是正処置報告書の運用とは?事案対処でなく再発防止を仕組み化しよう!

この記事は約7分で読めます。

是正処置報告書は情報セキュリティをはじめ、さまざまなマネジメントで使用される文書です。
是正処置報告書は内部チェックや監査、また各種規格の認証審査や更新時に行われる指摘に対して作成・提出します。

ここでは是正処置とその注意点、是正処置報告書の概要について解説します。

是正や是正処置の定義

まずは是正や是正処置とは何かについて説明します。各種の規格で是正処置がどのように定義されているかもあわせて確認します。

是正とは

そもそも是正とは、何らかの規範や取り決めに反した際に、外部から求められて、また内発的に自ら改め正すことです。

外部から是正の要請・要求を受ける例に次があります。個人情報保護法では、是正とは個人情報保護委員会による勧告や、本人の請求によって取られる措置になります。
一方、自発的な例として、内部者による不具合や誤りの発見と、組織内での解決・解消があります。

是正の実行は事案発生の都度、もしくは改善の仕組みの一環として行われるのが通例です。

各種規格上の是正処置

是正処置は、管理手法を定める各種の規格で定義されています。国内外で著名な規格や、セキュリティ関連の規格ではPマークを例に、どのような規定がなされているかを紹介します。

JIS規格における是正処置

品質管理に関するJIS規格「JIS Q 9000 品質マネジメントシステム−基本及び用語」には、是正処置の定義があります。現行のJIS Q 9000:2015では、是正処置とは「不適合の原因を除去し、再発を防止するための処置」とあります。端的にいうならば、根本から原因を突き止めて対処することです。

なお、JIS規格は日本国内の規格ですが、各種の国際規格を翻訳して、国際基準との整合性を図っています。ちなみにJIS Q 9000は国際規格のISO規格の和訳です。
さらに認証規格の「ISO 9001(JIS Q 9001)品質マネジメントシステム−要求事項」では、是正処置の手順を次のように定めています。(※以下要旨)

  1. 不適合に対処、また該当の場合は必ず実施する
    1. 不適合の管理と修正処置
    2. 不適合により発生した結果に対処
  2. 再発、他での発生防止のため、次による原因除去と必要性を評価する
    1. 不適合のレビューと分析
    2. 原因の明確化
    3. 類似する不適合の有無と発生の可能性を明確化
  3. 是正処置を実施する
  4. 実行した是正処置の有効性をレビューする
  5. 必要であればリスクおよび機会を見直す
  6. 必要なら品質マネジメントシステムを変更する

再発防止策は他へも展開すること、また類似事案の発生の抑止も求められているのもポイントです。

ISO規格とは

日本で国際規格のISO 9000シリーズの認証を取得する場合、事実上、JISの和訳の規格文を参照し第三者機関の審査に臨むことになります。ここで、簡単にISO規格について説明しましょう。

ISOとはスイスに本部がある国際標準化機構(International Organization for Standardization)の通称です。

ISOには160か国以上が加盟し、円滑な国際取引の促進を目的として製品やサービスの世界標準を決めています。是正処置の規定を持つ、さまざまなマネジメントシステムの規格もISOが発行しています。代表的なものに品質マネジメントシステムのISO 9001環境マネジメントシステムのISO 14001があり、情報分野では情報セキュリティマネジメントシステム(ISMS)のISO 27001があります。

Pマークにおける是正処置

Pマークの認証規格は「JIS Q 15001:2017 個人情報保護マネジメントシステム−要求事項」です。
この規格は個人情報保護マネジメントシステム(PMS)の構築・運用について規定しており、是正処置の手順についても記載しています。

Pマーク認証規格では、ISO 9000とほぼ同様の手順(「e)リスクおよび機会を見直す」を除く)の実施に加え、是正処置の内容と結果を文書化して保持することが求められています。
なお、PMSはPDCAサイクルにのっとり運用され、是正処置はA(改善)のカテゴリに入る活動の一つです。是正処置が必要となるのは不適合が発覚した場合ですが、PMSでは具体的には以下のフェーズにおいてです。

  • 緊急事案発生
  • 内部監査や外部審査
  • 本人からの苦情や相談
  • 定期的な内部チェック

是正処置については文書化が必須となりますが、再発防止策だけでなく、対策後の効果についても報告し、確認をしなくてはなりません。

是正処置をする際の注意点

是正処置を行うにあたり、注意したい主な点を3つ説明します。

応急処置のみで是正処置をしたつもりになる

是正処置は一時しのぎではなく、発覚した問題やリスクが二度と生じないようにするための処置です。

根本的な解決のため、問題の原因を深堀りして追及することが重要です。たとえば、「通路が濡れて滑りやすく危険」というリスク・問題には、「定期的な拭き掃除を実施」という応急処置的、対処療法的な対応ではなく、濡れる原因(雨漏り等)の排除が大事です。つまり、破れた天井の穴をふさぐ、もしくは屋根や壁を設置して雨が通路に入り込まない処置が必要です。

