プライバシーマーク入門講座(連載:第25回)
2008/01/06 日曜日 07:50:27 JST
「個人情報保護マネジメントシステム」の構築に向けて(第20回)
   ~内部規定の作成(第17回)~

今回は、是正処置及び予防処置に関して述べる。
J IS Q 15001の中には、規格全体で示している大きなPDCAを通しての改善、規格の中で明確には述べられていないがリスク分析の見直しを通しての改善、それにこの是正処置及び予防処置を通しての改善が含まれている。
 是正処置及び予防処置は改善の仕組みであり、是正処置及び予防処置を実施することで、貴社の顕在化した問題だけでなく、潜在している問題の原因の除去が行なわれ、貴社が一歩前進する、すなわち少し向上する仕組みであるので、この仕組みを積極的に活用するようにして欲しい。

 ここで、是正処置及び予防処置の実施に慣れていない方のために、若干の説明を加えておきたい。
 JIS3.8には、是正処置及び予防処置が一緒に規定されているが、それらを考える上においては、是正処置及び予防処置とは何であるかを十分に理解しておくことが必要である。
 是正処置には、貴社のPMSがJIQ Q 15001の要求事項に適合していない、法律やガイドラインの要求事項に適合していない、と言うような"システムの不適合"から、運用において決められたルールを守っていない、というような"運用における不適合"まで色々なレベルがあるが、ここでは簡単のために"運用における不適合"をイメージして説明を加える。
是正処置
 是正処置は、前提として何か問題(不適合)が発生した事実がある。
 そして、そのようなことを再発させないための処置を行なうことである。
 再発させないためには、現在発生した悪いこと(不適合)を直す(修正する)だけでなく、それを発生させた根本原因を追究し是正をする(根本原因を取り除く)ことである。
予防処置
 一方、予防処置は、問題は顕在化していないが、何か条件が変わると顕在化する可能性があることについて、すなわち、想像力を働かせ、こんな時は大丈夫かと考え、前もって処置を講じて行くことである。
 是正処置と同じように、何か問題が発生することが懸念される時に、それを顕在化させないための直接的な修正活動を行なうだけでなく、発生が懸念される根本原因を追究し予防をする(根本原因を取り除く)ことである。

 安全工学の分野では、「ハインリッヒの法則」と呼ばれる経験則があり、1つの大きな事故が発生する裏には29件の小さな事故があり、更にその裏には300件のルール違反があると言われている。(1:29: 300の法則)
 是正処置においては、小さなルール違反も不適合(インシデント)として取り上げ、小さな事故や、大きな事故の発生を予防して行くことが大切である。
 従って、是正処置においては、そのことが発生した根本原因を追究し、その原因を元から絶ち、再発を防止することが肝要である。
 品質における是正処置においてよく言われていることであるが、品質問題を起した根本原因になるべく近づくために、"「なぜなぜ」を5回繰り返せ"と言われている。
 例えば、出先の会場で会員の入会申込みの受付 (個人情報の取得がある)を行っているとする。
 ルールでは、顧客が申込書に記入した後、即、会場に持参した手提げ金庫にしまうことになっていたが、申込書が机の上に仮置きされていたとしよう。
 このようなルール違反が起こった原因として:
 ①本人がルールの存在を知らなかった。
 ②ルールの存在は知っていたが、ふと、忘れてしまった。
 ③ルールの存在は知っていたが、現場での習慣として、ある程度纏めてから金庫にしまっていた。
 ④ルールの存在は知っていたが、その人はそれを無視していた。
等々あり、まだあるかもしれない。

 例として、「①本人がルールの存在を知らなかった。」を深堀りしてみよう。
 本人がルールを教えられていなかった。
  教育は行われたが、本人が教育に欠席していた。
   欠席者に対するフォロ-アップが行われていなかった。
    欠席者に対するフォローアップの仕組みが無かった。
 このような形で、「なぜなぜ」を繰り返して行くと、この場合は、教育研修における欠席者に対するフォローアップの仕組みを作らないと、教育研修で周知を行なっている事項に関しては事故が再発することになる。

 一方、予防処置においては、想像力を働かせ、普段から問題意識を持ち、ちょっとした状況の変化や環境の変化が起こった場合でも問題が顕在化する可能性は無いか、また、今までは「残存(残留)リスク」として容認してきたが、新しい技術が出てきたので、それを適用して「残存(残留)リスク」を減らせないか、等々を考えてゆくことである。
 この中で、所謂、事故の兆候としての「インシデント」も採り上げられるべきである。
 また、是正処置を実施した項目の「水平展開」も予防処置の一種として考えることが必要である。
 水平展開とは、是正処置を実施した項目と類似の項目において予防処置を実施したり、是正処置を実施した部署以外の他の部署でもそれを予防処置として実施することである。
 上記でも分かるように、是正処置も予防処置も改善に結びつくものであることを忘れず、積極的な取組みを行うことが必要である。

