TRM株式会社/Pマーク及びISOのサービス一覧

  • ー 目次 ー
  • 1.Pマーク(個人情報保護マネジメントシステム)の認定取得を支援します
  • 2.ISMS(情報セキュリティマネジメントシステム)の認証取得を支援します
  • 3.BCMS(事業継続マネジメントシステム)の認証取得を支援します   
  • 4.QMS(品質マネジメントシステム)の認証取得を支援します(⇒「QMS & EMS」参照)
  • 5.EMS(環境マネジメントシステム)の認証取得を支援します(⇒「QMS & EMS」参照)
  • 6.医療機器品質マネジメントシステムは、「QMS & EMS」にて作成中
  • 規格改訂の要点・プロセスアプローチについて   (⇒「規格改訂について」参照)
  • 内部監査のコンサルティング業務-監査品質評価、特殊なテーマ監査、市場調査と事業開発
  • コンサルティング料金について
  • その他:
  • ※1.その他のISO規格の認証取得の支援業務「FSMS(食品安全マネジメントシステム)」及び
       ハラ―ル認証のご相談をお受け致します。
  • ※2.各マネジメントシステムの支援業務は、文書雛形、ツールを用意して、一緒に作業します。
  • ※3.複数マネジメントシステムを運用中でそれらを統合化する場合、審査機関と確認し対応します。
       また、すでに運用中で更新対策又は一部見直し等の支援もいたします。ご相談ください。
  • ※4.Pマーク、ISOの記述は、代表者の現場での主観的な経験観察を含みます。


☆新規格の改訂の要点・プロセスアプローチについて↓


☆QMS(ISO 9001)、EMS(ISO 14001)の認証取得↓


☆コンサルティング料金について↓



 個人情報を取扱うビジネスに相応しいマネジメントシステムを構築して、安心と
信を確保したいと考えている企業や組織の皆様を支援します。

1.Pマーク - 個人情報保護マネジメントシステム
  (JIS Q 15001)  

<プライバシーマーク制度>

 プライバシーマーク制度は、企業や団体などの事業者が、プライバシー保護を目的に個人情報を適
切に取扱っているかを、資格ある審査機関が審査し、認定する制度です。適用範囲は国内に限定され
ています。認定を受けた付与事業者には「プライバシーマーク」の使用が認められます。その基準は
日本工業規格の「JIS Q 15001:2006-個人情報保護マネジメントシステム要求事項」をベースにして
、「個人情報保護法」、「各省庁が作成した個人情報保護法に関するガイドライン」、「地方自治体
による個人情報関連の条例」等の各種法制度等の考え方が反映されています。

 個人情報とは

 定義によると、『個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述な
どによって特定の個人を識別できるもの(他の情報と容易に照合することができ、それによって特定
の個人を識別することができることとなるものを含む。)』となります。
 個人に関する情報は、それ自体は目に見えませんが、紙に書かれたり、電子情報としてメモリーに
記録され、モノに化体されて、データ化され、目で見ることができると「個人情報」です。(ex.名簿
、登録証等。)本人の氏名、写真、は「個人情報」です。それ自体は「個人情報」と呼べない情報で
も、他の情報を参照することで個人を特定できると「個人情報」です。(ex.学籍番号、携帯電話番号
、クレカの伝票等。)

 プライバシーと個人情報

 「プライバシー」には、個人や家庭内の私事・私生活。個人の秘密。また、それが他人から干渉・
侵害を受けない権利、さらに自己の情報をコントロ-ルできる権利のことです。
 個人情報保護法は、企業や団体などの事業者が「個人情報」を適切に取り扱う方法を定めたもので
すから、プライバシーの保護を直接の目的とはしていません。
 しかし、意図しない「個人情報」の取り扱いが抑制され、結果的にはプライバシーも保護されるよ
うになっていくのです。

