3.3.1 個人情報の特定

会社（組織）は、組織で運用したり、使っている、全ての個人情報を特定する為に、特定する方法のルールを作り、運用し、状況に合わせて変更します。

取り扱っている個人情報をどのように特定するかを決めます。

とりあえずは、会社で取り扱っている個人情報を洗いざらい明確にします。

業務上の取り扱いが、メインになりますので、実際に実務をしている人たちに持っている個人情報を、リスト化するのがてっとり早いです。

その際に使用するのが、「個人情報調査票」等を使用します。

個人情報調査票を一つにまとめた物が、「個人情報管理台帳」台帳になります。

こういった事をルール化し、実際に運用し、状況に合わせて変更していきます。

検収書の扱い

ISO9001実践例　検収書の扱い

検収とは、納品を完了するために、注文通りの仕様になっているかお客様に検査してもらうこと。
検収完了後，支払いとなる。

検収書とは、検収したことを証明する書類。

検収が必要になる場合は、オーダーメイド製品（設備やシステム等）等が対象になる場合がほとんどです。
購買の規程を作るのであれば、受け入れ検査（検収）を行い、仕入先に検収書を発行する。その複写を保存し、受け入れ検査の結果の記録とすることが出来ます。

納品した製品が使い始めて判る場合等の場合は、製品の妥当性確認の証拠となります。

監査計画書 監査基準

ISO9001実践例　監査計画書　監査基準

監査計画書には、年間の監査計画と実際に行う監査計画の二種類があります。

年間の監査計画は、
①監査の基準（ISO9001、品質マニュアル、規程、手順書、記録等）
②監査の範囲（対象部門、対象現場、対象製品等）
③監査の頻度（1年間の内部監査の実施回数等）
④監査の方法（事務所監査、現場の監査等）

実際に行う際の監査計画は、対象部門や部署に対して監査リーダーが発行するもの。
①監査の範囲
②監査範囲の責任者、対応者
③監査員
④監査の基準
⑤前回監査の結果
⑥監査の目的
⑦事前用意文書、又は事前審査文書
⑧監査依頼者からの重点監査項目
⑨監査の進行予定

監査基準は、監査の対象部門や工程業務、製品等に対して、適合性の判断の基準として使うもので、方針、手順、規格、法律及び規制、マネジメントシステムの要求事項、契約上の要求事項又は業界の行動規範等があります。

JIS Q 15001 一般要求事項

3.1　一般要求事項

会社の経営者は、JIS Q 15001の決まりに合わせて、個人情報保護の仕組みを作り、決めたルール通りに仕組みを動かし、状況の変化に応じて仕組みを変え、仕組みを見直して改良しなければなりません。

JIS Q 15001が要求する事項は、これ以降で規定しています。

ＩＳＯと同じようにＰＤＣＡのサイクルを回していきましょう。

ＰＤＣＡを回す際にこれ以降の項目で、Ｐ、Ｄ、Ｃ、ＡについてJIS Q 15001が要求している事項を定めます。

Ｐは個人情報保護方針、計画
Ｄは実施及び運用、個人情報保護マネジメントシステム文書、苦情及び相談への対応
Ｃは点検、是正処置及び予防処置
Ａは経営者による見直し

これらを仕組みとして、ルールを決め、運用し、チェックを行い、見直しをします。

JIS Q 15001 用語及び定義

ＪＩＳ　Ｑ　15001（プライバシーマーク付与認証のための規格）の用語や定義は解説本を見て下さい。

そこには個人情報とは何ぞや、本人とは何ぞや、事業者とは何ぞや、個人情報保護管理者とは何ぞや、個人所法保護監査責任者は何ぞや、本人の同意とは何ぞや、個人情報保護マネジメントシステムとは何ぞや、不適合とは何ぞやの定義があり、更にその説明がされています。

また、基本的に個人情報保護法との関連も示してありますので、法で何々というのが参照しやすくなっています。

ただJIS Q 15001では死者の個人情報も保護対象に含んでいます。

JIS Q 15001の適用範囲

JIS Q 15001の適用範囲です。

JIS Q 15001は、営利・非営利を問わず、個人情報を使用しているあらゆる業種、事業規模の大きさに関わらず、JIS Q 15001の規格を適用し、運用する事が出来ます。

JIS Q 15001の規格は主に4つの場面で活用する事が出来ます。

１）自社のマネジメントシステムの仕組みを決め、決めた通りに仕組みを動かし、状況の変化により仕組みを改訂し、定期的に見直して改良しましょう。

２）自己宣言の為に、JIS Q 15001の規格を使用する事が出来ます。

３）取引先や消費者本人に第二者評価認証（取引条件や消費者本人からの苦情に対する公開等）として使用する事が出来ます。

４）第三者評価認証（外部団体にプライバシーマーク制度の認証及び登録）として使用する事が出来ます。

プライバシーマーク認証だけではなく、自己宣言、取引先からの条件の提示、消費者本人からのクレームに対してマネジメントシステムの一部を公開し対応する等の事で使えます。

