審査員は、自分の知っていることに関して、コメントしたくなる - ISO・規格認証全般 - 専門家プロファイル

人見 隆之
ISOマネジメント研究所 所長
ISOコンサルタント

注目の専門家コラムランキングRSS

対象:ISO・規格認証

人見 隆之
人見 隆之
(ISOコンサルタント)
人見 隆之
人見 隆之
(ISOコンサルタント)
人見 隆之
人見 隆之
(ISOコンサルタント)
人見 隆之
(ISOコンサルタント)
人見 隆之
(ISOコンサルタント)

閲覧数順 2016年12月10日更新

専門家の皆様へ 専門家プロファイルでは、さまざまなジャンルの専門家を募集しています。
出展をご検討の方はお気軽にご請求ください。

審査員は、自分の知っていることに関して、コメントしたくなる

- good

  1. 法人・ビジネス
  2. ISO・規格認証
  3. ISO・規格認証全般

最近、ISO27001(情報セキュリティ)の審査に同席させて頂くことが多いのですが、

同席した審査で、こんな指摘をうけました。

 

「社員の使用しているPCの中に、圧縮・解凍ソフトとして、Lhaplusが使用されている。

このソフトにはパスワード解析ツールも含まれているため、不正使用される危険性が

考えられます。よって、改善の機会(OFI)の指摘」

 

「使用しているPCのデスクトップ上の“ごみ箱”に古いファイルが複数残されており、

盗み見の可能性がある、というので、これも審査報告書上でのコメント事項。

(その会社のルールでは、“ごみ箱”について、何もふれていませんが、審査員の

基準(公開情報として)としてセキュリティ上問題があるから)」という指摘です。

 

このように、

マネジメントの仕組みの観点からではなく、審査員が自分の知っていることに関して、

どうしてもコメントしたくなるような事例をしばしば見かけます。

 

これは、情報セキュリティの審査だけに限らず、品質や環境の審査でも表れるようです。

 

審査の指摘において、ごみ箱に古いファイルが複数残されていた、ぜい弱性の弱い

ソフトウェアが使用されていた、というのが、指摘する材料(エビデンス)として、

出てくるのなら、よくわかるのですが、事実の背景も考慮されず、それが、そのまま

指摘として出て来るというのは、マネジメントシステムの認証審査として、違和感を

感じます。

 

受審企業には、具体的な個別事例の指摘はわかりやすいのですが、単にやれているのか、

いないのかの審査であれば、ISOは単にうるさいものという誤解が生じる可能性があります。

 

審査員の指摘をそのまま受け入れる企業は多いと思いますが、ちゃんとした理由があって

納得がいかない指摘に対しては、審査員のいいなりにならないことが必要です。あくまでも

審査は合議が原則です。

 

対応策として、まずは、審査機関(該当審査員ではなく)に、営業担当を通して問い合わせを

することです。このような審査を受けた、審査機関としての見解を教えてほしい、

という要望を伝えることです。この種の要望は、審査機関としても強く印象に残り、

また内部の審査員どうしの引継ぎ情報にも載るため、よい方向にいくケースが多いようです。

 

ISOの効果的な運用およびISOの審査を有意義なものとするためには、

自社および審査機関(審査員)との連携は、ぜひとも必要なことです。

 

このコラムに類似したコラム

ISO27001における、情報セキュリティリスクの想定 人見 隆之 - ISOコンサルタント(2011/04/02 10:08)

ISO27001は情報セキュリティ対策のツール 人見 隆之 - ISOコンサルタント(2010/12/01 11:08)

審査員のご機嫌を取るISOはやめなければいけない 人見 隆之 - ISOコンサルタント(2013/06/30 21:06)

情報セキュリティは、業務改善とも大いに関係してくる 人見 隆之 - ISOコンサルタント(2013/05/15 10:11)

審査費用が安いだけのISOの審査機関移転は、やめた方がよい 人見 隆之 - ISOコンサルタント(2012/03/13 14:35)