<マイナンバー制度への対応を確実にするために>
 
 2015年10月から「マイナンバー」が通知され制度運用が開始されました。「マイナンバー」は、住民票を有する全ての方に1人1つの番号を付して、社会保障、税、災害対策等の分野で法律で定められ
た行政手続き等に使用されます。具体的には、国の行政機関や地方公共団体をはじめ、民間企業(従
業者の健康保険、厚生年金、給与からの源泉徴収等)、証券・保険等の金融機関(利金、配当金、保
険金等)などで利用します。
 個人情報保護法と番号法(マイナンバー法)との関係は、 一般法と特別法との関係にあります。個
人情報に係る利用目的による制限、第三者提供の制限、利用停止等について、番号法への適用除外が
定められているので、この点を注意する必要があります。
 一方、それ以外の特定個人情報(マイナンバーを含む個人情報)の取扱方法は、一般法に従います
。特定個人情報のリスク対策の考え方も、プライバシーマークが参照している「JIS Q 15001:
2006 個人情報保護マネジメントシステムー要求事項」を基に実施することが勧められています。特
定個人情報の適切な取扱の観点から、この機会に、すべての関連する事業者の皆様がPマークを取得
することにより、業務の運営基盤を見直して安心と信頼を確実にされることをお薦めします。


<Pマーク取得の要領>
1.計画:PLAN
(1)経営者が会社のプライバシーポリシーを策定し、個人情報保護マネジメントシステム構築の推
  進推進体制を整備します。
(2)業務分析(業務フローチャート等)を行い、個人情報を洗い出し、特定して、個人情報台帳を
  作成します。また個人情報漏洩のリスクポイントを探し出します。
(3)特定した個人情報について、個人情報のライフサイクル(取得、移送・返却、通信、利用、保
  管廃棄・消去)の各段階のリスク分析評価を行い、リスクと機会の対応策をまとめます。また残
  留リスクのリストを作成し、経営者が承認します。
(4)上記手続きを踏まえて、個人情報保護マネジメントシステム(JIS Q 15001:2006)の要求事項
  を基に、マネジメントシステムを運用するためのマニュアル・規則類・法令集(個人情報漏洩対
  策を含む)を作成します。点検記録のための記録文書類を作成します。
(5)マネジメントシステムを運用管理するため従業員の教育訓練を実施します。
(6)社内・社外とコミュニケーションの仕組みを構築します。(HP、会議体、朝礼等)

2.運用:DO
(1)リスクと機会の対応策を実施します。
(2)マネジメントシステムを運用管理し、日々の点検記録を作成し、保管します。
(3)本人からの苦情相談を受け付け、適切に対応し、記録を作成し、保管します。
(4)内部監査員を養成します。
(5)Pマークの認定審査機関を決定し、審査日程を調整します。

3.点検:CHECK
(1)要求事項の不適合の特定と是正処置・予防処置を実施します。
(2)内部監査を実施して、改善指摘事項を改善して、報告します。(マニュアル・規則類およびシ
  ステム運用要求事項の適合状況チェック)
(3)マネジメントレビューを開催し、これまでの取組内容について経営者に報告し、意見交換し、
  マネジメントシステムの見直し事項があれば指示します。

4.改善:ACT
(1)マネジメントシステムの見直し改善を実施して、報告します。

5.審査機関による審査:EXAMINE
(1)第1次審査(文書審査):提出文書一式を用意して、事前確認して、提出します。
(2)第1次審査の結果:改善指摘事項への対策を速やかに実施して、報告します。
(3)第2次審査(現地審査):実務が要求事項に適合し、方針を実現しつつあることを確認します
(4)第2次審査の結果:改善指摘事項への対策を速やかに実施して、報告します。
(5)審査を通じて、マネジメントシステムが要求事項に適合していることが承認されると、Pマー
  クが付与されます。💮


