ＩＳＯの認証を取得したのに事故が減らないのはなぜか

ＩＳＯ９００１の認証をめでたく取得。

これで事故の削減されるぞ！！と期待している経営者の方も多いかと思います。

しかしふたを開けてみると、事故が減らない。

何故だろう？

理由として考えられるのが、ＩＳＯ９００１を導入したがために、潜在事故が顕在化してしまった。

この為に、事故が増えた。

これはＩＳＯを真剣に取り組んでいれば必ず起きる現象なので、一つ一つ是正処置を立てて、効果の確認を行い、改善していくしかありません。

導入後一年は必ず、事故が増えます。

顕在化、ブラックボックスが無くなった為ですので、いい方向にあると言えます。

二つ目がＩＳＯが全く機能していない。看板になっている、重荷になっている為、日常でのチェック機能はおろか、内部監査においても、儀礼的内部監査に終わっている為です。

三つ目が、事故の本質が見えていない。真の事故原因が判っていない。この為同様の事故や同じ内容の事故が繰り返し行われてしまう。是正処置が行われているものの、小手先だけの是正処置に終わっている。

これらの理由が考えられます。

これは、導入時コンサルタントからも説明があったはずです。

ＩＳＯを真剣にやれば、導入後事故は増える事。
事故の本質、事故の根本的な原因（人的要素に求めない）を追及しなければ、同じ事故が繰り返されてしまうので、事故の本質、根本的な事故の原因を突きとめる事。

独自で頑張って認証取得したのであれば、そこまで自分たちで発見するまでは、時間がかかるかもしれません。

ＩＯＳ９００１を導入してもう何年もたつのに、同じような事故が無くなっていないのであれば、ＩＳＯ９００１の導入は失敗です。

私はそのような事が起きないように、認証取得から、認証取得後のコンサルティングを行っています。

プライバシーマーク 01-1 任命 個人情報保護責任者の仕事

個人情報保護責任者は社長と共に、個人情報保護の仕組み（個人情報保護マネジメントシステム）を作ります。

又は社長の名代としての責任と権限が与えられたのであれば、社長の名代として個人情報保護の仕組み（個人情報保護マネジメントシステム）に取り組みます。

社長に個人情報保護の仕組み（個人情報マネジメントシステム）の運用状況を報告します。

この報告が、経営者による見直しと改善の基になります。

プライバシーマーク 01 任命 個人情報保護管理責任者 個人情報保護監査責任者

キックオフ宣言をしたら、社長は、早々に個人情報保護責任者と個人情報保護監査責任者を任命します。

個人情報保護管理責任者の任命は、社内から、ＪＩＳ　Ｑ　１５００１の規格を理解して、実行するスキルがある人を選びます。

と言いつつも、初めからそんな人はいないので、取締役の中から誰かにやれと任命するしかありません。

個人情報保護監査責任者の任命は、社内から、公平であり、客観的な立場の人を任命します。

公平であり客観的な立場といってもなかなか社内でそのような人はという場合は、これも取締役の中から任命します。

規格では取締役等と書いてないので、ヒラでも可なのですが、ＪＩＳ　Ｑ　１５００１に対する責任と権限を与える為、ある程度の役職があった方が良いと思います。

取締役で無くても、部長職や課長職等社長に近い階層の人を選んでください。

任命する際に任命書は要りません。

プライバシーマーク 00 キックオフ宣言

社長（組織の長）が、個人情報保護のために、プライバシーマークの導入をしたいと考えた時から、プライバシーマーク（ＰＭＳ・プライバシーマネジメントシステム）が始まります。

社長（組織の長）は、プライバシーマークの取得に向けて、さ～やるぞ～～っといった事を、社内に知らせます。

別に文書には残さなくてよく、口頭で十分です。

組織が大きいのであれば、メールなり文書なりで掲示した方がいいかもしれませんね。

社長（組織の長）の意思表示です。

全てはここから始まります。

お客さんの情報を守りたい。会社の資産である情報を守りたい。

動機は何であれ、全ては社長（組織の長）の意思です。


さあ、プライバシーマークの認証付与取得に向けて動き出しましょう！

ＪＩＳ Ｑ １５００１ プライバシーマークの認証取得に向けて

プライバシーマークの認証を取得する為に、考える事があります。

何故プライバシーマークが必要なのか？

何のためにプライバシーマークが必要なのかです。

組織によってはＩＳＯ27001の方の情報セキュリティの方がいいかもしれません。

ＪＩＳ　Ｑ　１５００１の規格も情報セキュリティであります。

ＪＩＳ　Ｑ　１５００１は個人情報保護法をもとに、更にレベルの高い個人情報保護を打ち出しています。

この為、死者の個人情報も含まれます、また、個人情報保護法では、センシティブな情報については取り扱っても良い事になっていますが、ＪＩＳ　Ｑ　１５００１では基本的には取り扱ってはいけない事になっています。

