2012年7月〜9月 継続的改善活動のご報告

7月に内部監査を実施しました。内部監査の結果、マイナー不適合：6件、観察事項（オブザベーション）：13件となり、そのうちISO9001に関係する指摘は16件でした。

2011年度からの課題である品質目標の周知がされていないという指摘を再度受けましたので、是正処置をしっかりと進めていきます。

8月にISO9001/ISO27001統合継続審査を受審しました。7月にオフィスが移転しましたので、移転審査も同時に行なわれました。セキュリティ面での変更はありましたが、品質に影響のある変更はありませんでした。

審査の結果、観察事項（改善を検討 またはGoodPoint！）を28件いただきました。メジャー、マイナーの指摘はなく、無事認証を継続することができました。

観察事項の指摘の一つとして、内部監査の改善について提示を受けました。これについては今回の内部監査でも運用方法などに問題を感じていたので、これを機会に改善を行なう予定です。スムーズで効果的な内部監査の実施を目指します。

7月に内部監査を行ないました。オフィス移転後初の内部監査ということもあり、入退室に関する手順が規定され適切に運用されているかという点や、情報の格納場所が変更になり、機密として保管すべき情報が誰にでも手に取りやすい状態で管理されていないかなど、物理的な変更部分について重点的に確認を行ないました。

事前にオフィス移転により想定されるリスクを洗い出していたこともあり、この内部監査で改善すべき点として見つかったものは、「ゲスト用ネックストラップの貸し出し担当部門が未決定である」という点のみで、おおむね適切に管理・運用されていることが確認できました。

ネックストラップの管理についてもその後担当部門を決定し、現在は適切な運用がなされています。

8月に認証継続審査を受審しました。審査結果は観察事項12件（うち2件はGood Point!）で、認証の継続が決まりました。

毎年行なわれるこの認証継続（更新）審査ですが、今回も3日間の審査を通して多くの指摘をいただきました。主要なものとしては以下の2つです。

これらの指摘について、実際の運用ベースでは担当者が情報を把握し、必要な権限者の承認を得たうえで対応を進めているのですが、計画・承認・実装・検証・記録などの手順が明確には規定されておらず、各担当者および担当部門の判断にゆだねられているのが現状ですので、年内に手順を確立できるよう検討を進めていきたいと思います。

7月から9月にかけて、「個人情報の取り扱いに対する合意書」の運用から「個人情報の取り扱いに対する通知書」の運用に切り替えるための準備を進めてまいりました。

（「個人情報の取り扱いに対する合意書」は、お客様と当該プロジェクトにおける個人情報の取り扱い方法を取り決めるための書面で、「個人情報の取り扱いに対する通知書」は、当該プロジェクトにおける当社の個人情報管理体制を通知するための書面です。この2つの書面は当社が独自に作成したものです。）

これまで当社では約7年にわたり「個人情報の取り扱いに対する合意書」の運用を行なってきました。

その背景には当社がJIS Q 15001の認証を取得した2005年当時は、個人情報保護法が施行されたばかりで個人情報の取り扱い方法を定めているお客様が少ないという状況がありました。そのため、当社から個人情報の管理方法について積極的にアプローチした方がより安全に個人情報を取り扱うことができ、合意書はリスク回避と情報把握のツールとして非常に効果的でした。

しかし幸いなことに、月日がたつごとに個人情報保護法は浸透し、プライバシーマーク認証取得企業も2005年当時の5倍以上に増えていきました。その結果、当社から合意書の締結を求めずとも、個人情報を委託する事業者の責任として、お客様側から個人情報の取り扱いに対する取り決めをしてくださるようになり、次第に「個人情報の取り扱いに対する合意書」を利用するケースも少なくなりました。

このような時代背景を受け、10月からは合意書の運用を廃止し、当社の管理体制を通知書としてお伝えするのみの運用へと変更することになりました。運用変更後も「個人情報の取り扱いに対する合意書」を利用するケースはあるかと思いますが、そこは臨機応変に対応し、お客様と共によりよい個人情報の管理方法を策定していきたいと思います。