDプライバシーガイドライン」)が採択されました。
その中で、以下の8原則が公表されています。
①収集制限の原則
個人データを集める時には、法律にのっとり、また公正な手段で、本人に通知または同意を得て集めるべきである。
②データ内容の原則
個人データの内容は、利用の目的に沿ったもので、かつ正確、完全、最新であるべきである。
③目的明確化の原則
個人データを集める目的を明確にし、データを利用する時は集めたときのものと合っているべきである。
④利用制限の原則
本人の同意がある場合、もしくは法律の規定がある場合を除いては、集めたデータを目的以外のために利用してはならない。
⑤安全保護の原則
合理的な安全保護の措置によって、紛失や破壊、使用、改ざん、漏えいなどから保護すべきである。
⑥公開の原則
個人データを集める方針などを公開し、データの存在やその利用目的、管理者などを明確に示すべきである。
⑦個人参加の原則
本人が、自分に関するデータの所在やその内容を確認できるとともに、異議を申し立てることを保証すべきである。
⑧責任の原則
個人データの管理者は、これらの諸原則を実施する上での責任を持つべきである。
これらの原則は、当然日本国内でも順守すべき内容でしたが、すぐには展開されず、1995年に欧州連合で「EU諸国と同等の十分なレベルの保護措置を講じない第三国への個人データ移転禁止」が決議されて、日本でも対応が必要になりました。
これに対応し、1999年に策定されたのがJISQ15001:1999「個人情報保護に関するコンプライアンス・プログラムの要求事項」です。
また、その内容に従って、個人情報の保護をしていることを第三者が証明するプライバシーマークが作られ、1999年中に約90社が認定を受けました。
昔から個人情報保護に携わっている方が、「個人情報保護マネジメントシステム」(略、PMS)と言わずに「コンプライアンス・プログラム」(略称、CP)と呼ばれるのはこのためと思います。
なお、JISQ15001に基づく第三者認定は、経済産業省の外郭団体である、一般財団法人日本情報経済社会推進協会(JIPDEC)が運営するプライバシーマークである必要はなく、当初は他にもありましたが、淘汰され一般的にはプライバシーマークだけが機能しています。
また、社労士事務所では、独自の制度“SRPⅡ認証制度”などを運用しています。
その後、2003年(平成15年)に「個人情報保護法」が制定されたことにより、この内容を反映し、JIS規格が改訂され、2016年5月にJISQ15001:2006「個人情報保護マネジメントシステム-要求事項」になりました。
さらに、2017年に「改正個人情報保護法」が全面施行され、その内容を反映したJISQ15001:2017「個人情報保護マネジメントシステム-要求事項」が2017年12月に発行されました。
ちなみに、1999年版にJISQ15001に利用されている用語は、OECDの8原則の内容に近く、2006年版のJISQ15001では個人情報保護法の用語に修正していることがわかります。
2017年版の用語は、2006年版の用語を引き続いています。
一部に、改正個人情報保護法や2017年版JISQ15001ではEUの要求を満たしていないとの意見が根強く残っていました。
しかし、EUは「EU一般データ保護規則」(GDPR)の運用が開始されており、もっと厳しくなっていることはご存知の通りです。
2018/07/25
ISO45001について 第12回 「9.パフォーマンス評価」 「9.1 モニタリング,測定,分析及びパフォーマンス評価」
-1.jpg)
こんにちは ISOコム マネジメントコンサルタントの小川 次郎です。
このブログにアクセスしてだき、ありがとうございます。
前回は、ISO45001「8 運用」の後半「8.2 緊急事態への準備及び対応」についてお話させていただきました。
“「6.1.2.1危険源の特定」で特定した潜在的な緊急事態への準備及び対応のために必要なことを決めて実践していきましょう”ということでしたね。
理解していただけたと思います。
緊急事態への準備及び対応は誰でも重要
ところで、6月18日の大阪府北部地震、7月4日~8日にかけての大雨と大きな災害が発生しましたね。
小生の自宅も震源に近いところにあり震度6弱の大きな揺れがありました。
幸い自宅は大きな被害もなく、ライフラインも生きており、多少の災害備蓄もありなんということはなかったのですが、スーパーやコンビニも閉店のところが多く、開店しているところでも、水やその他飲料、パン類、インスタントラーメン等が商品棚にはなく、やはり被災地だと実感していた次第です。
