附属書SL 改訂最終草案の投票開始
附属書SL 改訂の最終草案の投票が始まっています
ISOの技術管理評議会 (TMB = Technical Management Board) のタスクフォース14の草案準備に続き、附属書SL へ提案された変更の最終草案に対するISO の技術委員会、運営委員会及びプロジェクト委員会の代表の見解を確認するため、現在、投票が行われています。 (2020年4月8日現在)
附属書SL は、それ自体が独立した文書ではありませんが、ISO/IEC専門業務用指針 第1部の不可欠な一部分を構成しています。附属書SL がなぜ重要なのかというと、これがすべてのマネジメントシステム規格の上位構造、中核となるテキスト及び共通の用語と定義を規定するものであり、すべてのマネジメントシステム規格の策定者は、規格の主題が何であるかに関係なく、規格を策定するときにはこれを採用しなければならないからです。
これまでの経緯
附属書SL は2012年に導入されました。ここに至るまでに、PDCAサイクルに基づくマネジメントシステム規格の数は爆発的に増えており、それぞれの規格で構造や要求事項の文言が著しく異なることがありました。これらの違いにより、組織は複数の、あるいは統合したマネジメントシステムを運用することが難しく、それぞれの規格固有の要求事項を満たすには同じ作業を異なる方法で実施しなければならないため、作業が重複し、効率も低下していました。
附属書SL が規格間のばらつきを減らすために役立つことに疑いありませんが、この共通性には代償も伴いました。規格策定者の中には、一般的な構造、文言や (おそらくもっとも論争の的になっている) 用語と定義を使わざるを得ないという、「すべてを1つの型に押し込めるやり方」に不満を抱き、自分たちの領域においてはよくて我慢ができる程度、最悪の場合、まったく適切でないと見做す者もいます。
いやいやながら受け入れた人々がいるということが、これまでの投票結果を説明する手助けとなるかもしれません。ISO の代表者間では、自分たちが不満なものに対しては、積極的に投票するよりもまったく投票しないか、単に棄権をする傾向があるとは確かに言われています。これを実証する客観的証拠はありませんが、確かにこれを示唆する風聞はあります。
公表されている投票結果
それでは、今回の委員会投票は私たちに何を教えてくれるでしょうか。公表された最初の結果の1つは、情報セキュリティ、サイバーセキュリティ及びプライバシー作業グループ (WG) 1によるものでした。700名以上のメンバーが投票を依頼されましたが、実際に投票したのはわずか7%、そして、これらのうち、半分以上が棄権票でした。草案に明確に賛成したのは、たったの3%、反対票は1%に相当するということです。
これでは、この新しい版が圧倒的に支持されているとは到底言えません。この草案で懸念を引き起こしている主な問題は何なのでしょうか。
何が問題とされているのか
主な問題の1つ (そして附属書SL の改訂において最初から懸念されていた問題) は、リスクの定義です。草案では現在、『ISO 31000 – リスクマネジメント – 指針』の定義と異なる定義が示されています。ISO 31000は、「effect of uncertainty on objectives目的に対する不確かさの影響」と定義していますが、新しい附属書SL の草案では、単に「effect of uncertainty 不確かさの影響」としています。専門家のうちの何人かはISO 31000の定義と一貫していることを望み、何人かは異なっていてよいとし、その他にそれぞれの領域ごとに定義するのがよいという専門家がおり、何人かはそもそもリスクの定義はいらない!としています。
監査の定義の変更についても懸念が表明されています。現在の監査の定義は、「systematic, independent and documented process for obtaining audit evidence and evaluating it objectively to determine the extent to which the audit criteria are fulfilled 監査基準が満たされている程度を判定するために,客観的証拠を収集し,それを客観的に評価するための,体系的で,独立し,文書化したプロセス」です。草案では、「文書化したプロセス」という言葉が消され、監査の方法を文書化するという要求事項を削除するとともに、「監査証拠」から「監査」という文言も削除されました。
草案では、例えば、「リスク及び機会への取り組みの計画」など、リスクと機会をセットにして取り扱っています。この2つは分けて扱い、機会は箇条 10の改善の部分で取り扱うべきという意見がありました。
また、草案では上位構造に新しい箇条 「6.3 変更の計画」が導入されましたが、これは運用の箇条「8.1 運用の計画及び管理」ですでに適切に扱われているという声も一部であります。
リスクの問題以外の主な懸念事項は、「outsourcing 外部委託」という用語です。「outsource 外部委託する」という用語は、「external provision外部提供」という言葉に置き換えられ、定義も拡大され、「The organization shall ensure that externally provided processes, products or services that are relevant to the XXX management system are controlled 組織は、XXXマネジメントシステムに関連する外部提供のプロセス、製品またはサービスが確実に管理されるようにしなければならない」となりました。これに対して、情報セキュリティマネジメントシステム (ISMS) の専門家から異議が唱えられました。新しい定義はISMS には適用できない、ISMS に関連するサービスには、例えば外部電力供給があるが、組織はこれを管理できない、ただ供給を受けるものだからというのです。
これからのこと
それでは、次に何が起こるでしょうか。委員会の投票は4月末に締め切られる予定で、その後、草案は国家規格機関 (NSB = National Standards Bodies) の投票へ進みます。委員会の投票結果は、草案に関する最終決定に進むために国家規格機関の投票結果に加えられます。
国家規格機関の投票率はかなり高くなると思われますが、国家レベルでも不満の声があり、上に述べたのと同じ問題について懸念が表明されています。したがって、すべての兆候が指し示すのは、附属書SL の改訂版への道のりはまだまだ前途多難だということです。