プライバシーマークだけではなく、JIS Q 15001：2006に適合した個人情報マネジメントシステムを確立し、実施し、維持し、かつ、改善していますと謳う事も出来ますが、マークが無い分、外部からの客観的認証を受けていない為、弱いと言えます。

プライバシーマークの認証機関では、コンサルティングは行っていません。

独立性、透明性、公平性を保つためです。

このあたりがＩＳＯと違うところでもあります。

JIS Q 15001：2006要求事項を読む。

JIS Q 15001の要求事項を読むには、日本工業標準調査会（jisc）のホームページからＪＩＳ検索で読む事が出来ます。

参考ＵＲＬ：http://www.jisc.go.jp/app/JPS/JPSO0020.html

ただし、読むだけで、コピー、プリントアウトなどはできません。著作権の保護がなされています。

購入するのであれば


こちらがお勧めです。

これに解説もついてます。


どちらを選択するにしても、規格の要求事項が判らなければ話になりません。

また、参考書としては、色々な出版社から色々な形態の書籍が出ていますが、自らの組織に合った「マネジメントシステムを作る」のであれば、あまり参考にしない方が良いのではないかと思います。

文書作りにしても、自分たちの組織に合った文書作りが必要になります。

プライバシーマーク導入のコンサルタント選び

会社で独自にプライバシーマークの導入も可能です。

しかし、規格の内容をより理解し、会社の実務に反映させたJIS Q 15001個人情報保護マネジメントシステム（プライバシーマーク）の仕組みを構築するのは、厄介であり、時間がかかります。

そこでコンサルタントや参考書の出番になります。

ＩＳＯのコンサルタント選びと同じで、何故プライバシーマークが会社に必要なのか、ＩＳＯ27001が何故会社に必要なのか、社長や経営者が判断し方向性を定めなければなりません。

とりあえず、審査の為の導入テキストや導入キットを販売しているコンサルタントや会社も多くあります。

マーカーが付いているところだけを御社の書類名や部署名、会社名に変えるだけでＯＫ！!

果たして、これでマネジメントシステムとして機能するか、お荷物や看板だけにならないか。

形だけのマネジメントシステムではなく、「情報」に対して意識付けが出来、自分が常日頃扱っている「情報」がどれだけ重要であり、公開された場合、どのような影響が起きるか。

これが無いと、看板だけ取得しても、個人情報の漏洩や流出は後を絶ちません。

「情報」のコントロールの仕方は日々変わっていきます。

今日この情報はさほど重要で無くても、ある要素が加わった途端に「重要な情報」になってしまいます。

看板を取るだけでしたら、導入キットを使うのが手っ取り早いですが、果たしてそれで、「情報」に対する従業者の意識が変わるのか。

委託先や外注先まで意識改革が出来るのか。

コンサルタントを選ぶなら自社に合ったシステム作りが出来るコンサルタントを選びましょう。

品質目標の達成度判定可能とは？

ISO9001実践例　品質目標の達成度判定可能とは？

達成速度判定可能とは、目標に対して、達成しているかしていないかの判断が出来ると言うものです。

判断が出来ればいいので、数値であろうが、文章で説明してあろうが、目視であろうが、パラメーターであろうが構いません。

数値の方が管理しやすのは確かです。

あえて数値化にこだわる必要はありません。

品質目標は上位の品質目標と整合性がとれている＝品質方針と整合性がとれていると言う事になります。

品質方針とは、社長が知りたがっているテーマです。

判定可能ありきではなく、社長や取締役が知りたがっているテーマで品質目標を設定します。

あとは、それをどう測定するか。達成速度判断可能にするかと言う手段の問題です。

そこの変を間違ってしまうと、お題目になったり、意味の無い品質目標になってしまいます。

何故達成速度判断可能なのか、それは目標を決めて、それに向かってどれだけ達成しているか、測定しなければならないからです。未達成であれば、何らかの処置を取らなければならなくなります。

目標に向かって進んでいる、でも、今どのあたりだろう？これでは、目標に向かっているのか、全然進んでいないのか、後退してしまっているのか判りません。

この為に達成速度の判定が必要になります。

品質目標の見直しは出来ないのか？

ISO9001実践例　品質目標の見直しは出来ないのか？

一度決めてしまった、品質目標の見直しは出来ないのか？

そんな事はありません、見直しは出来ます。

品質目標は、文書化しなければならないものです。

文書化は文書管理に属します。

文書管理では、文書をレビューし、必要に応じて更新し再承認する。とありますので、変更してもかまいません。

ただし古い品質目標と新しい品質目標が混在しないように識別しなくてはなりません。

逆に言えば、一年も二年も同じ品質目標ではダメと言う事になります。

また、期の途中で、社会的情勢の変化、会社の業態の変化、組織の変化があれば当然品質目標も変えなければなりません。

そのあたり、ＩＳＯは臨機応変になっています。

プライバシーマークのメリット、デメリット

プライバシーマークを付与されるメリットとしては、

①個人情報に対する認識に対して変化が出る。
②情報に対する整備が出来る。
③機密情報等の漏洩防止も行える。
④顧客・取引先に対する信頼感が出る。
⑤継続的に個人情報や機密情報に対する管理体制が構築できる。
⑥情報を発信するツールに「Ｐマーク」を入れ、社会にＰＲすることが出来る。

