メインコンテンツへスキップ
サインイン

検索

SecureNavi ヘルプページ

35,36. 不適合があった場合は、是正処置表を作成する(Pマーク)

  • 更新

PMS運用点検、内部監査、マネジメントレビュー等で発見された「不適合」は、是正を行う必要があります。不適合があれば、是正処置表を発行し、是正処置を行いましょう。

規格対応箇所

J.7.1 不適合及び是正処置
J.7.2 継続的改善

用語の説明

不適合

  • 事業者が規定した要求事項、及び指針の要求事項を満たしていない状態
  • 不適合が発見される場面
    • J.4.4.2 緊急事態への準備
    • J.6.1 監視、測定、分析及び評価
    • J.6.2 内部監査
    • J.6.3 マネジメントレビュー
    • J.11.1 苦情及び相談への対応
    • 個人情報の取り扱いに関する事故(漏えい等)
    • 外部機関による審査

是正処置

  • 不適合が明らかになった場合に、その不適合の原因を究明し、再発防止を行うもの

要求されていること

  • 不適合が発見された場合、是正処置をとる前に「修正(不適合状態を適合状態に戻す処置)」を行い、不適合によって起こった結果に対処する
  • 不適合の原因を除去するための処置の検討する。また、現在実施している安全管理措置や運用方法が、その原因と類似の不適合を発生させる可能性などを検討(検証)する
  • 評価結果に基づき、是正処置を計画し、計画された処置を実施する。原因を除去するための処置を直ちにとる必要がないと判断した場合であっても、不適合の内容に相応した期限を設定することが望ましい
  • 計画に基づいて実施した全ての是正処置が有効であるかを調査、分析、評価する。必要あればPMSを改善する
  • 実施結果を文書化した情報(記録)を作成する

やること

改善の画面から、不適合 or 改善の機会 or インシデントを追加してください。

その後、原因、是正処置、是正処置結果の有効性確認を、登録を進めていきましょう。

 

有効性確認までが完了したら、トップマネジメントへ依頼して承認してもらいましょう。

具体的な登録の流れ

1.カテゴリを選択する

発見された事象が、以下のどのカテゴリに該当するかを決定します。内部監査や外部審査で発生した「不適合」や「改善の機会(観察事項)」を登録する場合は、そのまま「不適合」「改善の機会」を選択し、登録を行ってください。

カテゴリ 具体的な事象の例
不適合 規格や社内ルールが守られていない状態
改善の機会 インシデントにつながるおそれのある状態や要因の発見や、普段気に留めていなかった作業の中に、思いもよらぬ危険が常態化していたことの発見など
※審査機関によっては「観察事項」と呼ばれることもあります
インシデント 情報セキュリティが喪失する(あるいはその恐れのある)事象

2. 基本事項を登録する

事象の基本事項を登録します。

項目 説明
識別番号(任意) 後で参照しやすい番号
発見元(任意) 内部監査や外部審査で発見したものであれば、監査との紐付けを行う
インシデントレベル Low / Middle / High から選択します。
この項目は、「インシデントレベルの設定」から変更できます。
概要 タイトル
発生日 事象が発生した日や、状態を発見した日
発生部門 事象が発生した部門や、危険が存在していた部門
時系列・修正処置 事象の発生に至った周辺事情と、すぐに実施した応急処置(修正処置)を、時間を添えて記載

3. 原因を登録する

事象が発生した原因を登録します。原因は、表面上の原因ではなく「根本原因」を登録することが重要です。短絡的に思いつく原因ではなく、その事象が起こった根本の原因を登録するようにしましょう。

根本原因を特定するにはどうすれば良いですか?

根本原因は、「なぜ?」を繰り返すことで特定できることがあります。ここでは、「社内ルールでパスワードの桁数は10桁と定められているにも関わらず、PCのログインパスワードが8桁だった」という不適合を例に考えてみます。

パスワードが8桁だった →なぜ?→ 社内ルールを知らなかった →なぜ?→ 社内ルールを全社会議で周知したときに、当該社員が欠席していた

また、アプローチを変えることで、以下のような考え方も可能です。なぜなぜ分析を行うことで、原因が複数発見されることもあります。

パスワードが8桁だった →なぜ?→ 10桁未満でもパスワードが設定できるようになっていた →なぜ?→ 端末管理システムのパスワード管理ポリシーが未適用だった →なぜ?→ 共有PCを端末管理システムに登録するのを忘れていた

予算や社内リソースの都合で、その原因に対して是正処置(再発防止策)を行うことが難しい場合は、「是正処理は必要ないと判断する」として登録することもできます。

複数の原因が組み合わさっている場合は、分割して記載してください。それにより、個々の原因に対して、それぞれの是正処置(再発防止策)を登録できます。また、担当者を分割することで、スピーディに対応に取り組むこともできます。

4. 是正処置と有効性確認を登録する

原因を特定したら、その原因を除去するための「是正処置(再発防止策)」と、その是正処置が有効に機能しているかどうかを確認する「有効性確認」を登録します。有効性確認は、是正処置が行われていから一定期間後(目安として数ヶ月以上後)に実施することが一般的です。

是正処置はどのように考えるべきでしょうか?

是正処置は、「気をつける」「注意して行う」といった、個人の意識の問題にせず、できるだけ仕組みの問題として考えるようにしましょう。

具体的には、以下のような取り組みを検討してみましょう。

  • チェックリストを作る
  • 自動化・システム化する
  • 外部委託する

有効性確認とは何でしょうか?

有効性確認とは、「是正処置が有効に機能していることの確認」を意味します。是正処置は実施するだけではなく、実施したあとに、その原因が本当に除去できているかどうかを確認する事が必要です。

是正処置の例としては、以下のような取り組みがあります。

  • 3ヶ月後に、同じ不適合が発生していないことを、インタビューによって確認する
  • 半年後に、同じインシデントが発生していないことを、インシデントの登録状況から確認する

よくある質問

情報漏洩が発生した場合の記録はどこに保管しますか?

本画面の「インシデント」として登録ください。審査機関に提出する事故報告書は、審査機関ごとにフォーマットが指定されていますので以下をご参考ください。