The key to resolving management risks lies in “on-site work (technical and technical skills).” “Continuous construction of management foundations” and “foundation for sustainable growth” lie in document management.
経営リスク解決のヒントは「現場での仕事(事技・技能)」にあります。「経営基盤の継続的な構築」と「持続的成長の基盤」は文書管理にあると位置づけ、AI(人工頭脳、電脳)をワトソンに見立てて、ISOマネジメントシステムにおける文書管理を振り返ってみましょう。
文書管理の振り返り
Table of Contents(コンテンツ目次)
文書要求(文書化)という言葉を知っている人は、10年前に比べて増えていると思います。でも、日常生活で監査(Audit)文書に触れる機会はほとんどありません。文書管理はISOで求められるだけでなく、コミュニケーションを取る上でも欠かせない大事な要件です。
今日は文書管理について振り返ってみます。
ISOマネジメントシステムにおける文書化された情報の要求事項
ISOの主要なマネジメントシステム規格(情報セキュリティ、労働安全衛生、品質、環境など)では、「文書化された情報(Documented Information)」として、文書や記録の管理に関する共通の要求事項が定められています。
情報セキュリティ(ISO 27001)、労働安全衛生(ISO 45001)、環境(ISO 14001)、そして基本となる品質(ISO 9001)に共通する文書管理の中心的な要件は、すべて文書化された情報としてまとめられています。
-
共通する主要な文書管理の条項(箇条 7.5)
文書管理の要求事項は、2012年以降に発行された共通構造(HLS: High Level Structure)を採用しており、ISO 45001、ISO 9001、ISO 14001、ISO 27001などのマネジメントシステム規格では、箇条7に共通して文書管理の要求があり、その中でも7.5が該当します。(どの規格も7.5に記載されています)文書化は情報管理の基本となる重要な要素です。
ISO 45001ー>ISO 9001ー>ISO 1400ー>ISO 27001へとGIF(ジフ)9秒の短いアニメーション画像です。次の画像ちょっと待ってくださいネ。
1.1. 作成及び更新(7.5.2)
文書を作成や更新するときは、次のポイントをしっかり押さえる必要があります。
- 適切な識別及び記述:
- 例:タイトル、日付、作成者、参照番号(版数) などを明確にすること。
- 適切な形式及び媒体:
- 例:言語、ソフトウェアの版、図表、紙または電子媒体などを適切に定めること。
- 適切性及び妥当性に関する適切なレビュー及び承認:
- 文書が正しい内容で、目的に適しているかを評価し、承認を得ること。
1.2. 文書化された情報の管理(7.5.3)
マネジメントシステムに必要な文書や記録などの文書化された情報は、必要なときに必要な場所で誰でも入手できる状態にしておくこと。また、機密性の漏えいや不適切な使用、完全性の損失などからしっかり保護されていること。この2点を確実に守るよう管理する必要があります。
文書管理を行うにあたり、組織には次のような取り組みが必要です。またISO要求事項です。
| 管理事項 | 詳細 |
| 配付、アクセス、検索及び利用 | 文書が利用者に正しく行き渡り、簡単に見つけ出し、使用できること。 |
| 保管及び保存 | 読みやすさが保たれることを含む。劣化、損傷を防ぎ、定められた期間保存すること。 |
| 変更の管理 | 版(バージョン) の管理を行い、変更箇所や改訂履歴を明確にすること。 |
| 保持及び廃棄 | 保持期間(法律や顧客要求などに基づく)を設定し、期間後の適切な廃棄方法を定めること。 |
-
各規格固有の文書化が必要な情報(例)
上記の共通条項に加え、各ISO規格には、そのマネジメントシステムの目的に応じて、個別に文書化(維持または保持)が必須とされる情報があります。(維持は見直しやレビュー、改訂を行い、保持は記録や事実証拠として改ざんや修正を行わないことを意味します。)
2.1. 情報セキュリティマネジメントシステム (ISO 27001)
| 要求事項 | 文書化された情報(例) |
| 情報セキュリティの方針 | 情報セキュリティの基本方針、規則、ガイドライン |
| リスクアセスメント・対応 | リスク特定、分析、評価の方法論、リスクアセスメント報告書、リスク対応計画 |