<ISO規格のマネジメントシステム>

 マネジメントシステムは、トップの方針に従い、各階層が目標を定め、方針どおり目標を達成する
めに、組織を適切に指揮・監督する継続的な改善取組の仕組みです。代表的なものが世界標準であ
ISO規格に基づく各種のマネジメントシステムです。ISOの認証を得ることにより、一般消費
や取引先は、直接その活動内容を知らなくても、そこからの結果(製品やサービス等)に対して信
を置くことが可能になります。認証を公正に運用するため、国際的な枠組みとしてマネジメントシ
テムの「適合評価制度」が設けられています。なお、日本の規格として制定されたJIS規格との関係
各国が国内規格を制定する場合、ISO等の国際規格がすでに存在する場合、これに整合させるこ
WTO/TBT協定により義務付けされています。

※QMS及びEMSの規格改定版が、2015年9月15日に発行されました。また、これに伴いJIS版が、
2015年11月20日に発行されました。

2.ISMS - 情報セキュリティマネジメントシステム 
  (JIS Q 27001:2014(ISO/IEC 27001:2013))

<ISMSの強みとは>

 ISMSは、組織にとって大切な情報を、必要なときにはすぐに使えるという点に留意しつつ、適切に
保護する仕組み(セキュリティシステム)です。ISMSは、個別の問題毎の技術対策の他に、組織のプ
ロセス及びマネジメント構造全体の一部として、その中に組み込んで運用することが重要です。リス
クマネジメントプロセスを適用して、情報セキュリティを維持・改善することにより、リスクを適切
に管理しているという信頼を利害関係者に与えることが可能になります。

<ISMS認証取得の要領>

Ⅰ.計画:PLAN
(1)経営者が会社の情報セキュリティの基本方針を策定します。
(2)ISMS(情報セキュリティマネジメントシステム)の適用範囲・場所を設定するため、組織の内
  部・外部の課題および利害関係者のニーズを把握します。
(3)ISMSの継続的改善を支えるため、責任と権限を割り当て、推進組織体制を整備します。
(4)業務分析(業務フローチャートの作成等)を行い、情報資産を洗い出し、台帳を作成します。
  ・情報セキュリティの3要素(機密性、完全性、可用性)等を考慮して評価付けを行い特定しま
   す。
  ・情報資産台帳(目録)を作成します。また、情報漏洩等のリスクポイントを探し出します。
  (※A)機密性:認可されない個人、団体(組織)又はプロセスに対して情報を使用不可または
   非公開にする特性。
  (※B)完全性:情報資産の正確さ及び完全さを保護する特性。
  (※c)可用性:認可された個人、団体(組織)が要求したときに、アクセス及び使用が可能で
   ある特性。
(5)特定した情報資産について、組織の内部・外部の課題および利害関係者のニーズを踏まえて、
  資産の存在形態((ア)紙・記憶媒体、(イ)PC、サーバ内に保管する電子データ、(ウ)音声
  情報)等を考慮して、脅威と脆弱性の観点からリスクの分析評価を行います。目的が狙いどおり
  達成できない(プラス、マイナスとも)場合に、経営方針に従って、リスクや機会の対応策をま
  とめ、有効性を評価します。
(6)リスク対応策を実施するために必要な管理策を基に「適用宣言書」を作成します。なお残る残
  留リスクのリストを作成し経営者が確認します。
(7)要求事項等を基に、ISMSを運用するためのマニュアル・規則類・法令集(情報漏洩対策含む)
  を作成します。点検記録のための文書類を作成します。
(8)ISMSを運用管理するための従業員の教育訓練を行い、有効性を評価します。
(9)社内、社外とのコミュニケーションの仕組み(HP、会議体、朝礼等)を確立します。

Ⅱ.運用:DO
(1)リスクと機会の対応策を実施し、有効性を評価します。
(2)情報セキュリティ目的とこれを達成するため測定可能な計画を策定、実施して、結果を評価し
  ます。
(3)ISMSの運用について、日々の点検記録を作成し、保管します。
(4)特にアカウント管理、ログ管理の業務手順を明確にして、情報セキュリティ対応結果(証跡)
  を記録管理します。
(5)内部監査員を養成します。
(6)ISMSの認定審査機関を選定し、審査日程を調整し、決定します。