デメリットとしては、
①従業者に対して教育を行わなければならない。
②マネジメントシステムとして構築を行わなければならない。
③決まり（ルール）を決め、実行しなければならない。
④設備投資にお金がかかる場合がある。
⑤身の丈に合ったマネジメントシステムにしないと、会社に対して重荷になってしまう。
⑥認証取り消しが行われる場合がある。

10,000件の個人情報が流出・漏洩してしまった場合の想定費用
・おわび状の作成-￥500,000
・見舞金-￥5,000,000
・おわび状の郵送-￥800,000
・コールセンターの設置・人件費-￥3,000,000～￥5,000,000
・弁護士費用-￥1,000,000
・新聞謝罪広告-￥13,000,000
・事故原因調査-￥500,000
・問い合わせ・相談費用-￥500,000
・訴訟になった場合の裁判費用-
訴額￥10,000,000-￥50,000
・損害賠償（1,000人から損害賠償を求められた場合）
1,000ｘ￥10,000＝￥10,000,000
＊￥10,000の根拠はこれまでの判例によりますが、センシティブな情報は損害賠償金額が上がります。
＊センシティブな情報とは、趣味・嗜好・身体情報・病気情報・年収・本籍・口座番号・資産等、触れられたくない、公表されたくない情報です。

これらを合計すると￥36,350,000になります。

不注意で流出しても、従業者が故意に漏洩（名簿屋に持ち込む、ＷＥＢで公開する等）これぐらいの費用はかかってしまいます。

流出させたり、漏洩させた従業者に対して請求がされますが、支払い能力が無い場合は、会社が負担しなければなりません。

今、流出事故、漏洩事故が起きた場合、会社が対応しなければならなくなります。

その備えがあっても、年間何件も流出・漏洩事故が起きてしまったら、膨大な金額になります。

それを起こさない為、回避する為のプライバシーマークであり、ISO27001の情報セキュリティです。

メリットがあるか、デメリットしかないか、判断するのは企業です。

プライバシーマークとISO27001の違い

プライバシーマークは
①法人が対象。
②個人情報に関するコンプライアンス領域が深い。

ISO27001は
①部門やプロセスでの認証の取得が可能。
②ネットワークセキュリティ基準。

どちらも情報セキュリティです。

私見として、大規模な企業では、プライバシーマークの認証取得は、事務局のパワーがかなり必要になります。
その点、ISO27001は部門やプロセス単位でも認証取得が可能の為、情報セキュリティが重要な部門やプロセスから段階的に認証を受けていくことも可能です。
逆に、中小の企業では、プライバシーマークは法人単位である為、認証を受けてしまえば、各支店や営業所でも、認証のメリット・デメリットを受ける事が出来ます。