| 適用宣言書(SoA) | 採用した管理策(附属書A)とその理由を示した文書:情報セキュリティマネジメントシステム(ISMS)規格であるISO/IEC 27001の附属書Aに記載された管理策のうち、自社が「適用する項目」と「適用しない項目」および「適用しない理由」を明記した文書 |
| 運用に関する記録 | アクセス記録、教育訓練の記録、委託先管理台帳など |
2.2. 労働安全衛生マネジメントシステム (ISO 45001)
| 要求事項 | 文書化された情報(例) |
| 労働安全衛生方針 | 組織のOH&Sに関するコミットメントを示す方針 |
| 危険源の特定及びリスクの評価 | 危険源の特定とOH&Sリスクを評価した方法と結果 |
| 法的及びその他の要求事項 | 適用される法令や規制、その他の要求事項のリスト |
| 緊急事態への準備及び対応 | 緊急事態発生時の手順書や計画(例:事故、災害時の対応) |
2.3. 環境マネジメントシステム (ISO 14001)
| 要求事項 | 文書化された情報(例) |
| 環境方針 | 組織の環境パフォーマンスに関するコミットメントを示す方針 |
| 環境側面の決定 | 著しい環境側面を決定するために用いた基準と、その結果(著しい環境側面) |
| 順守義務 | 適用される環境関連の法令や規制、その他の順守義務のリスト |
| 環境目標 | 環境目標及びそれを達成するための計画 |
これらは、単に紙の書類を管理するだけでなく、組織の業務を標準化し、必要な情報がきちんと伝わって活用され、さらに守られている状態を保つための仕組みです。
ISOマネジメントシステム規格の文書化情報に関する中核となる条項
上記の各ISOマネジメントシステム規格における文書化情報の中核条項と、その他の主要な要求条項を記載します。
ISO規格は2012年以降に発行された共通構造(HLS: High Level Structure)を採用しており、各条項が統一されています。文書化情報に関する主要な要求事項は、すべて箇条7.5にまとめられています。
ISO規格における文書化要求(Document Requirements)
| 規格名 | マネジメントシステムの目的 | 文書化された情報の中核的な管理条項 | 固有の文書化要求の主な条項 |
| ISO 9001:2015 | 品質 | 7.5 (文書化された情報) | 4.3 (適用範囲), 6.2 (品質目標), 8.2.3 (製品・サービスに関する要求事項のレビュー) など |
| ISO 14001:2015 | 環境 | 7.5 (文書化された情報) | 4.3 (適用範囲), 5.2 (環境方針), 6.1.2 (環境側面), 6.2 (環境目標) など |
| ISO 45001:2018 | 労働安全衛生 (OH&S) | 7.5 (文書化された情報) | 4.3 (適用範囲), 5.2 (OH&S方針), 6.1.2 (危険源の特定とリスクアセスメント) など |
| ISO 27001:2022 | 情報セキュリティ (ISMS) | 7.5 (文書化された情報) | 4.3 (適用範囲), 5.2 (情報セキュリティ方針), 6.1.3 (リスク対応), 6.1.3 e) (適用宣言書) など |
補足:
- ISO 9001:2008 までは、文書管理は4.2.3、記録管理は4.2.4と別々に扱われていましたが、2015年版以降は「文書化された情報」として7.5にまとめられています。
- 7.5は、文書(維持すべき文書化された情報)と記録(保持すべき文書化された情報)の両方の管理をカバーしています。文書は業務プロセスを定めた手順書や規定などで、必要に応じて修正しながら使います。一方、記録は活動の証拠となる品質目標の達成記録や、製品・サービスのレビュー結果、作業の証跡などで、通常は改ざんや書き換え、修正は行いませんし、されません。
アメリカの監査は日本より10年以上進んでいると言われており、その事例は学びの宝庫だと感じます。
文書化要求 (Document Requirements) とは?
ここで一度、文書化について振り返ってみましょう。
文書化要求(Document Requirements)とは、ISOマネジメントシステム規格(ISO 9001、14001、27001、45001など)において、組織がマネジメントシステムを適切に運用するために作成・保持が必須とされる文書や記録のことです。(これらの要求文書を作成・運用していない場合、認証は不合格となります)
簡単に言うと、「このマネジメントシステムを運用するために、いつ、誰が、何を、どのように行ったかを証拠として残しておく」という決まりのことです。
なぜ「文書化」が必要なのか?