このあたりから考えても、個人情報の保護に関する法律（個人情報保護法）よりも、適用がシビアになっています。

何故、会社がプライバシーマークが必要なのか？

個人情報を含めた情報をどう保護するのか、したいのか。


まずそこからはいる必要があります。

JIS Q 15001 3.9 事業の代表者による見直し

組織（会社）の代表者は、個人情報を適切に保護する為に、定期的に個人情報の仕組みを見直さなければなりません。
組織（会社）の代表者による見直しでは、以下の事項について、報告を受けるようにしなければなりません。
①監査と個人情報保護の仕組みの運用状況の報告
②苦情等の外部からの意見
③前回までの代表者による見直しの結果の報告
④個人情報保護に関連する法律や法令、国の定める指針、その他の規範等の改正状況
⑤社会情勢、国民の認識、技術進歩等の個人情報保護に対する環境変化の報告
⑥組織（会社）の事業領域の変更
⑦組織（会社）の内外からの改善のための提案。

マネジメントシステムの考え方の間違い

ブログやＨＰを見ていたりすると、ＩＳＯ関連やＰマークに関する記事っていっぱいあります。

特にブログなんかで、ＩＳＯやＰマークに取り組んでいる姿なんてのを読んでいると、

基本的にそれ間違ってますよ。

どんなコンサル付けてやってるんだかって思っちゃうのが多いです。

ＩＳＯにしろＰマークにしろ他のマネジメントシステムにしろ、

マネジメントシステムの為に仕事をやっているのではなく、

会社を改善する為に利用するのが本来の目的です。

マネジメントシステムの解説本渡して、読んで感想文書けと言うのはかなり方向性が違っています。

回し読みするにしろ、一人ひとりに与えるにしろ、

全従業者がやる事じゃないですよ。

従業者全員をプロフェッショナルにする必要はないのだし。

そもそも、そんな本読んでる暇があったら他にする事があるのではないだろうか？

必要な人が読めばいいだけであって。

パート出来てる人までに読ませる必要はまして無い。

意識は持たなきゃいけないけど、仕事はルーチンワークやってれば、

マネジメントシステムをやっているぐらいに浸透させないと

マネジメントシステムやってる意味が無い。

何のためにコンサルが居るのでしょうか。

それで一年に何回かチェックして、ダメなところを直したり、

これヤバイんじゃないと言うところを教えてあげたり。

マネジメントシステムに振り回されているようでは、

機能してないっすよね、そのマネジメントシステム。

マネジメントシステムの認証なんて取った後からが大変なんだけどなぁ。

取ったら放置っという会社が多いですね。

ま～そういうコンサルティングしかできないコンサルが多いのも確かなんだけど。

な～んか本来の趣旨と違う事やってる会社多いです。

ＩＳＯを組織に浸透させるには

ＩＳＯを始めてもなかなか、組織にうまく浸透しない。

何度言っても判らない。

そんな風に思われてる、社長や経営陣、事務局、推進委員の方々は多いと思います。

何故浸透しないのか？

何故判ってくれないのか？

それは、ＩＳＯが重荷になったり、実際の手順と違ったり、意味の無い記録を取らされたり。

そう相手が思っていると、なかなか浸透しませんし、進みません。

組織や部門、工程業務の人達が納得して取り組め、適切な方法を示してあげないと、現場は動きません。

形ばかりのＩＳＯでは、現場からの反発があります。

押しつけられたＩＳＯでは、現場からの反発があります。

決めたルールが果たして組織に適合しているのか？

無理が無いのか？理想を追い求めていないか？

意味の無い記録を求めていないか？

ＩＳＯのマネジメントシステムの仕組みを見直しましょう。

その仕組みが、組織に適合し、無理が無く、理想でも無く、記録にも意味があるのであれば、現場に何度も何度も丁寧に説明して、理解を深めるようにするしかありません。

それは特別に場を作ってもかまいませんし、内部監査の時に指摘して、何故必要なのか、どうして必要なのか、なんの為にしているのか、説明し理解をしてもらう必要があります。