プライバシーマークとは

プライバシーマーク（JIS Q 15001）の規格解説です。

プライバシーマークは、JIS Q 15001 個人情報保護マネジメントシステムを認証基準としています。

プライバシーマークを付与されると内外に示す為に「Ｐマーク」を付けることが出来ます。

情報セキュリティマネジメントシステムとしては、プライバシーマーク制度のほかにＩＳＯ27001があります。

どちらを選ぶかは、違いを理解し、企業がどちらがその企業に合っているか選ぶ必要性があります。

プライバシーマークは、個人情報ですが、顧客（消費者）としての個人情報だけではなく、法人等で扱う情報に対しても適用できます。

現在プライバシーマークの認証を受けている企業は、全国で約11,000社です。

個人情報そのものを扱っていたり、情報セキュリティとして活用していると考えるとしては、かなり少ない数になっています。

またまだ情報セキュリティに対する認識が日本では低いと言わざるを得ません。

ISO9001運用ポイント(9) 社長の判断

マネジメントレビューでは色々な情報が社長に降り注ぎます。

会議体にしろ、立ち話にしろ、社長や経営陣がいて、ＩＳＯに限らず、判断をし、指示をしたら、マネジメントレビューになります。

いちいち会議を開いてもいいですが、そのような余裕がない時、急ぎの案件の時は、その場で判断しちゃいますよね。

それを会議まで待ってやろうなんて悠長な事は言ってられないはずです。

マネジメントレビュー会議でもいいですが、それはそのタイミングで報告を受け、判断し、指示すればいいのです。

そして色々な報告が出される中で、少しでも会社が良くなった、いい成績が残せた、不良が減ったもあれば、逆効果だった、成績が上がらない、不良が増えた等も出てきます。

そこでより良い改善のための指示や提案を受けます。

マネジメントレビューでは、判断も決済も社長です。

形だけのマネジメントレビュー会議であれば、やらない方がマシです。

人を集めて、時間を取って、特に判断し指示する事も無くでは、時間と労力の無駄です。

マネジメントレビュー会議と言うセレモニーだけやっても、意味がありません。

マネジメントレビューをうまく運営するには、社長が興味がある品質目標である必要があります。

何故売り上げが達成できないのか？

何故生産率が悪いのか？

何故不良が多いのか？

ルールはみんな守ってるのか？

会社の仕組みは今のままで十分なのか？

チェック機能（承認機能）が有効に働いているのだろうか？

何故出荷後に客からクレームが来ちゃうのか？検査がうまく出来てないからか？

そんな不良品出荷の許可がなぜ出たのか？

方針を変えたほうがいいのだろうか？

目標を変えさせた方がいいのだろうか？

社会的影響が大きいからか？ならばどう切り抜ける？

前回指示した結果はどうなった？

大事故があったがその対策は有効に働いているのか？

知りたくありませんか？

これ全部マネジメントレビューのインプットです。

普段経営会議や幹部会議、生産会議でやってる事と変わりませんよね？

報告が来たら、判断して指示してますよね？

それはマネジメントレビューです。

マネジメントレビュー①会議（経営会議）

マネジメントレビュー②会議（幹部会議）

マネジメントレビュー③会議（生産会議）

こんな名称を付ける必要がありませんが、一度に全部やらなくても、分散してやってもかまわないのです。

ＩＳＯのための会議ではありませんので。

会社のための会議です。会社をうまく行かせるための会議です。その為に社長は報告を聞き、判断し、指示するのです。

ＩＳＯの為に報告を聞き、判断し、指示するのではありません。

それは、ほかの役職の、取締役、幹部、部長、課長、係長にも言えます。

ＩＳＯを上手に活用しましょう。

ISO9001運用ポイント(8) 是正処置と予防処置を有効に活用する為には。

再発防止（是正処置）と未然防止（予防処置）を有効に使いましょう。

規格では、問題が起きたり、問題が想定されてからの決まりごとが書いてあります。

是正処置の場合、事が起きてからでは、会社にとってはかなり重い負担が発生してしまっていたりします。

その時は、原因を突き止めて、対策案を行っても、その時だけ、その工程業務だけに有効で、形を変えた似たような問題が、違う場所で起こってしまったりしてませんか？

また、潜在不良や潜在事故があったりしませんか？

工程内で闇から闇へ葬る事が出来るような事故や不良。

そういう闇から闇へ葬られる事故や不良が痛手だったりします。

闇から闇に葬っても、人と物と金は余分に発生していますから、見えない分たちが悪いです。

いかに、表面化させるか、報告させるか、その仕組みを作るところから考えて下さい。

顧客からのクレームや苦情等の情報も重要になります。

営業が謝ってすんだから、いいだろうでは、問題の解決になっていません。

顧客からのクレームや苦情が来たら、どう報告し、誰が、そのクレームや苦情に対して、是正処置をかけなければいけないか判断する必要があります。

報・連・相をお題目にしているかもしれませんが、実際にどこまで出来ているか？

判断する人は判断できるスキルを持っているか？

社長や経営陣にとって顧客って大切ですよね。

昔自分がとってきたり担当してきた顧客と縁が切れる。

それはものすごく嫌な事じゃありませんか？

如何に不良やクレーム、苦情を報告させるかが問題になってきます。

各工程業務を担当している現場の人達は、「怒られる」っと思って報告しない。

報告しないと言う事が、無いように仕組みやルールを作りましょう。

製品に関連する要求事項のレビュー 見積書編

ISO9001実践例　製品に関連する要求事項のレビュー　見積書編

製品に関する要求事項のレビューで見積書が使われる事が多くあります。

通常、顧客からの注文や要望、問い合わせ、引き合いに対し、見積書を提出して金額の提示や納期の提示を行います。

この見積書を出す前に、レビュー（適切性・妥当性・有効性の判断）を行います。
自社で、受けれる事が出来るのか？
外注に出すのか？
納期には対応できるのか？
見積もり金額が間違ってないか？
仕様が間違ってないか？

それを判断してから、顧客に提出します。

提出＝責任を持って受けますと言う事になります。

その判断をだれが行うのか？

ベテランの社員であれば、ある程度の自己決裁が与えられますし、新入社員では上司の判断が必要になったりします。

また、受けた内容により、普段扱わない高額な仕様（見積もり）になった場合はベテランでも新人でも上司の判断が必要になるかもしれません。

何時までに出してくださいと顧客から言われたら、極力それを守るか、時間の交渉をしないと、見積もりが出せない場合もあります。

その場その場で状況がかわる為、一律にこのルールでとは決められないかと思います。

その判断基準やルールを決めるのは、実際にどのように仕事が回ってるか、仕事のレベル、担当する人、社外社内交渉能力等、実情に合ったルールにするのが一番良いです。

無理なルール、一律化したルールでは破綻がすぐ起きます。

記録を取らなければならない事項ですので、この際ブラックボックスを破壊する為に大鉈を振るうか、現状に即したものにするか、ちょっと理想にするか、かなり理想にするか、会社の判断のしどころです。

設計開発のレビュー

ISO9001実践例　設計開発のレビュー

レビュー（該当する設計開発が、適切であるか、妥当であるか、有効であるかの判断）は、7.1の計画で予定した通り、体系的に行います。
体系的とは、順序立てて統一がとれるように行うことであり、レビューをどの時点で行うか、何回するか、どのような内容で、どのように行うか、参加者はだれか等です。