ISO規格で文書化が求められる主な目的は次の3つです。これらは実務上とても重要です。
- 一貫性の確保(手順の維持):誰が行っても同じ結果が得られるよう、作業方法や手順を明確にするため。
- 証拠の提供(記録):要求事項が満たされたことや、計画通りに作業が実施されたことを証明するため。
- 伝達・共有:知識やルールを正確に組織全体で共有し、教育や訓練に役立てるため。
誰でもわかる事例:日常業務と文書化要求の対応
ISOの文書化要求を、日常的に行っている業務に置き換えて説明します。
| ISOの文書化要求のカテゴリ | 日常業務の例 | 文書化要求の機能 |
| 手順書・マニュアル(維持) | 新入社員向けの業務マニュアル | 一貫性の確保:誰でも同じ高品質な仕事ができるように、手順を明確に定めておく。 |
| 計画書(維持) | 出張・旅行の計画書 (日時、訪問先、目的など) | 方向性の明確化:何を目指し、どう進めるかを事前に定義し、ブレを防ぐ。 |
| 記録・エビデンス(保持) | 領収書、打ち合わせの議事録、健康診断の結果 | 証拠の提供:要求された活動が「確かに実行された」ことを客観的に証明する。 |
| ポリシー・方針書(維持) | 会社の行動規範や社是 | 方向づけ:組織としての基本的な価値観やルールを定めて、全員に周知する。 |
サイバーアタック・詐欺対策としての文書化事例 (ISO 27001)
情報セキュリティ(ISO 27001)は、増え続けるサイバー脅威から組織を守るために欠かせない存在です。サイバー攻撃や詐欺の事例を踏まえると、特に以下の文書化が重要になります。
- インシデント対応計画(迅速な対応)
- 例: 標的型攻撃による情報漏えいやランサムウェア感染の防止。
- 文書化要求: 「情報セキュリティインシデント対応手順書」内容: 攻撃を受けたときに「誰に連絡するか、何を隔離するか、どのチームが動くか」といった緊急対応の流れと役割をまとめて文書化しておく。そうすることで、混乱時の対応の遅れを防ぎ、被害をできるだけ小さく抑えられる。
- フフィッシング詐欺対策手順(ヒューマンエラー防止)
- 事例:従業員がフィッシングメールにだまされ、認証情報を入力してしまう。
- 文書化が必要な項目:「教育・訓練記録」と「アクセス制御手順書」全従業員がフィッシング訓練を受け、その結果(誰が引っかかったかや教育内容)を記録として残す。多要素認証(MFA)の利用を必須とし、その手順を文書化することで、認証情報が盗まれても不正利用されにくい仕組みを確保する。
継続的な改善を支える文書化
マネジメントシステムを形骸化させず、継続的な改善を進めるために役立つ文書化の一例です。
マネジメントレビュー記録(ISO共通)
目的: トップマネジメント(経営層)がマネジメントシステムの有効性を定期的に評価し、改善の意思決定を行うこと。
文書化要求: 「マネジメントレビュー議事録」
内容:
・レビューインプット(入力情報): 目標達成状況、内部監査結果、顧客フィードバック、市場変化など。
・レビューアウトプット(決定事項): 改善の必要性、目標修正、必要資源の提供などの経営判断。
この記録は、「トップがシステムに責任を持ち、実際に改善を指揮している」という重要なリーダーシップの証拠となります。単に会議を開くだけでなく、「何を決め、次に何をするか」を明確にすることで、システムが常に進化し続けることを保証します。
コラム:「文書化(Documentation)」の基本をふり返る
なぜ文書化が重要なのか、そして質の高い監査証跡(監査をした証拠記録類)について知ることが出来ます。
「良い文書化」のシンプルなキーワード「4つのC」。
- Clear(明確であること)
「他の人があなたの論理の流れをたどれる」「筋道を追って確認できる」ような明確さを持つこと。S + V + O + Why, What, When, Where, How, How much, With Who(m) がはっきり書かれていること。曖昧な副詞(「〜と思われる」「〜かもしれない」)や形容詞は避け、「きれい」と書く場合は比較対象を明示する。業界用語や専門用語の乱用は控える。監査の専門知識がない人でも、何が行われたのかが理解できるようにする。 - Concise(簡潔であること)
不要な詳細は書かない。「何ページも提出資料をコピーして報告書に添付し、ページ数を増やす」ようなことは避ける。文書、報告書の品質は「厚さ」や「添付資料の多さ」では決まらない。形式にこだわらず、重要な情報をわかりやすく伝えることが大切。簡潔さとは、監査の目的に関係する部分だけをまとめて、エグゼクティブサマリーを添える技術でもある。 - Organized(整理されていること)
ラベル、日付、参照が付いている場合は、必ず関連する資料(写真やPDFなど)へのリンクで直接アクセスできるようにしておくこと。「整理整頓術」によって監査の効率と品質が向上し、理解しやすく読みやすい文書になります。 - Professional(プロフェッショナルであること)
略語や個人的なメモ、俗語は使用しないこと(1に関連)。文書は内部資料であり、官庁、規制当局、法廷に提出される、または可能性のある「公文書」として扱う。文書には監査のプロフェッショナリズム(職業的専門性、職位、資格)を示すこと。