必要な事をしていないから不適合なんだと説明するしかありません。

ただ、仕組みに無理があるもの、押しつけられている仕組みであれば、「審査の為に必要」という本末転倒な説明しかできない場合、現場は納得してくれません。

役にも立っていないもののために、何故しなければならないのか？

審査なんてくそくらえ！

ＩＳＯなんてやってられない！

になってしまいます。

自社の要員にとってＩＳＯとは何なのか。何故行っているのか。

この文書や記録には意味がある、その意味はどんな意味なのか。

事務局や内部監査員、推進委員が説明できるようにしましょう。

そんなこと今までのコンサルタントは言わなかった。

審査の為にしなければならないとコンサルタントから言われている。

そういう会社は、残念ながらコンサルタントを変えたほうがいいでしょう。

ＩＳＯを押し付けられています。

経営改善に全くならず、重荷であり無駄な経費、無駄な労力を使うばかりです。

ＩＳＯマネジメントシステムの再構築を行った方が良いです。

JIS Q 15001 3.8 是正処置及び予防処置

組織（会社）は、不適合に対する是正処置や予防処置を確実に行う為に、是正処置と予防処置の責任と権限を定めたルールを作り、運用し、さまざまな状況の変化に合わせて、改訂しなければなりません。
作るルールには、以下の事項を含めます。
①不適合の内容を確認する事
②不適合の原因の追及し特定する事。
③是正処置や予防処置を立案する事。
④一定の期限を決め、立案した是正処置や予防処置を行う事。
⑤実施した是正処置や予防処置の結果を記録に残す事。
⑥実施した是正処置や予防処置の効果を判断する事。

3.7.2 監査

組織（会社）は、個人情報保護の仕組みが、JIS Q 15001の規格に適合している状態と、個人情報保護の仕組みを運用している状態を定期的に監査を行わなければなりません。

組織（会社）の代表者は、公平で客観的な立場の個人情報保護監査責任者を、組織（会社）の内部から指名します。
個人情報保護監査責任者には、監査の実施や監査の報告を行う責任と権限を、会社（組織）での実務業務の責任とは別に与え、監査の業務を行わせます。
個人情報保護監査責任者は、監査の指揮を行い、監査報告書の作成を行い、組織（会社）の代表者に監査の結果の報告を行います。
監査において、監査員の選定や監査を実施する際は、客観性と公平性を確実に行わなければなりません。
会社（組織）は、監査計画・監査実施・監査結果報告・監査に伴う記録の保存等の責任と権限を決めるルールを作り、運用し、さまざまな状況の変化により、改定しなければなりません。

3.7.1 運用の確認

組織（会社）は、個人情報保護の仕組みが、各部門や各階層で適切に運用されている事を定期的に確認する為に、ルールを作り、運用し、さまざまな変更があった場合は改訂しなければなりません。

3.6 苦情及び相談への対応

組織（会社）は、個人情報の取扱と個人情報保護の仕組みについて、該当者から苦情や相談を受けた場合は、適切で迅速な対応を実施するルールを作り、運用し、さまざまな状況の変化が起きた場合は改訂しなければなりません。
この為に、組織は苦情や相談体制を作り整えなければなりません。

3.5.3 記録の管理

組織（会社）は、個人情報保護の仕組みと、JIS Q 15001の規格要求事項と適合するしている事を実証する為に、記録を作り、さまざまな状況の変化があれば改定しなければなりません。
記録を管理するルールを作り、運用し、さまざまな状況の変化があれば改訂していかなければなりません。
記録は「エヴィデンス」証拠になります。

不適合品と不良品

ISO9001実践例　不適合品と不良品

不適合品と不良品の違いは何か。

全く同じです。

不適合とは要求事項に適合していない＝クライアントの仕様に合ってない＝不良です。

不適合が製品であれば不適合製品＝不良品です。

不適合とは、要求事項を満たしていない事です。

それが、ＩＳＯ9001の規格であろうと、社内で決めたルールであろうと、製品であろうと、クレームであろうと、要求事項を満たしていなければ、不適合です。

営業部門に対する内部監査 製品に関連する要求事項の明確化

ISO9001実践例　営業部門に対する内部監査　製品に関連する要求事項の明確化

営業部門に対して、製品に関連する要求事項の明確化（7.2.1）をチェックする場合、何をチェックするか。

①クライアントが指定している製品仕様
②納品の仕方
③アフターサービス
④使用する用途が、既知（常識的な事、必須な事）である場合の仕様
⑤法律上定められている事
⑥会社が決めた独自の製品仕様