ブログをお読みの皆様方はどうだったでしょうか。
「緊急事態への準備及び対応」の重要性を身をもって実感された方々も多かったのではないでしょうか。
個人もそうですが、組織も、存続にかかわる重要な問題だと認識してつね日ごろから準備及び対応を心がけておく必要がありますね。
まえおきが長くなりましたが、
今回はISO45001「9.パフォーマンス評価」の前半「9.1 モニタリング,測定,分析及びパフォーマンス評価」と「9.2 内部監査」について、その次は、「9.3 マネジメントレビュー」と「10.改善」で、最終回にする予定でしたが、
お話ししたいこともたくさんあり、来年5月まで延長してよいとのことなので、今回はISO45001「9.パフォーマンス評価」の前半「9.1 モニタリング,測定,分析及びパフォーマンス評価」についてのみのお話にさせていただきます。
この項はPDCAサイクルの「C(評価)」に該当します。マネジメントシステムについて「モニタリング,測定,分析及びパフォーマンス評価」を行うことですね。図示すると以下のようになります。
ISO45001のこの項で求めているのは以下の3つのことです。
- 「計画」、「8.運用」の実施状況のチェック(モニタリング,測定,分析及びパフォーマンス評価)
- “このマネジメントシステムが適切に運用されているのか”のチェック(内部監査:次回記載予定)
- 前2項の結果を基にしたトップマネジメントの判断(マネジメントレビュー:次々回記載予定)
これらを行うための、規格要求事項は当然いくつかあります。
細かいことはさて置き、組織の規模の大小により異なりますが、一般的に行われていることは次のようなことです。
このようなことを、文書化できると、ISO45001の規格要求は満足できます。
― 9.1 モニタリング,測定,分析及びパフォーマンス評価 ―
この項は前述の「6.計画」、「8.運用」の実施状況のチェックにあたります。
- 目標管理を含め、危険源の除去・リスク低減・改善機会を定期的(多くは毎月)チェック
※一般的に業務内容に精通した部所・ラインで実施(部所長or推進委員がミーティング形式or視察andヒアリング)されることが多い。
- 順守義務の定期的(多くは毎月)チェック
※安全衛生担当者(労基署への届出等を担当する部所or担当者が多い。
※一般的にパトロール形式が多い。
【理解のポイント】
★文書化要求事項
・モニタリング、測定、分析及びパフォーマンス評価の結果
・測定機器の保守、校正又は検証の記録
★モニタリング及び測定の例(パトロールのチェック表に入れるor入れてある)
・OH&Sに関する苦情、働く人の健康及び作業環境(以前はあまり実施されていなかった。近年、労基署の重点項目)
・労働に関わるインシデント、負傷及び疾病(通常、労基への報告様式orヒヤリハット等労基報告の不要のものは独自様式)
※インシデント:労働災害及びヒヤリハット的な事象(突発的な出来事で、迅速な対応が要求され、即座に対応しなければ被害が広がっていくものは全てインシデント)
・運用の管理策、防災訓練の有効性
・力量(資格の保有確認等)
どうですか?
ISO45001の「9.1 モニタリング,測定,分析及びパフォーマンス評価」という大層な名称の項目をご理解いただけたでしょうか。
安全衛生に関して実際、何も行っていない組織はほとんどないでしょう。
意識しているかどうか、文書化しているかどうか別にして、安全衛生巡視(パトロール)や、安全衛生上の打合せ等はどの組織でも実施されていますよね。
労働安全衛生のマネジメントシステムは実際に行っていることをいかに規格要求と整合させるかがポイントです。
次回はISO45001「9.パフォーマンス評価」の「9.2 内部監査」についてです。
この概念は、
システム全体が機能しているかどうかを定期的(多くは毎年)にチェックすることです。
本来なら、経営者or監査室が実施する業務かなと思います。
実際、大企業では監査室が経営者の命を受けて、業務監査を実施していますよね。
小さな組織では、「法令違反がないか」や「危険な作業をしていないか」を経営者or部所長といったラインの人たちがチェックしているのが精いっぱいで、このような観点で社内業務(作業)を見るという概念はあまり持っておられないのが実情のように思います(もちろん、OHSAS18001を実施されていれば別ですが)。
「内部監査」という概念は、他のマネジメントシステムを運用しておられない組織ではなじみのない概念かと思います。
ISO45001の取得にご興味はございませんか?
