ISO・Pマーク(プライバシーマーク)認証お役立ちコラム
2019年6月23日
今回はISO27001:2013(ISMS)の「10.2 継続的改善」について書かせていただきます。
継続的改善、規格自体ではなんといっている?
この継続的改善ですが、なんとなくイメージできるのは字のごとく継続的に改善していくことなんだろうなーということですね。
では、規格自体ではなんといっているのでしょうか?
10.2 継続的改善
組織は,ISMSの適切性、妥当性及び有効性を継続的に改善しなければならない。(JIS Q 27001:2014 10.2 継続的改善 より引用)
ふむふむ、ISMSの適切性妥当性及び有効性を継続的に改善すればいいんですね!!
ふわっとしすぎです。ふわふわ時間ですね。相変わらずISO(アイエスオー)の規格の条文は分かりづらいですね。もしかしたら理解できない私の頭が残念なだけかもしれませんが・・・
それでは、規格が言っている継続的改善とはどういう意味なのでしょう。
ISO27000:2013(ISMS)で定義されている継続的改善は下記となります。
2.15 継続的改善
パフォーマンス(2.59)を向上するために繰り返し行われる活動。(JIS Q 27001:2014 2 用語及び定義 より引用)
新たにパフォーマンスなんて言葉も出てきてしまいました。ついでに一緒に調べてみましょう。
2.59 パフォーマンス
測定可能な結果。(JIS Q 27001:2014 2 用語及び定義 より引用)
なるほどなるほど・・・上記を組み合わせてみると、「継続的改善」とは、『測定可能な結果を向上するために繰り返し行われる活動』となるようです。
つまり、ISO27001:2013(ISMS)が言っている継続的改善とは、「組織は,ISMSの適切性、妥当性及び有効性について、測定可能な結果を向上するために繰り返し行われる活動しなければならない。」となります。
ISO27001:2013(ISMS)では、継続的に改善するものは測定可能なものでないといけないということですね。
でもまだまだ分かりづらいですね。
細かく見ていきましょう。
まず、適切性という言葉からです。つまり、ISO27001:2013(ISMS)がそれぞれの組織、会社の方針や目的にそった状態になっているか、適切か?というものです。
ISO27001:2013(ISMS)を構築しても、組織の方針や目的に当てはまっていなければ意味がありません。
例えば、10人規模の組織で1000人規模のマネジメントシステムを構築し運用していては、その組織に適していないマネジメントシステムと言えます。
次は妥当性についてです。
妥当性については、ISO27001:2013(ISMS)の要求事項を組織のマネジメントシステムが満たしているかなどがあげられます。極端ですが、内部監査やマネジメントレビューのルールがない、文書化した情報を保持していないなどです。
それでは、最後に有効性についてです。有効性とは、計画した活動が実行され、計画した結果がどれくらい達成したか、ということです。
例えば、情報セキュリティ目的を達成するために計画した行動目標がどれくらい達成できたのか、情報セキュリティリスクアセスメントの結果、リスクへの対応を行うと決めた活動がどれくらい達成できたのか、ということになります。
また、「10.1 不適合及び是正処置」で実施するような、不適合が減少するようなことなども有効性の改善に当たります。
上記の適切性、妥当性、有効性をそれぞれの視点でISO27001:2013(ISMS)の改善を行っていくことが継続的改善となります。
最後に
どうでしたでしょうか?
ISO27001:2013(ISMS)の10.2 継続的改善についてご理解いただけましたでしょうか。
いろいろ書きすぎて分かりづらくなっているかもしれません。
佐藤流に簡単に言ってしまうと、継続的改善とは、『継続的に組織(会社など)の仕組みを良くしてくために行っていく活動』ということでしょうか。簡単に書きすぎかもですね。
継続的改善以外にも、ISO27001:2013(ISMS)について不明な点がございましたら、弊社コンサルタントにお気軽にお問い合わせください。佐藤以上に適切な説明をしてくれる人間が多数いますので!!
それでは、最後までご覧いただきありがとうございました。梅雨に負けないように頑張りましょう!!
\ 便利なWEBお問い合わせフォームはこちら /
WEBお問い合わせ
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
お電話受付:平日9:30〜18:30
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!お問合せは
こちらから -
全国どこでもzoomで対応!
気軽にご相談ください!相談予約は
こちらから
新規取得・運用別に
役立つ資料をお届けします
新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

ISO・Pマーク(プライバシーマーク)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