日本のISOマネジメントシステム(MS)の実施状況について、
米国やEC各国との比較から見えてくる抜本的な改善点と、その認識を改めるための改革案を示します。
日本のISO運用は、取得件数の多さ(特にISO 9001、14001、ISO 27001)はまるで認証が目的だけのように見えてしまうほど実態と乖離しているケースがあります。多くの認証の裏には「形式主義」や「経営戦略とのズレ」といった根深い課題があるように感じます。
日本が改革すべき3つの主要な課題
日本のISO運用を、米国やEC諸国が「経営のツール」として活用しているレベルに近づけるには、次の3点を見直す必要があります。
-
「認証のためのISO」からの脱却:経営戦略との統合
現状の認識
多くの日本企業、特にグループ会社や中小企業では、ISO認証が「取引先からの要請」や「営業上の必要条件」として、企業経営を続けるための必須条件と捉えられる傾向があります。そのため、認証の取得そのものが目的となり、規格の意図する○○マネジマントシステム改善や競争力強化が重視が見られません。 ISO45001についても、従来から継続的な取り組みが行われているにもかかわらず、労働災害の根絶には至らないことが暗黙に容認されるような”ゼロ災”は掛け声で、掛け声倒れのような雰囲気が組織内に見られます。
欧米との違い
EC各国の中でもイタリアは、中小企業もISO 9001の認証件数が非常に多く、経営基盤の構築やサプライチェーン全体の信頼性確保のためのツールとして活用されていることがうかがえます。一方、米国ではISO認証を「企業の付加価値」や「リスク管理の手段」と位置づけ、ビジネスリスクと結びつけた運用が重視されています。
改革のポイント
- トップマネジメントの意識を変え、ISOを「現場事務、現場作業」だけではなく、「経営リスクの把握と持続的成長の土台」として捉えることが必要です。
- また、膨大な書類を作るのではなく、「AI」を活用してビジネス直結の重要なプロセスに絞って文書化し、その成果を投資判断や新規事業の方向性などの戦略的な意思決定に活かすことが求められます。
-
「文書の使用人」からの解放:実態に合わせたシンプルな運用
現状の認識
日本企業は、規格の要求を必要以上に深読みしたり、コンサルタントに頼りすぎ、実態とかけ離れた複雑で融通のきかないルールや文書を大量に作りがちです。その結果、「審査対応のための仕事」が増え、現場の負担が重くなり、形骸化を招く大きな要因となっています。
欧米との違い
欧米の企業は、規格の要求事項を自社のビジネスモデルに合わせて柔軟かつシンプルに解釈し、最小限の文書で運用することが一般的です。抽象的な要求を、自社のリスクや業務実態にうまく適合させる主体的な判断力に長けています。
改革すべき点
- 「必須の文書化」を再定義すると、規格で「維持しなければならない」や「保持しなければならない」とされている箇所以外の文書は、社員の意見をくみ取り、「AI」と「捨てる技術」を活用して削減し、現場が「使うために有効な文書を残し、価値ある財産や宝物」となる記録だけに絞るべきです。
- デジタルツール(AI・IT)による管理:紙や文書ソフトを使う面倒さ煩雑さから抜け出し、改善のためAIやITツールを活用し、文書や記録の検索を早く正確にもれなく出来るようにし、レビュー、更新を手軽にできるようにする。現場の負担を減らしましょう。
-
労働安全衛生(OH&S)の認識レベルの向上
現状の認識
ISO 45001(労働安全衛生)において、日本は他の先進国に比べて不休災害件数は少ないものの、死亡災害は欧州より多い状況です。これは、安全衛生管理が法令遵守や製造現場中心の取り組みに偏り、「経営システムとしてのリスクマネジメント」という視点が希薄、弱いことが原因です。
欧米との違い
EC各国では、労働安全衛生を企業の社会的責任(CSR/ESG)の一部とし、人財(人材ではありません)確保のための重要な投資であり”安全はコストではない”と位置づけています。ISO 45001認証は、全従業員の心身の健康を包括的に管理する経営システムとして、Well-beingを企業評価に直接つなげるものとしています。
改革すべき点
- ハラスメントやメンタルヘルスも含めて、OH&Sの範囲を身体的な安全だけでなく心理的安全やメンタルヘルスのマネジメントまで広げ、全社員を対象にした総合的な「健康経営」のツールとしてISO45001を活用すべきです。
- リスクと機会の統合:労働災害の「リスク」だけでなく、安全衛生への投資が「従業員エンゲージメント向上」や「生産性アップ」といった「機会」を生むことをトップ経営陣が理解し、心理的安全性を積極的に推進すべきです。
改革の鍵:ISOを「投資」に変える
日本企業がISO規格を活用して国際競争力を高めるには、ISO認証を「コスト」ではなく「経営基盤への戦略的投資」として捉えることが大切です。規格の要求をただ受け入れるのではなく、「自社の価値をどう高めろことができるのか」という視点で再度見直し、現場で使いやすく経営に役立つシンプルな仕組みに作り変えることが、求められています。SDGsの日本の立ち位置を確認いただければ”なるほど、変化しなければ”とご認識いただけると思いまう。