当社ではISO45001認証取得を支援するためのコンサルティングを承っております。
ISO取得のご依頼はこちらまで今すぐご相談を!
ISO45001の要求事項に関するポイントはこちらをご覧ください。
2018/07/23
ISO9001を取得しない、更新をやめた企業の理由とは。ISO離れを考える
-1.jpg)
こんにちは、ISOコム マネジメントコンサルタントの柏木 博です。
本日はISO9001離れの理由についてお話します。
なぜISO9001を取得しない、または更新をやめた企業が増えているのでしょうか。
実はISOが時代遅れだとか必要ないとか役に立たないと考える企業ではISOが形骸化している問題がありそうです。
コンサルタントの視点からはISOは絶対取得した方がいいと言えるので、その点もご説明しますね。
ISO9001のやらされ感から脱却しましょう!
ISO9001規格は、本質的には“品質保証能力を実証する仕組み”“顧客満足を向上する仕組み”を構築するために必要な要素が記載されています。
このような本質に目を向け、これらの要素を自分たちにあった形で取り込むことが出来ると、ISO9001は会社の運営に非常に役立つ仕組みとなります。
しかしながら、
ISO9001規格の本質を理解しないまま、あるいは外部から要求されるままに取組んでいると、企業経営に役立たないこと、大変でムダなことをやらされることになってしまいます。
ISO9001を取得しない企業の理由は簡単です。
ISO9001がどのように役立つかがわかりにくいからです。
従って、客先などからISO9001取得の要求がないときには、めんどくさいのでISO9001を取得することはほとんどないかなと思います。
印象的には、全体の5%程度ではないかと思います。
一般的には外圧がない限り、自発的にISO9001を取得することは多くはないというのが現状です。
逆に言えば、ISO9001を取得した会社のほとんどは、外圧、即ち、顧客からの要請や、競合会社が認証取得したことを契機としたケースです。
このため、ISO9001を、会社の仕組みつくりに有効に利用するところまで昇華しているケースは少なく、外部からの要求がなければ、継続する必然性はあまりないようです。
このように、多くの会社は外圧によってISO9001を取得しています。
そのためせっかく大変な作業で取得したISOをやめるという判断をする企業があると考えられます。
ただし、ISO9001を取得した後ISO9001を勉強し、その利点を生かした運用により会社を強くした事例はとてもよく聞きます。
これは、コンサルや審査を通じて実感するところです。
ISO9001規格の要求の中で、文書、記録、内部監査、品質目標等々、規格が何を狙いとして要求しているのか、その本質を理解しないまま取組めば、“やらされ感”だけで取組むことになってしまい、形骸化してしまう恐れがあります。
特に、昔の(1994年版)頃は、審査面で“手順の文書化”や“記録の作成”についての要求が強く、今となって見れば、あまり業務に役立つことのない無駄な文書、記録が多く作成されていたように思います。
この頃にISO9001に取り組まれた企業様は、
”なぜこんな大変な文書を作らなければならないのか、こんな記録を作らないといけないのか”
と、“やらされ感”が満載であったと思われます。
このため、ISO9001とは面倒な“手順や基準を作るもの”“やたらと記録を作るもの”であると誤解されている面がありました。
せっかくISO9001の認証を取得するチャンスに出会えたのであれば、自分たちの実際の事業や業務に合った形で運用して、ISO9001を運用するメリットを十分に生かしたいものです。
事業に業務に役に立つ“自分たちにあった形”とはどのようなことか。
例えば、ISOの要求事項のひとつ「内部コミュニケーション」を取り上げてみます。
10人程度の会社で、全員が1フロアで仕事をしている会社では、目の端、耳の片隅に全員の情報が入ってきます。
このような会社では情報の共有化は容易であり、朝礼、夕礼、メモなどで十分なコミュニケーションが図れます。
一方、何千人、何万人規模の会社で、支店、営業がいくつもあるような会社では、必要な情報が必要な部門に確実に届くようなしっかりとしたコミュニケーションの仕組みが必要となります。
最近は、インターネット環境の普及、データ・ベース化などによりかなり情報の共有化が容易になってきましたが、それでも意思決定のための会議体の運営等が必要になるでしょう。
このように、会社規模、あるいは事業内容等により、規格の要求への対応が当然に異なってきます。
小規模の会社にあったISO、大企業にあったISOは作り方が異なるのです。
自分たちの事業や業務に合った仕組みを作り上げて、初めてISOは、役に立つ仕組みとなり、ISO9001による余分な仕事はなくなっていきます。
このことを理解したうえでISO9001に取組んでいけば、必ず役に立つ仕組みつくりが出来上がります。
“やらされ感”から脱却し、是非、前向きに取組んでみてください。
運用が難しいからといって、ISOをやめるというのは、撮るまでの労力や費用等を考えると、本当にもったいない話なのです。
“活かしてなんぼ”、ではないでしょうか。
まとめ
ISO9001を取得しないのも、更新しないのも、皆さんの自由です。
ただ、ISOは使いようなので、会社をよくする道具、ツールとして考えてみてはいかがでしょうか。そうしないと、せっかくのチャンスを逃しているかもしれません。
今一度、「自社にあったやりやすい仕組み」にするため文書やマニュアルを簡素化しスリムにしてみませんか?