 上記のような予備知識のもとで、JIS3.8で要求される是正処置及び予防処置に関する規定について考えてみる。

m)是正処置及び予防処置に関する規定
 "JIS3.8是正処置及び予防処置"に規定された事項である。
 ISMS(ISO- 27001)、ISO-9001 、 14001等を実施している企業においては、それらのマネジメントシステムとして定められた"是正処置及び予防処置に関する規定"を持っていると思われる。
 JIS Q 15001においては、是正処置及び予防処置の対象は、個人情報の保護に対する問題点であるが、対象が異なるだけで、是正処置及び予防処置の実施の手順は同じであり、現在貴社が保有し、運用しているそれらの規定と整合を取って一体化しても良い。

 まず、是正処置を実施する切っ掛け(入り口)であるが、是正処置の対象としては、「内部監査において指摘された不適合」だけでなく、下記のような事項も含めることが必要である。
ま た、当然、法律やガイドラインの要求事項に適合していない、と言うような"システムの不適合"から、運用において決められたルールを守っていない、というような"運用における不適合"まで全て採り上げて行くことが大切である。
 また、顧客からの苦情があった場合、担当者は規定に定められた通りに処理を行なっていたが、規程が悪い、という場合も不適合として考えてゆくことが大切である。
 ・内部監査で発見された不適合
 ・日常の点検において発見された不適合
 ・日常の業務を実施する上で気がついた不適合
 ・顧客からの苦情
     外部機関による指摘

 次に、予防処置を実施する切っ掛けとしては、次のようなものが考えられる。
 ・世の中の事故事例
 ・発見されたインシデント
 ・顧客からの問合せ(苦情に発展する前の予防処置ができる)
 ・顧客からの要望
 ・リスク分析の見直し、残存(残留)リスクの見直し
 ・事業者の代表者の見直し(マネジメントレビュー)からのアウトプット
 ・改善の提案

J IS3.8では、上記のような事項が発見された場合に、次の手順で是正処置、予防処置を行なうことを求めている。
 a)不適合の内容を確認する。
 b)不適合の原因を特定し、是正処置及び予防処置を立案する。
 c)期限を定め、立案された処置を実施する。
 d)実施された是正処置及び予防処置の結果を記録する。
 e)実施された是正処置及び予防処置の有効性をレビューする。

 是正処置・予防処置を実施する上において、大きな役割を担うのは、「PMSの実施及び運用に関する責任及び権限を持つ」「個人情報保護管理者」である。
 ある見方をすれば、不適合が指摘されるのは、「PMSの実施及び運用に責任及び権限を与えられた"個人情報保護管理者"その責任を十分に果たしていないため」ということもできる。
 「個人情報保護管理者」がPMSの実施及び運用における責任を果たして行けるように、「個人情報保護管理者」が率先して、責任を持って是正処置・予防処置を進めて行かねばならない。

 さてここで、是正処置と予防処置を実施する上における責任と権限を考えるために、第22回に示した、PDCAの図を再度掲載する。
 以下に述べることを理解した上で、貴社としての考え方を纏めて、"是正処置及び予防処置に関する規定"として纏めてゆくことが望ましい。
 先ず、プライバシーマークにおいては、予防処置と是正処置の実施も、PDCAのルーチンと同じであるとしていることに留意する必要が有る。
    pm-22-1.gif

 PDCAのルーチンに是正処置と予防処置の改善の手順を乗せて考えると、先ず、是正処置と予防処置は何らかの不適合の発見、または不適合が起こる可能性が提起されるところから始まるが、検討が開始されるのは、A(Act)の段階において開始されることになる。
 すなわち、何らかの不適合が発見された場合や、不適合が起こる可能性が提起された場合は、それがA(Act)のインプットとなる。
 内部監査における℃(Check)の結果がA(Act)のインプットとなるのと同じ位置づけである。
 第22回でも示したように、A(Act)は経営者が直接に見る形になっている。
 そこで、是正処置と予防処置においても、"不適合(発生した不適合や発生する可能性のある不適合)は代表者(経営者)に報告され承認される"ことが必要になる。