レビューの仕方は、文書でも会議体でもレビューが出来る状態であれば問題がありませんが、レビューを行う人は、業務が判っている人にする必要があります。
（部門長等をレビューを行う人にしてしまうと、判断できず、ポンポン判子を押してしまうかもしれない）

レビューで判断する内容は、
①仕様書通り（目的通り）の製品を開発できるか？
②問題を見つけて、対策を立てる。

この為、レビューをする人が、判断できない人でポンポン判を押す人では、困るのです。

人的資源の運用管理

ISO9001実践例　人的資源の運用管理

人的資源の運用管理は、教育・訓練及び人事異動です。

基本トレーニングになりますので、
①仕事に必要なスキルを明確にする。
②スキルが無い場合には、トレーニングや教育を施す。
③トレーニングや教育が出来ない場合や時間がかかる場合は、他の部署や、社外から人を招く。
④トレーニングや教育を実施したら、実施したトレーニングや教育に効果があったか確認を行う。
⑤他の部署や社外から人を入れた場合は、その人にスキルがあるか判断する。
⑥仕事に従事している人たちが、掲げた品質目標に向かって、自分が何が出来るのか、何をするのか、仕事の重要性、仕事の意味を理解させる。
⑦これらの判断の元や、判断結果、結果により行った追加事項を記録として残し、従業者のスキルアップにつなげる。

これらの事をしなければならないので、
①各工程における必要なスキルの抽出。
②スキルを満たすにはどんなトレーニングや教育が必要かの抽出。
③実行したトレーニングや教育の成果。
④成果が上がらない場合の追加トレーニングや教育。
⑤追加のトレーニングや教育の結果。
⑥スキルを満たしたら出来る仕事の項目。
⑦仕事の重要性（不良を起こさない、品質を維持する、納期を守る等）、その意味を判らせる。
⑧それにはどのようなトレーニングや教育が必要かの抽出。
⑨トレーニングや教育を行った結果とその評価、再教育の必要性の判断。
⑩会社、部門、課、係、個人等設定した品質目標に向けて何をすればいいのか、何をしなければいけないのかを認識させるトレーニングや教育。

＊品質目標に関しては、どのレベルまでブレイクダウンするかは、会社の判断に任されています。

また、社長や経営陣が知りたい事の内容によっては、個人レベルまでブレイクダウンする必要がある部門があったり、部の品質目標だけの部があったり変化する可能性もあります。

社長や取締役が、個人の営業成績や、ミス、取引先の情報等知りたいと思ったら、営業職は、個人レベルまでブレイクダウンした方がいいです。

設計開発計画書とは

ISO9001実践例　設計開発計画書とは

設計開発計画書は、設計開発の計画を明確にするために作成する文書です。

明確にする事は、
①設計開発がどのような工程の段階に分かれているか。
②レビュー・検証・妥当性確認を設計開発の各工程の段階で、どのタイミング、どの内容、どの方法で行うかを決める。
③設計開発の実行者、承認者を決める。

設計開発を行う上で、使用する工程を設計開発の内容により区分し、判断や検証、妥当性確認を、区分した各工程で区分したり、工程内で更に細かく区分したりして、どのタイミングで判断や検証、妥当性確認を行うかを決め、判断や検証、妥当性確認をどのような内容で行うか決め、判断や検証、妥当性確認をどのような方法で行うか決める。
設計開発に責任を持つ実行者と、誰がどの作業を行うか指示する人を決める。

これが設計開発の計画書になります。

製品の仕様等はこの後のインプット項目に当てはまります.

文書管理を簡単に

ISO9001実践例　文書管理を簡単に

下手をすると、膨大な文書になってしまうＩＳＯ。

文書管理で求められている事をおさらいすると
①発行前に審査を行い承認する事。
②必要に応じて更新し、再承認をする事。
③新しい文書と古い文書が混在しないように識別を行う事。
④文書が変更になったら、それが識別できるようにする事。
⑤必要な時に必要なところで利用できるようにする事。

⑥読みやすくて、容易に何の文書化わかるようにする事。
⑦必要な外部文書を明らかにして、正しく配布する事。
⑧廃止した文書が誤って使用されないようにする事。

簡単に言ってしまえば、このような事です。

何故文書が大量になってしまうのか？

その理由は、
①不必要な文書が多い事（一年に数度しか見ない様な文書）。
②文書をやたらと発行してしまう事。

この二点にあります。

文書は全部門に配布する必要はありません。必要な部署に配布します。

また、事務所が1フロアだけ。しかも、そんなに大きくなく、今まで文書類は一まとめだったのに、各課があるからと言って、文書を、2セット3セットも作る必要はありません。

1セットだけで大丈夫です。

理由は、
①同じフロアなら誰でもすぐに見にいける。
②大企業みたいな壁が無い大フロアではなく、５０坪しか床面積が無い。
（これでも、中央に書棚があれば、誰でも見れます）
③常時使わない文書は配布しなくてもよい。あるところに見に行けばいい。