確かに、専門家でもない方々がいきなりご自身でISOを取得するのは、大変な部分があるかと思います。
そのため、ISO取得を検討する際は、ぜひ最初に、当社のような、ISO取得支援専門のコンサルタントにご相談いただけるといいかなと思います。
また、すでにISOを取得しているが、その運用や効果に疑問を感じていたり、更新することを躊躇されている企業様のご依頼も大歓迎です。
ISOコムのコンサルタントなら、あなたの会社の業務を理解して、わかりやすくて使いやすいスリムな仕組みに
生まれ変わらせることが可能です。
ISO取得のご依頼はこちらまで今すぐご相談を!
フリーダーヤル:0120-549-330
動画でも解説していますので、ぜひご覧ください!
ISO9001の認証取得支援・運用更新代行
この記事を読んでISO9001の取得を検討してみようと考えている企業のご担当者様、ぜひご連絡ください!弊社でISO9001認証取得やその後の更新作業のコンサルティングをお手伝いしております。
当社のコンサルタントがISO9001について詳しくご説明しています。
2018/07/19
2017年版プライバシーマークのJIS規格(JISQ15001:2017)での移行について
.jpg)
こんにちは。ISOコム通信にアクセスしていただきありがとうございます。
今回は2017年版プライバシーマークのJIS規格(JISQ15001:2017)での移行についてまとめました。
1.移行スケジュール
プライバシーマークの審査において2017年度版のJISQ15001の審査に関して、大体情報が出そろってきました。
概略をまとめると以下の様になります。
(1) 申請時:
・2018年7月末までに申請する場合には、現在の申請用紙を利用する。
・2018年8月以降に申請する場合には、新規の申請用紙を利用する。
(https://privacymark.jp/news/system/2018/0702.html 参照)
(2) 更新審査時:
・今から申請した場合は、審査は8月以降になりますので、新審査基準による審査になります。
①新審査基準への対応が未完了の事業者様
・審査で、規程文書や運用内容が2017年版に対応していない場合は、その部分に関しては“継続的改善事項に準ずる指摘”になりますが、次回の審査時までに対応すればよいことになります。
他の不備に関しては、今まで通りの指摘または継続的改善事項になります。
なお、“継続的改善事項に準ずる指摘”は2020年7月までの審査1回のみで、以後は通常の指摘となります。
・2006年版から変更されており“継続的改善事項に準ずる指摘”に例としては以下のような項目があります。
(a) 個人情報の特定(規格の内容が変更または追加になった例)
・2017年版附属書AのA.3.3.1において、個人情報を特定した個人情報の台帳の管理項目として、「保管期限」が追加になっていますので、管理項目のもれがあると判断される可能性があります。
(b) 特定加工情報(A.3.4.2.9)(項目が追加になった例)
・2017年版では2006年版に対して、上記の様に従来の項目に企画内容が追加になった場合が多いですが、“A.3.4.2.9 特定加工情報”の様に項目そのものが追加になっている場合があります。
しかし、特定加工情報を利用しない事業者は、“利用しないことを宣言”することでよいと思われます。利用する場合は、JIS規格にそって規程文書を追加することが必要です。
②新審査基準への対応が完了している事業者様
・従来と同じとなります。新審査基準で不適合と判断された場合は従来通り指摘事項になります。また、諸事情を考慮して継続的改善になる場合もあります。
③新審査基準
・新審査基準はすでに公表されており、その内容から原則として附属書Aの項目に対して行うことになるようです。
・ただし、公表されている審査基準では、審査項目はわかりますが、判断基準が具体的ではなく、やはりガイドラインの発行が期待されます。
(3) 新規審査時
・更新審査の場合と異なり、2018年7月31日までの申請とそれ以降に申請では審査の内容が異なりますので注意が必要です。
・申請書の日付(当日消印有効)が2018年7月31日まで場合は、原則として現行の審査基準にて審査が行われます。現在では、申請から遅くとも3か月以内に現地審査が行われていますから10月末ぐらいまでは、現行の審査基準での審査が行われることになります。
・2018年8月1日以降の申請は、新審査基準にて審査が行われます。
・どちらがよいかは事業者様のお考えによりますが、すでに2006年版で準備をされている場合には、極力7月31日までに申請されることをお勧めします。