 次に、発生した不適合や発生する可能性のある不適合に対する原因が特定され、原因を取り除くための是正処置や予防処置の実施案を立案することになる。
 実施案を立案の前に、原因の特定においては、前述の如く、極力、不適合が発生した(又は発生する可能性のある)根本原因を探り出すことが重要であり、根本原因を取り除くための是正処置や予防処置の実施案を立案した上で、実施して行く。
 "パソコンのIDやPWが設定されていない"との指摘を受けて、"ID、PWを設定しました"と言うのは、不適合の事象の修正であり、是正ではない。
 是正とは"パソコンのIDやPWが設定されなかった" 根本原因を探り出し、それを取り除き是正を行なうことである。
 手順書の中では、このような根本原因の追究が行なわれるように、手順を明確に定めておくことが望まれる。
 次に、このような根本原因を取り除くための是正処置や予防処置の立案を行なう。
 是正処置や予防処置の立案は、PMSの実施及び運用に関する責任及び権限を与えられた「個人情報保護管理者」の下で、通常は対象となった部門が実施することになる。
 立案された是正処置や予防処置の案の承認であるが、是正処置や予防処置を立案することは、計画P(Plan)に相当しており、計画P(Plan) は代表者(経営者)が直接に関与する事項になっていることから、"立案された是正処置及び予防処置の案は、代表者(経営者)の承認を受ける"ことが必要になる。

 代表者(経営者)から承認された是正処置及び予防処置の実施案を実施(D(Do))に移すのは、PMSの実施及び運用に関する責任及び権限を与えられた"個人情報保護管理者"の下で、通常は対象となる部門が実施することになる。
 "個人情報保護管理者"はPMSの実施に関する責任及び権限を与えられているので、実施された是正処置及び予防処置の結果を記録する責任も持っている。

 最後に、実施された是正処置及び予防処置の有効性のレビューであるが、これは、実施された是正処置により本当に根本原因を取り除くことができ、再発防止になっているか(有効性)を確認(レビュー)するものであり、また、予防処置においても、環境や条件が変化し、想定した事態に陥った場合でも事故が発生していないことを確認するなどして、実施した処置の有効性を確認するものである。
 このように、計画が適切に実施・運用され、計画したことが有効であったことを確認するのはC(Check)の位置づけであり、PDCAにおける内部監査に相当するが、監査以外で発見された不適合や、予防措置における"起こる可能性のある不適合"に対する是正処置及び予防処置の活動に関しては、監査責任者は関与していないので、代表者(経営者)が監査責任者に有効性のレビューを指示して実施させることになる。
 また"実施された是正処置及び予防処置の有効性のレビュー"は是正処置及び予防処置を実施した後で、即確認ができるものではなく、また、その内容により、確認ができるまでかなりの月日を要する場合もあるので、そのような条件も勘案した規定(手順)とすべきであろう。
 改善活動であるので、発見された不適合、是正処置及び予防処置の案、や是正処置や予防処置の有効性をレビューした結果等は、代表者の承認を得る必要がある。

 しかし、"代表者の承認を得る"というのは、企業の規模にもよるが、実務的には非常に難しい場合があるし、また、上記のような"パソコンのIDやPWが設定されていない"という不適合に対しても"代表者の承認を得る"必要があるか、という疑問が湧く。
 上記のような理論的な考え方を適用し、"代表者の承認を得なければならない"のは、企業としてのPDCAを回すような大きな不適合に対してであり、経営システムに関わる問題(例えば組織を改定しなければ解決しない、大きな予算措置を必要とする、当社だけでなく、顧客の協力を得たり、取引先も巻き込んだ改善が必要である・・・)に対してであろうと考える。
(企業としてのPDCAを回す件に関しては、次回に述べたいと思う)
 第22回に示したとおり、JISの要求事項には無いが、「個人情報保護管理者が個人情報保護マネジメントシステムの実施及び運用における責任と権限を果たす上におけるツール」としての「内部監査」や「是正処置や予防処置」という位置づけも当然考えられる。
 日常的な、記録が作成されているか、施錠管理がされているか、パスワードは設定されているか、等々の、決め事(ルール)が守られていなかった場合等の不適合に対する是正処置は、"個人情報保護管理者が実施及び運用における責任を果たす上において、自らの責任と権限の範囲で実施する是正処置"として位置づけて、代表者(経営者)に代わって個人情報保護管理者がイニシアチブを取って是正処置や予防処置を実施することを考えることも、企業の運営の実態を考えると必要なことである。
 また、場合によっては、当初の権限は上位者が持っているが、権限の委譲という形で、権限を下ろして実施する場合もある。
 上記のような事項を検討し、貴社の考え方を明確にして、是正処置及び予防処置に関する規定を作成すると良い。
 企業活動においては、是正処置や予防処置だけでなく、PDCAを適用しての改善活動には、組織全体に渡る大きなPDCAから、担当者毎の作業単位レベルの小さいPDCAまで、また企業の運営の根幹に関わるようなものから、日常業務における伝票一枚の処理に仕方に関する改善まで、規模や内容も千差万別に存在することを理解し、それぞれのレベルにおける改善活動の手順や責任と権限を明確にしておくことも必要である。
 是正処置及び予防処置は改善のツールであることを認識し、また是正処置及び予防処置に内在するPDCAも認識して、これを活用することが企業を発展させる上で欠かせないものであることを考え、貴社の経営にマッチした是正処置及び予防処置の仕組みを構築すると良い。

          (中小企業診断士 中村 隆昭)