ISO27001（ISMS）を取得している企業はマネジメントシステムを会社内で構築・運用する必要があり、「PDCAサイクル」に沿って進めていきます。Plan・Do・Check・Actを順番に回していくことで次の運用へとつながる仕組みになっています。本記事では、ISO27001のPDCAサイクルの概要と上手くサイクルを回すコツを解説します。

１．PDCAサイクルとは

PDCAサイクルとは、マネジメントシステムの継続的改善に作用するものです。
Planとは計画の作成、Doとは実施、Checkとは点検、Actとは改善を意味し、これらの頭文字からPDCAサイクルと呼ばれています。

２．なぜPDCAサイクルが大切なのか？

マネジメントシステムは事業活動をより良くするためのものであり、PDCAサイクルはその活動基盤となるからです。
同じ失敗を繰り返さないため、あるいは今のやり方や環境を改善し続けるためには、PDCAサイクルを回して継続的に実行することが必要です。
ISO27001の規格要求事項も、PDCAサイクルを考慮して策定されています。

３．ISO27001のPDCAサイクルでやること

ISO27001におけるPDCAサイクルは以下の通りです。
【P・・・リスクアセスメント・リスク対応計画、リスク・機会への取り組み、目標設定・管理】
組織が管理している情報が何か、どう守る・活用するのか、ISO27001としての目標は何かを設定し、計画します。
【D・・・教育、事業継続計画、計画に対する運用】
組織のルールの理解、定めた計画を運用すること、また緊急事態があった場合に実際に対応できるかどうかの訓練を実施します。
ISMS(ISO27001)の教育については、こちらの記事で詳しく説明しております。
【C・・・内部監査、マネジメントレビュー】
これまでの運用を自分たちで監査すること、トップマネジメントでこれまでの運用の結果や内容について報告をします。
【A・・・是正処置、マネジメントレビューのアウトプット】
クレームやインシデントなどの不適合が発生した場合は是正処置を行うこと、またトップマネジメントで出た指示事項は、実行するために次の運用の計画に落とし込みます。

４．ISO27001のPDCAサイクルをうまく回すためには

ISO27001の話に限らず、他のISOの規格でもPDCAサイクルがうまく回らないというケースは少なくありません。
その原因は主に2つあります。

原因の1つとしては、いきなりDを始めてしまってPが置き去りになっていることです。
急いで成果を出したいからといってPが置き去りになってしまっては、計画の段階で設定する目標が見えないまま動いてしまっていることになります。

2つ目の原因としては、P→D→Cまでは実行してAが十分でないことです。
特に目標達成の場合に分析や検証をしないところも多くありますが、達成した場合でもそうでない場合でも分析や検証は必要です。
また、結果だけでなく、P・D・Cの各プロセスごとに、施策が妥当だったかどうかを検証することも大事なことです。

Actを実行することによって次のPDCAサイクルにつながる材料を見つけましょう。

５． まとめ

PDCAサイクルを回すことでISO27001を継続的に改善し、スパイラルアップすることができます。
PDCAサイクルを前提で規格要求事項も構成されていますので、確実に実施していくことが必要です。
特にP（計画）やA（改善）を怠らず、もちろんD（実施）やC（点検）も十分に行い、次の運用に向けて改善することでより良い成果を臨めます。

ISMS新規認証取得・運用について詳しく知りたい方はコチラ

• 月額4万で全ての作業をサポート！新規認証コンサルティング
• 審査認証率100%！運用・更新コンサルティング