Ⅲ.点検:CHECK
(1)業務の運用管理の検証手続きを、マネジメントシステムのパフォーマンス評価として体系化し
  て捉え、ISMS(情報セキュキュリティマネジメントシステム)の業績チェックをします。
   ISMSの運用について、監視、測定、分析の方法を決定し、実施し、有効性を評価します。
(2)要求事項への不適合の特定と是正処置を実施し、有効性を評価します。
(3)ISMSの運用ついて内部監査及び改善策を実施し、有効性を評価します。
(4)マネジメントレビューを開催し、これまでの取組内容について経営者に報告し、意見交換し、
  見直し事項を確認します。
  (情報セキュリティ方針、目標・計画、マニュアル等の改善、変更の必要性の評価を含む)

Ⅳ.改善:ACT
(1)マネジメントレビューの見直し事項の改善を実施し、報告します。
(2)ISMSの適切性、妥当性及び有効性を評価し、継続的に改善します。

Ⅴ.審査機関による審査:EXAMINE
(1)第1段階審査:提出文書一式、情報セキュリティの方針、目的に照らしてISMSの理解及び審査
  への準備状況を確認し、第2段階審査の要点を明確にします。
(2)第1段階審査の結果、改善指摘事項への対策を速やかに実施して、報告します。
(3)第2段階審査:ISMSが要求事項に適合し、方針及び目的を実現しつつあることを確認します。
(4)第2段階審査の結果、改善指摘事項への対策を速やかに実施して、報告します。
(5)審査の結果、ISMSが要求事項に適合していると認められると、ISMSを認証所得します。💮
       


3.BCMSー社会セキュリティー事業継続マネジメントシステム
  (JIS Q 22301:2013 (ISO 22301:2012) )


<BCMS(事業継続マネジメントシステム)とは>

 BCMS(社会セキュリティー事業継続マネジメントシステム)は、地震や火災等の大規模災害をはじ
、システム障害、取引先の倒産、テロ、新型インフルエンザ等の様々な緊急事態や事故に備えて、
要な業務が中断・阻害されたときに、あらかじめ定めておいた所定のレベル、期間内に、優先事業
を再開・復旧するための仕組みを、企業や組織の事業継続戦略として確立するためのベストプラクテ
ィスです。

<BCMSの認証取得の要領>

(1)経営者が会社の事業継続方針を策定します。
(2)BCMS(事業継続マネジメントシステム)の適用範囲・場所を設定します。組織の状況(製品・
  サービス、使命・目標、法令及び規制上の責任)及び利害関係者のニーズ(顧客、投資家、サプ
  ライチェーン、公共・地域社会等)を把握し、組織の規模、性質及び複雑度を考慮します。
(3)BCMSの事業継続方針を推進するため、責任と権限を割り当て、また明確なリスク許容基準及び
  許容可能レベルを定めて、推進組織体制を整備します。
(4)BCMSの計画を策定するために対処する必要があるリスクおよび機会を決定します。
(5)事業継続方針を基に、事業継続目的及びこれを達成するための計画を作成します。
(6)BCMSを運用するためのマニュアル・規則類・法令集を作成します。点検記録のための文書類を
  作成します。
(7)BCMSを運用管理するための従業員の教育訓練を行い、有効性を評価します。
(8)社内、社外とのコミュニケーションの仕組み(HP、会議体、朝礼等)を確立します。

Ⅱ.運用:DO
(1)事業の中断・阻害を引き起こすインシデントの事業影響度分析をします。
(2)事業の中断・阻害を引き起こすインシデントのリスクを体系的に特定し、分析、評価します。
(3)事業影響度分析及びリスクアセスメントの結果を基に、事業継続戦略(優先事業活動)を決定
  します。
(4)事業継続戦略を実施するための資源を決定します。
  (人、情報・データ、建物・作業環境・ユーティリティ、施設・設備・消耗品、情報通信システ
   ム、交通機関、資金、取引先・サプライヤ等)
(5)優先順位づけした事業の中断・阻害を引き起こすインシデントへの対応策を実施するため、復  旧目標を基に、事業継続手順及び運営管理体制を確立し、文書化し、実施します。
  (インシデントに対応する手順及び運営体制、警告及びコミュニケーションの手順、事業継続計
   画、及びインシデントに対処する詳細事項:目標時間枠内で優先事業活動を継続または復旧す
   る方法インシデント終了後の解除のプロセス、復旧等)
(6)事業継続手順を演習し、妥当性を試験し、結果を報告します。継続的改善につなげます。
(7)内部監査員を養成します。
(8)BCMSの認定審査機関を選定し、審査日程を調整し、決定します。