是正処置が必要となる不適合の問題の原因、また最適解は一つだけとは限りません。不適合が「なぜ」生じているかをよく考えて解決のきっかけを探り、手順や仕組みの再構築に向けていきましょう。

問題の原因と是正処置が対になっていない

問題の原因と是正処置は必ず対応している必要があります。的はずれな対処を行っても是正処置とはみなされません。

たとえば、原因を「〇〇の仕組みがない」と特定できたのに、「仕組みを作った」のではなく、「必要事項を周知した」となるのはおかしいです。真の原因が特定できても、具体的な対策立案・実施にきちんと落とし込めなくては効果がありません。

真の制度化と成文化ができていない

是正処置による事案の再発防止、リスク抑止には真の制度化と成文化が必要です。

事案に対処すべく、現担当者に対応策を周知し実行してもらうだけでは、再発防止のマネジメントシステムが構築できたとはいえません。現任者の異動や退職により実効性が失われる恐れがあるからです。
改善した手順やルールをドキュメント化して全従業員に周知する、また新人の着任にともない必ず教育する、といった属人性を排した制度化・成文化で改善を定着させましょう。

むしろ現行の体制や手順に問題がなければ不適合の指摘は出ません。不適合の発覚は仕組みの不備からくるものが大半なので、仕組みにアプローチし、是正を試みていくのが正しいです。

是正処置報告書の概要

是正処置報告書とは、是正処置が必要になった場合に、不適合の事実と対処内容をまとめ、顧客や社内、監査・審査機関に報告するための文書です。是正処置報告書の作成責任者は、担当部署や、不適合内容の軽重により決まってきます。

たとえばPマーク認証・更新審査時の指摘に関しては「個人情報保護管理者」、社内チェックでルール違反が見つかれば部門責任者となるでしょう。
是正処置報告書は小さな事業所でなければ、書式の項目ごとに記入者が替わります。是正処置報告書は主に5つの項目から成り、各項目と記入担当者の関係は以下のようになります。

項目担当
事実報告発生部門の担当者 or 責任者、部門長等
原因の分析該当部門の分析者
是正処置の立案該当部門の立案者
処置の結果報告主たる実行者
効果の確認・評価品質管理責任者

事実報告は発生場所やその範囲、経営への影響度の高さにより、適任者が変わってくるはずです。現場で解決できるレベルであれば部門責任者まで、経営への影響度が高ければ上位役職者になります。

原因分析の結果次第では、是正処置の効力に大きく影響してくるので注意が必要です。
分析後は判明した原因を解消する手段・仕組みを考案し、品質管理責任者の承認を受け是正処置を実行します。実施結果は必ず記録し、5W1Hを心がけて記入しましょう。最後に、是正処置に実効性があったか評価を行い、その内容も残します。

是正処置の各項目に記載する内容は次の章で説明します。 

是正処置報告書の記載内容の例

是正処置報告書に記載する主な内容には、以下があげられます。

事実報告
  • 発見された不適合の内容
  • 要求事項(規格の項目番号 or 社内文書名と項目番号)
  • 起こった場所
  • 是正処置の指摘もしくは要請日時
  • 不適合のレベル
原因分析
  • 不適合の発生原因の調査・指摘
是正処置
  • 再発防止策
  • 文書化の状況(手順書等への反映内容)
是正処置の結果報告
  • 完了(予定)期日と内容
  • 定期実施であれば頻度と内容
効果の確認・評価
  • 管理責任者による承認印と評価内容
  • 特定の期日を指定し確認した旨

いずれも、事業者の業務実態や顧客との契約関係、関係法令、規格等に鑑み、適宜必要とされる内容を正確に記述しましょう。

まとめ

是正処置報告書とは、不適合事案への対処や再発防止活動、評価内容を記録する文書です。ここで主題の是正処置とは不適合事案の解消ではなく、要因となる構造や手順を解明し、対策を確実に実施することです。

是正処置報告書は情報マネジメントシステムでも使用されるため、要点を確認しておきましょう。

セキュリティ対策をする 組織体制の構築
LRM株式会社 画像
この記事を書いた人
ISMSやPマーク取得支援・情報セキュリティツールの導入支援を行っている情報セキュリティコンサルティング会社。また、情報セキュリティ特化eラーニングサービス「Seculio」の運営しています。
セキュマガ | LRM株式会社が発信する情報セキュリティの専門マガジン
タイトルとURLをコピーしました