こうすると発行する文書だけでもかなり減ります。

無駄な紙資源を使わなくて済むので、トナー代や紙代が節約できます。

無駄に配布するのは管理が大変だし、変更して、配布したり回収したりの手間がものすごく省けます。

仮に、会社で１冊しか発行しないのであれば、訂正や注意事項は、その１冊にどんどん書き込んでもかまいません。

ただ、読みやすくなので、あまりにも多くなると、読みにくくなってしまいます。

その時は文書を変更しましょう。

文書を作る理由は、「決めたルールが間違いなく全ての従業者が実行する」です。

１冊しか無ければ、それがルールです。

二冊、三冊発行してしまうと、文書への書き込みは禁止です。

同じ文書なのに人によってルールが変わってくるからです。

人によってルールが違うと、間違いや問題が発生してしまいます。

そうすると文書管理にはなりません。

文書は身軽に最低限配布が重要です。

ただし必要なものは、規定が要求していなくても作ってください。

作業手順等、作る際は、必要なのか不必要なのか？

新入社員の社員教育として使うのか使わないのか？

すべてＯＪＴで教育できるのか？手順書があった方がいいのか？


判断するのは、会社です。

ISO9001運用ポイント(7) 外注管理は重要です。

外注管理は購買のところで触れていますが、「アウトソース」とはっきりと記載はされていません。

アウトソースに書かれているのは4.1の「一般要求事項」です。

しかし、規程を作れ、手順書を作れとは書かれていません。

また、製品実現の7.1が手順書等を作る所になるのですが、この項の全文に渡って文書化された手順を確立する事はありません。

しかし、アウトソース＝外注先の管理は、自社の製品に大きく影響を及ぼすものです。

損金は発生しないかもしれません（外注先に補填させる）が、自社のクライアントからの信用はがた落ちになります。

また、対応する時間や労力は、見えない損金です。

この為、外注管理は重要になります。

自社と同じ管理をしなければなりません。

定期的に外注先を巡回し第2者監査を実施する事が有効です。

ただし、それも会社が必要と考えるならです。

そう考えると、規程が必要になったり、手順書が必要になったり、詳細な外注先評価が必要になります。

ISO9001運用ポイント(6) 他にどんな文書が必要なのか？

では、実際他に何が必要なの？っと言われれば、それは判りません。

何故って、その会社の事がわからないからです。

例えば
職務権限及び資格規定
マネジメントレビュー規定
教育訓練規定
営業管理規定
仕様設計フロー
設計・開発規程
購買管理規定
清掃管理規定
内部監査規定
検査管理規定
顧客クレーム管理規定
データ分析規定
是正処置管理規定
是正処置管理規定
予防処置管理規定
記録管理規
方針管理規定

記録は
文書管理台帳
配付先管理表
年度方針、計画/実績表
年度方針体系図
有資格者一覧表
資格免許一覧表
社内講師一覧表
教育訓練実施報告書
個人別教育記録
技術.技能スキルマップ
業務年間予定書
購買先評価シート
取引先一覧表
外注業者「評価シート」
消耗品備品資材注文書
外注先月間作業員名簿
清掃工程表
連絡表
週間業務予定表
月間予定書
清掃業務 使用資材
月間予定書(外注用)
内部監査員一覧表
内部監査実施計画書
内部監査計画書
内部監査報告書
チェック票
作業完了報告書
是正処置予防処置管理台帳
是正処置管理表
予防処置管理表

あげれば上げるほどきりがありません。

それプラス各種手順書。

大企業では必要かもしれませんが、中小企業では必要のないものも多いです。

自社に合ったルール作り、仕組み作り。何が最も重要で、それほど必要のないものは日常管理にする。

そういった事をしていかないと負担になるばかりです。

負担になり始めると、当初の目的が、ＩＳＯが目的に変わってしまったりします。

ＩＳＯは道具ですから。

審査で指摘されれば、異議を申し出ることもできます。

その通りだと思えば直せばいいだけです。

道具に振り回されれば大怪我（業績悪化、改善の成果が見えない）します。

不適合品の識別、表示

ISO9001実践例　不適合品の識別・表示

不適合品（不良品）の識別や表示を行う理由の大きなポイントは3つです。
①次の工程に間違って行かないようにするため。
②間違って使用しないようにするため。
③顧客に引渡したりしないようにするため。

この為に、識別や表示を行うのです。

スペースがあるのであれば、「不適合品置き場」を作って、処置前、処置中、処置後、再検査済、特別採用待ち、廃棄、回収品と場所を作って物理的に分け、受注番号や日時・品名等を入れる。

スペースが無いのであれば、
①破棄すると決定したものであれば、すぐに破棄を行う。目立つマジックで「モノ」に直接「Ｘ」と書き込む。
②修正するのであれば、修正前、修正中、修正後、再検査済と一目でわかる様な識別（下げ札やマジックでそれぞれの処理を書いたカバー、箱に入れる等で表示と保護を行う）をかける。
③特別採用まちであれば、下げ札やカバー、箱等を使って特別採用待ちの表示を行う。
④一旦納品してしまった後、発覚した場合は、回収品として下げ札やカバー、箱等で表示を行う。