Ⅲ.点検:CHECK
(1)業務の運用管理の検証手続きを、マネジメントシステムのパフォーマンス評価として体系化し
  て捉え、BCMS(社会セキュキュリティ事業継続マネジメントシステム)の業績チェックをします
   BCMSの運用について、監視、測定、分析の方法を決定し、実施し、有効性を評価します。
(2)業務継続手順及び能力の適切性、妥当性及び有効性の継続を確保するため、それらを評価しま
  す。
  (定期的なレビュー、演習・試験、取組成果等。なお事業の中断・阻害を引き起こすインシデン
   トが発生し事業継続手順の発動に至ったときはインシデント発生後の報告・レビュー。)
(3)BCMSの運用ついて内部監査及び改善策を実施し、有効性を評価します。
(4)BCMSが引き続き、適切、妥当かつ有効であることを確実にするためマネジメントレビューを開
  催し、これまでの取組状況を経営者に報告し、意見交換し、見直し事項を確認します。
  (内部及び外部の課題変化、事業継続の取組結果、継続的改善課題、適用範囲、リスクアセスメ
   ント・事業影響度分析、事業継続計画及び手順の更新、組織内外の事象に対応する手順及び管
   理策の修正、管理策の有効性の測定方法等)

Ⅳ.改善:ACT
(1)マネジメントレビューの見直し事項の改善を実施し、報告します。
(2)BCMSに不適合が発生した場合、これを特定し、当面の対処並びに原因除去と再発防止処置を行
  う。

Ⅴ.審査機関による審査:EXAMINE
(1)第1段階審査:提出文書一式、事業継続の方針、目的に照らしてBCMSの理解及び審査への準備
  状況を確認し、第2段階審査の要点を明確にします。
(2)第1段階審査の結果、改善指摘事項への対策を速やかに実施して、報告します。
(3)第2段階審査:BCMSが要求事項に適合し方針及び目的を実現しつつあることを確認します。
(4)第2段階審査の結果、改善指摘事項への対策を速やかに実施して、報告します。
(5)審査の結果、BCMSが要求事項に適合していると認められると、BCMを認証所得します。💮



その他のコンサルティングサービス一覧

1.内部監査の品質評価及び改善のコンサル

 内部監査にはマネジメントシステムが適切に運用されていることをチェックする役割があります。
その重要性の故に内部監査そのものについて、それがPDCAに従って適切に機能していることを検証す
る必要があります。この手続きのことを内部監査の品質評価と呼んでいます。内部監査が適正に機能
し、更にレベルアップするためには、ルールに従って定期的に品質評価を行い、改善課題を明確にし
て実施する必要があります。それはよりよい監査に向けた気づきを得るための意見交換のプロセスで
す。品質評価を基にした内部監査の見直しについて検討される場合は、遠慮なくご相談ください。


A.内部監査の品質評価については、IIA(内部監査協会)の「内部監査の専門職的実施の国際基準」
 に以下のとおり定められています。

(1)国際基準1300-品質のアシュアランスと改善のプログラム
   内部監査部門長は、内部監査部門を取り巻くすべての要素を網羅する、品質のアシュアランス
  と改善のプログラムを作成し維持しなければなりません。

(2)国際基準1310-品質のアシュアランスと改善のプログラムの要件
   品質のアシュアランスと改善のプログラムでは、内部評価と外部評価の双方を実施することに
  しなればなりません。

(3)国際基準1311-内部評価
   内部監査では以下の双方を実施しなければなりません。
  ・内部監査部門の業務遂行についての継続的なモニタリング。
  ・内部監査部門による定期的自己評価、または内部監査の実施について十分な知識を有する組織
   体内の内部監査部門以外の人々により実施される定期的評価。