2.JIS規格改正のポイント
JIS規格の改正のポイントは大きく分けて3点あります。
(1) 規格そのものの構成の変更
・従来の2006年版のプライバシーマークのJIS規格(JISQ15001:2006)は本文と解説のみでしたが、2017年版では、本文、附属書A~Dに変更になっています。これは、全体の構成をマネジメントシステムとしての規格としてISMSなどの構成に合わせたとのことで、実際に運用する立場としてはあまり関係がない理由です。
・2017年版の改正作業はISMSの規格(JISQ27001:2014)の“情報セキュリティ”の表現を“個人情報保護”に変換することから始まったと話がありますが、確かに本文の目次はそっくりです。
・2006年版の本文に記載された内容は、一部本文に移されていますが、附属書Aに記載されており、項番も関連づいています。
(例えば2006年版の3.3.1の内容は、2017年版附属書AのA.3.3.1に記載されています。なお、内容は適時修正されています。)
(2) 改正個人情報保護法への適用
・個人情報保護保護法の変更点が反映されています。
・例として1.移行スケジュール(2)に記載した例のほか、承認に関する“一般”(A.3.1.1)、第三者提供に関して“外国にある第三者への提供の制限”(A.3.4.2.8.1)、“第三者提供に係る記録の作成など”(A.3.4.2.8.2)、“第三者提供を受ける際の確認など” (A.3.4.2.8.3)などが追加になっています。
・“一般”(A.3.1.1)の様に追加が必須の内容と、必要に応じて追加が必要な部分と双方があるともいますので、業務内容と併せて検討が必要です。
(3) 用語をわかりやすく修正
・用語を個人情報保護法に表現に統一しています。
この結果、個人情報は原則生存者の情報のみに限定されます。個人的には亡くなられた方の情報も保護すべきと思いますが、「個人情報保護法」第2条“この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。”と定めておりますので、定義を表現したものと思います。
・個人情報保護法に、“要配慮個人情報”に関する内容が追加になり、これに合わせてプライバシーマークの規格(JISQ15001)でも“特定の機微な個人情報”が“要配慮個人情報”に変更になりました。多少、定める必要がある内容も増加になっていますが、差別につながる情報と考えは変わっていないと思います。
・従来JIS規格では用いていなかった用語“個人データ”が採用され、これを受けて“開示対象個人情報”が“保有個人データ”に変更になりました。しかし、2017年版の附属書B(管理策に関する補足)のB.3.4.4.1の説明を合わせると、開示などの求めに応ずべき範囲は個人情報保護法の“保有個人データ”の範囲より広くなっており、今後混乱をまねきそうです。
・わかりにくい表現を一般的な用語に統一しています。
例として、“本人にアクセスする場合の措置”(2006年版3.4.2.7)を“本人に連絡または接触する場合の措置”(2017年版A.3.4.2.7)に修正したことと思います。
また、“教育”(2006年版3.4.5)は、“認識” (2017年版A.3.4.5)に変更されており、マネジメントシステムとしては一般的な表現と思いますが、プライバシーマークのみを運用する側としては、わかりにくくなったようにも思います。
参考URL
・JIS改正に伴うプライバシーマーク審査基準の改正について
https://privacymark.jp/system/operation/jis_kaisei/index.html
・プライバシーマーク付与適格性基準
https://privacymark.jp/system/guideline/pdf/pm_shinsakijun.pdf
ブログを読んでいただき、ありがとうございました。
弊社のコンサルティングにご興味のある方は、こちらまでお気軽にご相談ください。
ISOコム株式会社お問合せ窓口 0120-549-330
2018/07/17
ISO14001:2015のリーダーシップ及びコミットメントとは
.jpg)
こんにちは。ISOコム マネジメントコンサルタントの亀田 昭子です。
このブログにアクセスしていただき、ありがとうございます。
今回のブログでは、「ISO14001:2015のリーダーシップ及びコミットメントとは」について、
考えていきたいと思います。
“リーダーシップとコミットメント“とはどういったことでしょう?