これらが明確になっているかなっていないかをチェックします。

①クライアントが指定している製品仕様は、注文書や発注書等でチェックできます。
又は口頭でやり取りを行った場合は、その時のメモ。

②納品の仕方は、同じく注文書や発注書、やり取りをしている時のメモなど。

③アフターサービスも同じです。

④使用する用途が、既知（常識的な事、必須な事）である場合は、中国等で生産した口に付ける製品が、食品検査等を通していない、商業品であるのに工業品で検査をしている等、この製品は、このような状況で使用するにもかかわらず、必要な検査・チェック・認識が無かった等が該当します。
これは常識的であり、必須な事でもあります。

⑤法律上定められている事は、法令集などがあれば便利です。

⑥会社が決めた独自の製品仕様は、自社のルールに照らし合わせればチェックできます。

3.5.2 文書管理

組織（会社）は、ＪＩＳ　Ｑ　１５００１が要求している記録を除くすべての文書について、管理を行うルールを作り、運用し、さまざまな状況の変化があれば、改訂していかなければなりません。

文書管理のルールは以下の①～③の事項を含んで作ります。
①文書の発行と改定に関する事
②文書の改訂の内容と発行回数（版数）が関連付けられている事を明確にする。
③必要な文書が必要な場所で必要な時に簡単に見れるようにする事。

3.5.1 文書の範囲

組織（会社）は、個人情報保護の仕組みの基礎となる要素である①～⑤を、書面にて書き起こさなければなりません。
①個人情報保護方針
②内部規程
③計画書
④ＪＩＳ　Ｑ　１５００１が要求している記録
⑤組織（会社）が必要と判断する記録

3.4.5 教育

組織（会社）は全従業者に、JIS Q 15001等、個人情報保護マネジメントシステムの教育を、定期的に、適切な内容で行わなければなりません。
組織（会社）は、全従業者に、従業者自身が関連する、部門や会社の階層で、次の①～③の事を理解させるルールを作り、運用し、状況等に合わせて改定していかなければなりません。
①組織が、個人情報保護マネジメントシステムの仕組みに適合する重要性とメリット
②組織が、個人情報保護マネジメントシステムの仕組みに適合する為の役割と責任
③組織が、個人情報保護マネジメントシステムの仕組みに違反した場合に想定される結果

組織（会社）は、教育計画・教育実施・教育結果の報告・教育結果の判断・計画の見直しについて、責任と権限を定めるルールを作り、運用し、状況に変更があった場合は、改訂しなければなりません。
また、教育計画・教育実施・教育結果の報告・教育結果の判断・計画の見直しについては、記録を取り、記録の責任と権限を定めるルールを作り、運用し、状況に変更があった場合は、改定しなければなりません。

3.4.4.7 開示対象個人情報の利用又は提供の拒否権

組織（会社）は、該当者から、該当者が識別できる開示対象個人情報の利用停止や消去、第三者への提供の停止の「利用の停止等」について、要求された場合は、この要求に対して対応しなければなりません。
利用の停止等の対処を行った場合は、遅れ滞る事がないように、速やかに該当者に対処を行った事を通知しなければなりません。
適用除外事項として、3.4.4.5の開示対象個人情報の開示の①～③のどれかに当てはまるときは、利用停止等を行う必要はありません。ただし、該当者に利用停止等を行わない事と、利用停止等を行わない理由を説明する必要があります。



3.4.4.5　開示対象個人情報の開示
①該当者か、第三者の生命、身体、財産その他の権利権益を阻害する事が想定される場合。
②組織（会社）の適正な業務に多大な障害・支障が起こる事が想定される場合。
③法律・命令・条例・規則・裁判所の規則等に違反する場合。

