Scribble at 2023-11-08 12:48:57 Last modified: 2023-11-08 12:51:58

ただいま、今年の９月に更新された JIS Q 15001:2023 に準拠したマネジメント・システムに必要な、社内規程や帳票類の更新を続けている。実務家であればご承知のように、プライバシーマークの取得や更新にあたって受ける認証機関の審査では、現地審査の日取りを決めたら、それまでのあいだに先行して文書審査という手続きを経て、社内規程や帳票類のフォーマットが規格に沿っているかどうかを確認してもらう。

今回のように、現地審査の日程を決めた後で産業規格が更新される場合もあって、こういうときは現行の社内規程などが新しい規格に対応していないのは当たり前だから、それなりに多くの指摘が文書審査の結果として戻ってくる。もちろん対応には一定の猶予があって、現地審査までに更新する義務はないが、どのみち対応は必要なので、僕は現地審査までに可能な限り対応してきた。今回は規格が更新されてから文書審査の結果が返ってきて間もないため、やや対応すべき点が多い。こういうのは、プライバシーマークを維持するだけの運用実績があってもなくても規格が変わってしまうのだから、経験があるから対応するべき点が少なくなるというものでもない。寧ろ、多かろうと少なかろうと対応は継続しなくてはいけないし、マネジメント・システムは向上し続けなくてはいけないということだけがポイントだと心得た方がいい。

それから、今回のようにマネジメント・システムが準拠するべき規格に更新があると、たとえば内部監査も手間が増える。なぜなら、これも実務家なら常識として知っているように、プライバシーマークの内部監査には「合致監査（適合性監査）」と「運用監査」という二種類の監査があって、合致監査は基準にする規格や法令が変わらなければスキップできるという特例があるためだ。なので、個人情報保護法という法令は2022年4月に改正されたが、マネジメント・システムが直に参照する JIS は更新されなかったので、昨年度の合致監査はスキップしている。こういうわけで、本年度は JIS が更新されているために、新しいチェック・シートを作って新しい基準で合致監査を行う必要があるというわけだ。