それぞれの工程業務の中で、一目で識別できる方法（誰が見てもわかる方法）で表示や物理的隔離を行いましょう。

設計・開発の責任と権限とは？

設計・開発の責任と権限

責任は、負わなければならない任務や義務を持つ人。責任者。

権限は、その立場でもつ権利・権力
①承認を行う権限を持つ人
②指揮を行う人（誰が誰に何をさせる等の指揮権限）

設計・開発の責任と権限は、
設計・開発を責任をもって実施する人、設計・開発の立場の権力で、承認を行う人。

ISO9001運用ポイント(5) 規格に書いていないことが重要

ISO9001:2008についてこれだけ書いてきましたが、これだけやっても不十分です。

いくつかは拡大解釈をして行う様に書いてしまっていますが。

ＩＳＯでは文書化や記録は「その他会社で必要としたもの」としています。

何故必要なのか？最低限の要求しか規格がしていないからです。

と言う事は、本来会社に必要なものがゴロゴロ抜けていると言う事になります。

審査員にしてもコンサルタントにしても、ＩＳＯの審査や導入の為に来社するのは、少ない数です。

その人たちが、会社の事を全てわかってくれてシステムを構築したり、審査をしてくれる。

なんてバカな話はありません。

一部をサンプリングで審査したり、会社の実情が判っていないコンサルタントはシステムを作るアドバイスは出来てもシステム自体は作れるとは考えられません。

中にはじっくりと構えて会社の内情を十分に把握してアドバイスしてくれるコンサルタントもいます。

が、そういうコンサルタントは圧倒的に少ないです。

コンサルタントはあくまでもアドバイザー。

本当に必要な事は自分たちで作り上げていくしかありません。

そうなると、事務屋さんではなく、それぞれの工程業務に携わる人たちが、事務局に必ず必要になります。

規格に書いてない事、規格ではさらっと流されている事。大まかに書かれている事。

そこが重要になってきます。

ISO9001運用ポイント(4) 身の丈に合ったシステム作り。

会社の規模や、業務内容に合った、マネジメントシステムのシステム（仕組み）を作りましょう。

コンサルからもらった書類を全部作る必要もありません。

必要なものだけ作ればいいのです。

親会社や、組織の大きな取引先の真似をする必要もありません。

初めから完璧で無くていいのです。マネジメントシステムですから、ＰＤＣＡをまわして、年々良くしていけばいいのです。

初めから完璧を目指すと失敗します。

自社の職員だけで取得を目指す事も出来ます。

今は色々ネットで解説が出てます。

それでも足りなかったり判らなかったら、コンサルに頼めばいいのだし、審査用の書類をそろえて、審査機関に提出すれば、しっかりと不備なところを指摘してくれます。

その中でＩＳＯの規程で確実に要求しているモノや自社で必要なものを取り入れればいいのです。

審査機関にもお金を払います。

利用しましょう。

ISO9001運用ポイント(3) 導入目的を明確に。

ＩＳＯ9001：2008を導入する上で、まず最初に明確にしなければいけないのは、導入目的を明確する事です。

なんに為に必要なのか？

・経営改善
・不良率を低くしたい
・クライアントからの要望

色々あると思いますが、社長が必要かどうか判断してください。

又は経営に携わる人たちで判断してください。

認証を取らなくても、いい所取りする事も出来ます。

また、導入に際して、目的を明確にする事により、社員からの不満や不平が少なくなります。

「今会社はこの状況で、こうである。いままで社内で知恵を絞ったが、どうにもうまくいってない。
そこでこの度ＩＳＯ9001を導入することとした。
お荷物や余計なことと考えず、業績を上げて給料上げる為にも積極的に参加し、今のこの状態を良い方向にもっていく為のツールとして使用する。皆もそのつもりでＩＳＯを利用しよう。」