不適合に関する管理

ISO9001実践例　不適合に関する管理

不適合が起きた場合は是正処置を取ります。

では、それらの不適合全般に対する管理は誰が行い、どう活用するのか。

不適合にも色々あり、ＩＳＯ9001の規格に対する不適合、製品に関する不適合、自社の仕組みに対する不適合等など。

それらを管理し、活用する為の手段を行使する人を置く事が良いです。

どこの部署でこんな不適合があった。他の部署に反映させる事（未然防止）に繋がります。

監査は行った、それぞれの工程業務からも日常点検で是正処置が出るようになった。

じゃあ、それをその部門だけの問題ではなく、全社にフィードバックさせるにはどうすればいいか。

フィードバックされた事が、必要な部門と必要でない部門、必要な工程業務と必要でない工程業務、誰が判断するか。

マネジメントレビューで社長や経営陣が判断しても良いですし、緊急の場合は、管理責任者が行ってもよい。

その責任と権限を決めるましょう。

全社にフィードバックする事は、類似の不適合を生まない為の未然防止になります。

社内教育担当者の力量

ISO9001実践例　社内教育担当者の力量

社内の教育担当者は、それぞれの工程業務、部門、会社全体で教育担当者を任命します。

必要な教育課題について、教育を行う者は、プロフェッショナルな方がベターです。

また、教育者によって、解釈がかわるのであると、困りものですので、出来る限り、特定の人に任せるのか、ルールを作った方が良いでしょう。

業務の教育担当。ＩＳＯの教育担当。その他、各種教育の教育担当があると思います。

その力量を判断するのは、任命する人が判断しなくてはなりません。

新しく入ってきた人や、新しい事を行う場合の教育は重要ですので、力量は明確にしておきましょう。

購買・供給者の再評価

ISO9001実践例　購買・供給者の再評価

供給先の再評価を行う場合は、定期的に供給先の見直しの為に、再評価を行う場合と、製品品質に関わる大きな問題を起こした場合に再評価を行います。

再評価を行う事は、供給先を定期的に見直し、会社の為になっているか。財務状況など不安な点は無いか。製品品質で問題を起こしていないか等、軽めの評価でも大丈夫です。

臨時で再評価を行う場合は、起きた問題に対して、是正処置がとられているか、その効果は、会社にとってどれだけメリットが残っているか等が再評価の評価点として浮かび上がります。

供給先の問題でも、受けたのは、発注した会社ですので、クライアントには全責任を持つ必要があります。

金額の補填だけでは何も解決していません。

自社で起きた問題と同様に扱う事が必要です。

3.4.4.6 開示対象個人情報の改訂、追加又は削除

組織（会社）は、該当者から、該当者が識別できる開示対象個人情報の内容が事実ではないと、開示対象個人情報の訂正、追加、削除の訂正等を要求された場合は、法律等の規程により手続き方法が定められている場合を除いて、利用目的の限度内で、遅れ滞る事無く調査し、調査の結果に基づいて、開示対象個人情報の訂正を行います。
訂正を行った場合は、訂正を行った事と、訂正した内容について、該当者に遅れ滞る事無く、通知を行います。
訂正を行わない場合には、訂正を行わないことと、その理由を該当者に対して通知を行わなければなりません。

3.4.4.5 開示対象個人情報の開示

組織（会社）は、該当者から、該当者が識別できる開示対象個人情報の開示を要求された場合は、法律等の規程により、定められている場合を除き、該当者に対して遅れとどこおる事無く、該当する開示対象個人情報を書面によって開示しなければなりません。ただし、開示の要求を行った人が、書面以外の別の方法による開示に合意した場合は、その方法で開示を行っても良い。
この場合、該当者を識別できる開示対象個人情報が無くても、無いと通知しなければなりません。
適用除外事項として、以下の①～③の項目に当てはまるときは、開示対象個人情報の全部か一部を開示する必要はありません。ただし、該当者に遅れとどこおる事無く、開示しない事と、その理由を伝えなければなりません。
①該当者か、第三者の生命、身体、財産その他の権利権益を阻害する事が想定される場合。
②組織（会社）の適正な業務に多大な障害・支障が起こる事が想定される場合。
③法律・命令・条例・規則・裁判所の規則等に違反する場合。

3.4.4.4 開示対象個人情報の利用目的の通知

組織（会社）は、該当者から、該当者の個人情報が識別できる開示対象個人情報について、利用目的の通知を要求された場合は、遅れとどこおる事無く、この要求に応じなければなりません。
ただし適用除外事項があり、3.4.2.5の個人情報を直接書面で取得しなかった場合の措置の①～③か、3.4.4.3の開示対象個人情報に関する周知などの②該当し、利用目的が明らかな場合は、通知を必要としません。
通知を必要としない場合も、要求してきた該当者に対し、遅れとどこおる事無く、通知をしない事とその理由を該当者に通知しなければなりません。