日常的にカタカナ語は、何となく使っていますが、「意味は?」と聞かれると答えられない
時がありますよね。
“リーダーシップ”を辞書で調べてみると、
1.① 指導者としての地位・任務。指導権。
② 指導者としての素質・能力。統率力。(出典:百科事典マイペディア)
2.集団になんらかの目標を設定し,集団を統率しつつ,その課題を遂行・先導する能力や
その過程。(出典:ブリタニカ国際大百科事典 小項目事典)
とあります。
コミットメントとは
1.① 約束。誓約。公約。確約。「近隣諸国とのコミットメントを守る」
② かかわり。かかわりあい。関与。介入。(出典:デジタル大辞泉)
2.集団の目標や内部の構造の維持のため,成員が自発的に集団活動に参与し,これらを達成するように導いていくための機能。(出典:大辞林 第三版)
とあります。
ISO14001で考えるとどのようなことでしょう?
環境マネジメントシステム(EMS)を確立し、実行するにあたっては、トップマネジメント
(組織の長)がEMSに深く関与し、リーダーシップを発揮することが、システムを有効に
機能させるための重要なカギとなることを示しています。
では、トップマネジメントは何を行わなければいけないでしょう?
トップマネジメントは、5.1項の「リーダーシップ及びコミットメント」のa) ~i)に
記載されている要求事項を満足していることを実証(demonstrate)しなければならないと
あります。”demonstrate”とは、証拠によって明確に示すことという意味ですので、
トップは、要求事項について、関与していることを目に見える形で示す必要があります。
目に見える形とは、トップマネジメント自らの言葉で説明する、マネジメントレビュー
結果の中で掲示することなどによって、示すことができると思います。
では、具体的な要求事項について、いくつか確認してみましょう。
1)トップマネジメント自身がEMSに関連する説明責任を持ち、方針や方向性は、トップ
自らの言葉で説明する必要があることを要求しています。
2)EMS活動の計画を組織の戦略的な方向に一致させることを求めています。
3)EMSは経営のツールの一つであり、日常の事業経営の中で活用されてこそ効果を
発揮するもので、事業経営活動と別なところでの活動ではありません。組織に二重の
仕組みを構築することは避けなければいけません。
4)経営資源には、人、インフラストラクチャ(設備、建物など)、技術、資金、天然資源
等が含まれますが、この経営資源の配分をきちんと行い、必要な資源を利用できるように
するのは、トップマネジメントの役割です。
5)ISO14001要求事項への適合の重要性をトップマネジメント自らの言葉で組織全体に
伝達する必要があります。
6)EMSの意図した成果を確認し、その成果が今どの様になっているのか現状を把握し、
もしEMSの意図した成果が達成できそうもなければ、確実に達成する方策を考える必要が
あります。
7)EMSの有効性に起用するように人々を積極的に参加させ、指揮し、支援することが
要求されています。組織内にEMS活動に積極的に参加するような文化や環境作りを
求めていると思います。
皆様の組織のEMSを構築する時に、トップの皆様の役割として5.1 項の要求事項を考慮して
頂ければと思います。
まとめ
以上、今回もISO14001については当社のコンサルタントが解説しました。
正直なところ、余裕のある会社ならISOの新規取得や更新は自社でもできます。
ただ、弊社のようなコンサルタントを入れた方が、無駄な作業に社員が関わらなくなるため、長い目で見ると結果的に安く済みます。社員の皆さんは本来の事業に注力できるため売り上げ増につながるのです。これは間違いありません。
また、当社のコンサルタントであれば皆さまの事業に活用できるISOに作り変えるため、経営改善にも絶対に役立つはず。
ISO取得のご依頼はこちらまで今すぐご相談を!