なんて事を言えば、必要だからだ。今のままではダメなんだ。
給料上げる為にも、会社を良い方向に持っていかなくてはいけない。

と考えてくれるかもしれません。

導入すると決めたら、社長や経営陣の責任は重大です。

「後は任せた」では何にもなりません。

ISO9001運用ポイント(2) ＩＳＯは指針です。

規程作りの方は、いきなり、8.2.2内部監査の項目まで飛びます。

この間の項目、５、６、７項ではISO9001は文書化は必要としていません。

この事でも判るように、ＩＳＯでは本来の業務（製造やサービス）に肝心のところは、「明確にする」「実施する」「確実にする」、又は規格自体に欠落している状態です。

この為ＩＳＯで言ってる事は、必要な部分が多いにかけているので、マネジメントシステムを作る際は、自社に合ったやり方で補わなければなりません。

しかし、それは、それぞれの企業が判断する事です。

明確にするには、どの方法がいいか。

実施するには、どの方法がいいかは、各社で判断してください。

ＩＳＯはあくまで指針であって、会社の方向性や重要な部分は濃密にマネジメントシステムを構築する必要があります。

じゃあ、取り組んでも無駄なんじゃないか？

と思われる方もいらっしゃるかもしれませんが、指針であるがゆえに、良い所取りが出来るのです。

会社に重要な部分は「会社が必要と認めた文書」として、管理していきましょう。

ISO9001運用ポイント(1) ６Ｓ運動を展開しよう。

文書管理規程と記録管理規程が出来たら、社長は、６Ｓ運動を展開させましょう。

事務局は一旦文書作りから離れて、６Ｓ運動を実行します。

社長や管理責任者、事務局は会社内を巡回してみましょう。

雑然としていないでしょうか？

出荷前の雑然さではなく、日常からなんだか雑然としている。

書類の山がデスクに出来ている。

こんな状況で効率よく仕事が出来るのだろうか？

っと考えた事はありませんか？

書類探しで、仕事をしたつもりになると言う事はよくあるパターンです。

また、書類探しで時間や労力を取られ、本来しなければならない仕事への労力や時間がそがれる。

整理・整頓が行き届いてないと、このような事が起きやすい状態です。

そこで６Ｓ運動を展開させましょう。

４Ｓ（整理・整頓・清掃・清潔）

５Ｓ（整理・整頓・清掃・清潔・躾）

４Ｓや５Ｓは展開している会社も多いと思います。

５Ｓに「作法」を付け加えます。

①整理・・・必要な物と不要な物を分け、不要な物を捨てる。

②整頓・・・必要な物がすぐに取り出せるように置き場所、置き方を決め、表示を確実に行う。

③清掃・・・掃除をしてゴミ、汚れのないきれいな状態にすると同時に細部まで点検すること。

④清潔・・・整理・整頓・清掃を徹底して実行し、汚れのないきれいな状態を維持すること。

⑤躾（しつけ）・・・決められたことを、決められたとおりに実行できるよう習慣づけること。

⑥作法・・・社会人としての作法（挨拶・礼儀だけでなく、服装、姿勢、言葉使い、動作等）を実行する事。

当社は４Ｓでいいや、５Ｓをもう実行しているっと言うのであれば、それでも構いません。

まだ実行していない会社ではぜひ、６Ｓ運動を展開して会社の風土を良くするようにするのがいいでしょう。

また、この６Ｓ運動がＩＳＯの元でもあります。

整理や整頓、躾は、ＩＳＯでも求められている事です。

文書管理規程や記録管理規程を作った事務局なら「あっ」っと思うのではないでしょうか？

この、４Ｓや５Ｓ、６Ｓを品質方針の中に入れてもかまいません。

既に入っている場合もあると思います。

もう品質方針発行してしまったっと言う場合も、品質方針の変更を行えば良いだけです。

5.3の品質方針の項、e)では、適切性の持続の為にレビューを行うとあります。

会社の方針が変われば変えるように規格も要求しています。

何年も同じ品質方針をお題目のように設置している会社も多くありますが、それは本来の姿ではありません。

会社の方針や社会情勢、組織が変われば、品質方針をどんどん変えていきましょう。

これから、社内の大掃除です。

いるもの、要らないもの、どう考えても二度と使わない様なもの、稀にしか使わない様な書類の束。

この際、一度全て整理してしまいましょう。

内部監査部門は内部監査の対象部門か？

内部監査（内部監査部門）は内部監査の対象か？

内部監査も対象です。

内部監査室や、内部監査課、内部監査部等があれば、その部門の監査を行います。

また、内部監査の業務を専門に行っているのであれば、そのプロセスも内部監査の対象になります。

内部監査を実施するのは、内部監査室や、内部監査課、内部監査部等や内部監査専門の業務の人以外の内部監査員が内部監査を行います。

専門部門に従事している人に、それ以外の部門の兼任内部監査員でどこまでできるかという問題もあります。

そのご時世、そんなに贅沢な企業を探す方が難しいような気もしますが、内部監査員が、内部監査室や、内部監査課、内部監査部等にしか存在していないと言うのであれば、コンサルや関係会社に第二者監査を実施してもらいましょう。

内部監査を行う部門が、実際はボロボロだった、なんて言うのはほかの部門や工程業務に対して指導が出来るのかと言う問題にもなりかねません。

また、内部監査室や、内部監査課、内部監査部等が無い場合、どこかの部署や誰かが、内部監査に関わる書類を承認したり管理したりしています（品質管理部や品質保証部が兼任している場合が多い）。

その部門を対象に内部監査員が内部監査を行います。

内部監査の対象は？

内部監査の対象は、プロセス及び領域です。

プロセスとは、各（工程の）業務。
領域とは、部門です。

この為監査の対象は部門を対象にしようと、各業務を対象にしようとかまいません。

重要なのは、監査を行う対象が、会社にとって、どれだけ重要か、これまでの監査でどのような結果が出ているかが問題になります。

製造部門にラインが10あったら、１～８のラインは重要だが、これまでの監査でたいした指摘は受けていない。
従事している人たちもよく育っている。不良率も限りなく０に近い。

９と１０のラインは、重要だが、これまで監査でメジャーの指摘を数回受けている。従事している人たちもほかのラインと比べて成長性が悪い。不良率が１０％を超えている。

このような状態であれば、９と１０のラインの監査を行った方が会社にとっては有益です。
指導面も出てくるのであれば、製造部門の責任として、製造部門の監査を行うのもいいでしょう。

対象は部門だけではありません。