3.4.2.5　個人情報を直接書面にて取得しなかった場合の措置
①利用目的を通知したり、公表する事で、該当者やその他第三者の生命、身体、財産、その他の権利権益が阻害される事が想定される場合。
②利用目的を通知したり、公表する事で、組織（会社）の権利や利益が阻害される事が想定される場合。
③国の機関や地方公共団体が法律・命令・条例・規則・裁判所の規則等が定める業務を行う事に対して協力する場合、利用目的を該当者に通知したり公表する事によって、業務を行う事のさしさわりが発生する事が予想される場合

3.4.4.3　開示対象個人情報に関する周知など
③開示対象個人情報（取り扱っているもの全て）の利用目的。ただし、3.4.2.5　個人情報を直接書面で取得しなかった場合の措置の①～③に該当する場合は利用目的を知らせる必要はありません。

3.4.4.3 開示対象個人情報に関する事項の周知など

組織（会社）は、個人情報が開示対象個人情報の場合は、該当する個人情報について、以下の事項を含め、該当者が知る事を出来るようにしなければなりません。該当者の要求に応じて遅れる、とどこおる事無く、回答する場合も当てはまります。
①組織（会社）の名称、氏名
②個人情報保護管理者の氏名か職名、所属先と連絡先
③開示対象個人情報（取り扱っているもの全て）の利用目的。ただし、3.4.2.5　「個人情報を直接書面で取得しなかった場合の措置の①～③に該当する場合」は利用目的を知らせる必要はありません。
④開示対象個人情報の取扱に対する苦情の窓口
⑤認定個人情報保護団体の対象である組織（会社）は、認定個人情報保護団体の名前と苦情解決の窓口。
⑥3.4.4.2　「開示等の求めに応じる手続き」で決めた手続きの仕方。

3.4.4.2 開示等の求めに応じる手続き

会社（組織）は、開示等の要求に応じる手続きのルールとして、以下の内容をルール化しなければなりません。

①開示等の要求に対する窓口
②開示等を要求する際に必要な書類や開示等の要求の仕方
③開示等を要求する人の身元の確認方法
④3.4.4.4の開示対象個人情報の利用目的の通知や、3.4.4.5の開示対象個人情報の開示の手続きに手数料を定める場合は、手数料と支払い方法

該当者からの開示等の要求に対して対応する手続きを決める場合、該当者に対し、過度な負担にならないように配慮してください。

3.4.4.4の開示対象個人情報の利用目的の通知や、3.4.4.5の開示対象個人情報の開示の手続きで、該当者からの要求に対応し、手数料を徴収する場合は、実費等を考慮して、適切であると判断される額を決めます。

クレームを減らす

ISO9001実践例　クレームを減らす

ISO9001を導入したけれど、不良、クレーム、問題が全く減らない。どうなっているのか？

この場合考えられる事は、
①潜在事故が顕在化した為。
②ISO9001がお飾りになっている為。

この二通りが考えられます。

顧客からのクレームを減らすには、どうすればいいのか。

①どんな内容のクレームなのか。
②クレームの内容の直接的な要因は何か。
③その要因の根本的な原因は何なのか。
④根本的な原因に対して是正処置がとられているか。
⑤是正処置に対する効果はあったか。

クレームが一向に減らない場合、根本的な原因が追及されてない事が多くある為、是正処置を行っても小手先の是正処置になり、再発してしまう。類似のクレームが起きてしまう。等あります。

私が品質管理をしているとき、現場から上がってくる、「是正処置」を３度つき返していました。

何故か、根本的原因が追及されていないからです。

大抵三度ほどつき返すと、根本的な原因に行きついたりしますが、根本的な原因にそれでも行きつかない場合は、現場に乗り込んでいました。

何故３回か、現場のスキルアップの為です。

何故そうなったか、何故なのか、本当にそれが原因なのか。考えさせることも重要です。

内部監査の頻度

ISO9001実践例　内部監査の頻度


内部監査を行う頻度は、企業により考え方が異なります。

一年に一回の内部監査もあれば、一年に四回の会社もあります。

個人的には、ＩＳＯ導入過渡期は内部監査は一年に４回実施するのがベターです。

内部監査には、チェックする事と、現場の教育を行うと言う二面的なものがあります。

導入して何年かは内部監査は年四回実施するのがベターですが、会社の規模や、業務内容の複雑さ、製品やサービスに対する重要度、不良の発生度合い等色々な要素がありますので、一年に一回でもいいプロセスや部署と、一年に６回行わなければならない様なプロセスや部署が出てきます。