2018/07/09
ISO45001について 第11回 「8 運用」 「8.2 緊急事態への準備及び対応」
こんにちは、ISOコム マネジメントコンサルタントの小川 次郎です。
このブログにアクセスしていただき、ありがとうございます。
前回は、ISO45001「8 運用」の前半「8.1 運用の計画及び管理」についてお話させていただきました。
「6.1.4 取組みの計画策定」や「6.2.2 OH&S目標を達成するための計画策定」で示された実施事項を具現化することを理解していただけたと思います。
今回は「8 運用」の後半「8.2 緊急事態への準備及び対応」についてです。
この項は規格の趣旨に沿って表現すると、「6.1.2.1危険源の特定」で考慮した「潜在的な緊急事態」により特定した「危険源」、「6.1.4 取組みの計画策定」でこの「危険源」に対する準備及び対応に必要なプロセスを確立し、実施し、維持することですね。
持って回った言い方をしましたが、要するに、
「6.1.2.1で特定した潜在的な緊急事態への準備及び対応のために必要なことを決めて実践していきましょう」
ということですね。
この項で求めているのは以下のことです。当たり前のことをまとめただけですね。
a)救急処置の用意、計画的な対応の確立
b)計画的な対応への教育訓練の提供
c)計画的な対応への能力の定期的テスト及び訓練の実施
d)テスト後及び緊急事態発生後にパフォーマンスを評価し、必要に応じて計画的な対応を改訂する
e)全ての働く人に、義務と責任を知らしめる
f)請負者、来訪者、緊急事態対応サービス(救急隊等)、政府機関、地域社会に対して(必要に応じて)関連情報を伝達する
g)関わる利害関係者のニーズ及び能力を考慮に入れ、計画的な対応の策定に必要なら利害関係者(顧客、親会社、監督官庁等)の関与を確実にする。
大きな地震が発生したり、重大事故が発生するたびに、危機管理の重要性が叫ばれる世の中であり、多くの組織は、「緊急時対応計画」や「緊急時対応要領」を作成しておられることと思います。
システム構築における実践の取組みは、これらの既存の計画や要領に、上記の内容が含まれているかチェックしていただき、不足していれば、追加していただく子で事足りると思います。
ゼネコンで安全の責任者として数多くの緊急事態を見てきた私の経験から言えば、計画を立てる上では「想像力」、緊急事態発生時には「訓練及びテスト」が非常に重要ですね。
実際に緊急事態が発生したとき、どのような2次災害を想定した計画、人の心理を想定した計画が作成できるか「想像力」がものを言います。
一つ間違えるとさらなる惨事を生みます。これは、発生場所、周りの状況、作業員の能力、発生日時によって大きく異なります。被害を最小限に抑えようと思うと、どれだけ想像力を働かせて計画を立てられるかにかかっています。
それに、組織全体の地震や火災等の緊急事態対応計画だけでなく、各々の部所の緊急事態対応計画も重要ですね。
しかし、どんなに立派な計画でも、立てるだけではだめです。
「訓練及びテスト」が重要です。多くの人は、血まみれの被災者、大きな炎、大きな惨状をみると、パニックに陥り、頭が真っ白になり、何をしたらよいのか分からなくなります。かなりの経験者でも同じです。その場の責任者ならなおさらですね。
この時に日ごろの「訓練及びテスト」がものを言います。
以上がISO45001「8.2 緊急事態への準備及び対応」についてです。ご理解いただけましたでしょうか。
もちろん、緊急事態が起こらない、起こさせないことが一番です。
想像力のある良い「計画」、中身のある良い「訓練及びテスト」を望みます。
次回はISO45001「9.1 モニタリング,測定,分析及びパフォーマンス評価」についてお話ししたいと思います。
この項も「6.計画」で計画したことの運用の監視と評価についてです。
ISO45001の取得にご興味はございませんか?
当社ではISO45001認証取得を支援するためのコンサルティングを承っております。
ISO取得のご依頼はこちらまで今すぐご相談を!
ISO45001の要求事項に関するポイントはこちらをご覧ください。
2018/07/02
