マネジメントシステム要求事項には、「附属書A」というものがあります。この附属書Aとは何なのでしょうか? 今回は、附属書Aについて解説していきたいと思います。

目次

附属書Aとは

附属書Aとは、マネジメントシステムの要求事項に追加されたもので、例えばJIS Q 15001では旧版(2006年版)の本文に存在していた管理策が記述されたものです。——つまり、2006年版の規格 の解説にあたるものです。

附属書Aには、組織が抱えている情報セキュリティ上のリスクを軽減するための管理目的とその管理目的を達成するための「管理策」が示されています。マネジメントシステムの要求事項は、基本的に抽象度が高いものが多いですが、この附属書にはより具体的な目的と、その目的を達成するための管理策が記載されているのです。

累計ダウンロード5,000件突破!ISO丸わかり規格概要資料

例えばどのようなものが記載されているのか

JIS Q 15001の場合は、例えば以下のようなことが附属書Aに記載されています。

A.3.2 個人情報保護方針*
目的 個人情報保護の理念を明確にし,公表するため。 A.3.2.1 内部向け個人情報
保護方針* トップマネジメントは,5.2.1 e) に規定する内部向け個人情報保護方針を文書化 した情報には次の事項を含めなければならない。

a) 事業の内容及び規模を考慮した適切な個人情報の取得,利用及び提供に関すること[特定された利用目的の達成に必要な範囲を超えた個人情報の取
扱い(以下,“目的外利用”という。)を行わないこと及びそのための措置
を講じることを含む。]。
b) 個人情報の取扱いに関する法令,国が定める指針その他の規範を遵守すること。
c) 個人情報の漏えい,滅失又はき損の防止及び是正に関すること。
d) 苦情及び相談への対応に関すること。
e) 個人情報保護マネジメントシステムの継続的改善に関すること。
f) トップマネジメントの氏名
【出典】JIS Q15001:2017(附属書A.3.2 個人情報保護方針)

附属書Bとは

なお、附属書Aと共に、ISO27001PMSのようなマネジメントシステムの要求事項には、附属書Bというものが存在しています。この附属書Bには、附属書Aに関する補足説明が示されており、「〜することが望ましい」といったことが記載されています。

例えば、先程の附属書Aに関する引用部分に関して、附属書Bでは以下のように補足説明がなされています。

A.3.2の目的は,組織の個人情報保護の理念を明確にし,公表することであり,この場合の“個人情報保護の理念”とは,当該組織が個人情報保護に取り組む姿勢及び基本的な考え方を指すが,本人の権利利益を尊重する意識を表したものとすることが望ましい。
【出典】JIS Q15001:2017(附属書B.3.2 個人情報保護方針)

累計ダウンロード5,000件突破!ISO丸わかり規格概要資料

附属書Aを実施できなければ規格に適応できないのか?

さて、ここで疑問点となるのが、「規格本文とは異なるけど、附属書Aも要求事項としてみなされるのか」ということです。結論から言うと、附属書Aに記載されている内容はISO やPMSの認証を受けるにあたって必ずしも実施しなくて良いものです。

なぜなら、附属書Aはリスクアセスメントの結果に基づいて組織が管理目的を達成するために実施するものであって、リスクアセスメントの結果「そのリスクは受容することができる」と組織が判断した場合には、わざわざ管理策を実行しなくても良いためです。実際にJIS Q 9001 :2015の附属書Aには、以下のような記述があります。

この規格では,組織の品質マネジメントシステムの文書化した情報にこの規格の構造及び用語を適用することは要求していない。
【出典】JIS Q9001:2015(附属書A.1構造及び用語)

規格の附属書はPMSやISMSを効率的に運用する上でおおいに参考になるものではありますが、附属書Aや附属書Bに記載されていることを実施しなかったからといって、不適合となることはありません。しかし、その多くはあらゆる組織でリスクアセスメントの結果、「受容できないリスク」と成り得るものばかりであるため、全く無視できるものでもないでしょう。

まとめ

今回は、マネジメントシステム規格の附属書Aについて解説してきました。附属書AはISOやPMSの認証を受けるにあたって絶対に必要なものではありませんが、規格に基づいた管理策を実行する上で役立つものです。

附属書Aや附属書Bを参考にして効率的なマネジメントシステムの運用を実施してみましょう。

累計ダウンロード5,000件突破!ISO丸わかり規格概要資料
  • 無料資料 | 各種ISO導入 徹底解説
  • 『各種ISO導入のメリット・デメリットを徹底解説』をコンセプトに、ISOコンサルタント監修のもと図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

各種ISO、40,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