内部監査員の質も監査をするごとに、レベルアップしていきますので、初めのうちは、監査員の養成の為にも、一年に最低４回、内部監査を実施する事を勧めます。

審査やサーベランスの前だけ監査を行うような、愚かな行為は、止めましょう。

内部監査を何のために行うか。

ＩＳＯの建前上、直前に一回だけ実施するでは、作ったマネジメントシステムの中で、何が悪いのか、何が良くない方向に行っているのか、チェックできなくなってしまいます。

それは、監査をしないことと同じです。

また、書類に対する監査も重要ですが、一定時期を過ぎると、書類からの不都合、問題は少なくなります。

「判子が抜けている」「日付が抜けている」こういう指摘は、初めのうちだけで、監査員のレベルも低いことから、監査員自身が判る事を指摘しているだけで、監査の本質ではありません。

記録の監査も客観的証拠を示す為の記録ですので、記録をもとに、現場で客観的証拠が実際に正しいかどうかの判断を行います。

監査は、会社のマネジメントシステムをチェックし、問題が無いか、うまく仕組みが働いているか、この工程業務は何故不良が多いのだろう、徹底的にチェックをしてみよう等、普段の日常点検では、抽出できない部分を炙りだす作業でもあります。

何のために内部監査を行うのか？

これさえ明確に出来れば、監査を行う頻度は、おのずと出てきます。

3.4.4.1 個人情報に関する本人の権利

組織（会社）は、ＰＣ等を使って、検索する事が出来るようにしている個人情報のデータベースや、一定の規則により、整理や分類を行い、目次や索引や符号等を付ける事により、特定の個人情報が簡単に検索出来るようにしている個人情報の情報群について、該当者から、開示・内容の訂正・追加や削除・利用の停止・消去や第三者提供の停止（これらをまとめて開示等と言います）などの要求に対して、対応する事の出来る権限を持つ情報（以下、開示対象個人情報と言います）について、該当者からから、開示等を要求された場合は、以降の項目で説明する、3.4.4.4～3.4.4.7の規程によって、遅れ、とどこうることなく、この要求に対応しなければなりません。
ただし、開示対象個人情報に当てはまらない、適用除外事項があります。
①該当する個人情報の存在するかしないかが、明らかになる事により、該当者や第三者に対して、生命や身体や財産に危害が及ぶ事が想定される場合。
②該当する個人情報の存在するかしないかが、明らかになる事により、違法や不当な事を誘発・助長する事が想定される場合。
③該当する個人情報の存在するかしないかが、明らかになる事により、国家の安全の危機、国家や国際機関との交渉が不利益になる事が想定される場合。
④該当する個人情報の存在するかしないかが、明らかになる事により、犯罪の防止や鎮圧、捜査等公共の安全と秩序の維持に影響があると想定される場合。

3.4.3.4 委託先の監督

組織（会社）は、業務に使用している個人情報の全てや一部を外部に委託する場合は、十分に個人情報保護のレベルに達している組織や人を選定しなければなりません。
組織（会社）は、外部委託先をどのような基準で選定するか、選定基準を確立しなければなりません。
組織（会社）は、外部に委託した個人情報の安全管理を行う為に、委託先に対して必要であり、適切な契約や監督を行わなければなりません。
組織（会社）は、以下に示す内容を契約によりルール化し、十分に個人情報の保護レベルがある事を、保証するようにしなければなりません。
(1)委託者と受託者の責任を明確にする
(2)安全管理に関する事
(3)再委託に関する事
(4)取扱の状況を委託者へ報告する内容と頻度
(5)契約内容を守っている事を委託者が確認できる事
(6)契約内容が守られなかった場合の処置
(7)漏洩や紛失、消失、持ち出しなどの事件や事故が起きた場合の報告や連絡に関する事

組織（会社）は、個人情報を取り扱っている期間中は、契約書などの書面を保存する必要性があります。