マネジメントシステムの要求事項にある附属書Aとは

投稿日:

ISOプロ担当者

最終更新日: 2019年12月06日

businessman-3492383_960_720

マネジメントシステムの要求事項には、「附属書A」というものがあります。この附属書Aとは何なのでしょうか? 今回は、附属書Aについて解説していきたいと思います。

附属書Aとは

附属書Aとは、マネジメントシステムの要求事項に追加されたもので、例えばJIS Q 15001では旧版(2006年版)の本文に存在していた管理策が記述されたものです。——つまり、2006年版の規格の解説にあたるものです。

附属書Aには、組織が抱えている情報セキュリティ上のリスクを軽減するための管理目的とその管理目的を達成するための「管理策」が示されています。マネジメントシステムの要求事項は、基本的に抽象度が高いものが多いですが、この附属書にはより具体的な目的と、その目的を達成するための管理策が記載されているのです。

例えばどのようなものが記載されているのか

JIS Q 15001の場合は、例えば以下のようなことが附属書Aに記載されています。

A.3.2 個人情報保護方針*
目的 個人情報保護の理念を明確にし,公表するため。 A.3.2.1 内部向け個人情報
保護方針* トップマネジメントは,5.2.1 e) に規定する内部向け個人情報保護方針を文書化した情報には次の事項を含めなければならない。

a) 事業の内容及び規模を考慮した適切な個人情報の取得,利用及び提供に関すること[特定された利用目的の達成に必要な範囲を超えた個人情報の取
扱い(以下,“目的外利用”という。)を行わないこと及びそのための措置
を講じることを含む。]。
b) 個人情報の取扱いに関する法令,国が定める指針その他の規範を遵守すること。
c) 個人情報の漏えい,滅失又はき損の防止及び是正に関すること。
d) 苦情及び相談への対応に関すること。
e) 個人情報保護マネジメントシステムの継続的改善に関すること。
f) トップマネジメントの氏名
【出典】JIS Q15001:2017(附属書A.3.2 個人情報保護方針)

附属書Bとは

なお、附属書Aと共に、ISO27001やPMSのようなマネジメントシステムの要求事項には、附属書Bというものが存在しています。この附属書Bには、附属書Aに関する補足説明が示されており、「〜することが望ましい」といったことが記載されています。

例えば、先程の附属書Aに関する引用部分に関して、附属書Bでは以下のように補足説明がなされています。

A.3.2の目的は,組織の個人情報保護の理念を明確にし,公表することであり,この場合の“個人情報保護の理念”とは,当該組織が個人情報保護に取り組む姿勢及び基本的な考え方を指すが,本人の権利利益を尊重する意識を表したものとすることが望ましい。
【出典】JIS Q15001:2017(附属書B.3.2 個人情報保護方針)

附属書Aを実施できなければ規格に適応できないのか?

さて、ここで疑問点となるのが、「規格本文とは異なるけど、附属書Aも要求事項としてみなされるのか」ということです。結論から言うと、附属書Aに記載されている内容はISOやPMSの認証を受けるにあたって必ずしも実施しなくて良いものです。

なぜなら、附属書Aはリスクアセスメントの結果に基づいて組織が管理目的を達成するために実施するものであって、リスクアセスメントの結果「そのリスクは受容することができる」と組織が判断した場合には、わざわざ管理策を実行しなくても良いためです。実際にJIS Q 9001:2015の附属書Aには、以下のような記述があります。

この規格では,組織の品質マネジメントシステムの文書化した情報にこの規格の構造及び用語を適用することは要求していない。
【出典】JIS Q9001:2015(附属書A.1構造及び用語)

規格の附属書はPMSやISMSを効率的に運用する上でおおいに参考になるものではありますが、附属書Aや附属書Bに記載されていることを実施しなかったからといって、不適合となることはありません。しかし、その多くはあらゆる組織でリスクアセスメントの結果、「受容できないリスク」と成り得るものばかりであるため、全く無視できるものでもないでしょう。

まとめ

今回は、マネジメントシステム規格の附属書Aについて解説してきました。附属書AはISOやPMSの認証を受けるにあたって絶対に必要なものではありませんが、規格に基づいた管理策を実行する上で役立つものです。

附属書Aや附属書Bを参考にして効率的なマネジメントシステムの運用を実施してみましょう。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

人気記事( コラム)

1 693
2 1612thum
3 4af6023ff2cf415feeab37f12c15bfa6_s

ISO9001継続の費用について

2017年07月10日

39,177 Views

4 businessman-3300907_1280 (1)
5 study-2208047_1280 (1)

OPRPとは?PRPと何が違うの?

2019年05月01日

18,652 Views

6 6613abb71ce6138c6a828f5bdc38eda1_s
7 haccp-course_5-1
8 391

関連するおすすめ記事