(4)国際基準1312-外部評価
   外部評価は組織体外の適格にしてかつ独立した評価実施者または評価チームによって、最低で
  も、5年に1度は実施しなければなりません。
  ・外部評価の形式と頻度。
  ・潜在的な利害関係を含めた、評価実施者または評価チームの適格性と独立性。

B.品質評価の手続を通じて内部監査の改善を図るための実施手順は、IIAの品質評価と改善の実践的
 手引 書「品質評価マニュアル・QAM(Quality AssessmentManual)」に定められています。

  品質評価の手続は、組織体内で当事者以外の評価者が行う内部評価の手続と、組織体外の独立し た評価者が行う外部評価の手続の2つの手法があります。
(1)組織体内部で自ら検証する内部監査についてのセルフチェック
   内部評価の手続は、組織体内部で自ら検証する内部監査についてのセルフチェックのことで、
  以下の2つの手法をあわせて実施します。
   1つは日々実施する個別の内部監査手続に対して体系的に組み込んだ形でプロセスチェックを
  行うものです。
  (eg.当該個別監査計画はリスクアセスメントの結果を踏まえて要点が絞り込まれているか等の
   チェック)
   もう1つは組織内で内部監査部門外の部門(ex.経営企画部等)の専門知識を有する者が年1回程
  度で行う検証手続です。
  (ex.監査規程、組織、要員、計画、予算、報告書等のチェック)

(2)外部評価の手続
   外部評価の手続は、3~5年に1回を目安に外部の独立した専門知識を有する評価者(ex.外部の
  監査機関等)により行う検証手続です。以下の二つの手法のいずれかにより実施します。
   1つは完全に外部評価者によって実施される検証手続です。
  (a full external QAR:Quality Assurance Review)。
   もう1つは上記の内部評価を基にして、内部監査部門が自ら自己評価報告書を作成し、外部評価
  者がその妥当性 をチェックする方式の検証手続です。
  (SAIV:an Independent Validation of a Self- Assessment)。
    外部評価者は、QARまたはSAIVによる適合性検証手続でそれぞれ設定した評価項目について
  以下の3つの判定基準-GC(適合度90%以上)、PC(同10%以上90%未満)、NOC(同10%未
  満)-に照らして判定を行い、その結果をまとめQARまたはSAIVによる適合性サマリーとして報
  告します。

2.海外事業所・海外子会社監査のコンサル

 海外事業所や海外子会社の監査に基本は、以下のとおりです。海外事業所・海外子会社の監査手続
きについて、どのような内容でも遠慮なくご相談ください。

 
 海外事業所や海外子会社の監査要点は、
(1)経営方針や運営方針についての本社のミッションと整合状況
(2)要員の勤怠状況・・現地スタッフはマネージャーの姿勢。管理能力を見て仕事をしている
(3)会社資産の管理状況
(4)本社との物理的距離が遠い事実によってマイナスの影響を受けていないか
 以上4点についてのチェックに絞られます。
(※)典型的な事例は、(ア)帳簿の現金・小切手の受け払いのwチェック漏れ、(イ)製品輸出時に
   検査会社の検査記録の立合い記録漏れ、(ウ)倉庫の適切な棚卸記録がなく本来あるべき資産
   が存在しない等。

3.デリバティブ監査

 デリバティブ監査の基本は、以下のとおりです。デリバティブ取引に関する監査手続きについて、
どのような内容でも遠慮なくご相談ください。

 デリバティブ監査の要点は、デリバティブ取引がルールどおり適正に処理できているかについて、
(1)ヘッジの有効性(ヘッジテストの実施と評価)
(2)現物取引(先物取引と現物取引との整合性)・・現物が中止になったら先物も中止する等
(3)取引先の信用リスク管理(OTC取引の取引相手、ブローカー=投資銀行等に対する与信・債権債
   務残高管理)
(4)職務の分離(フロント、バック、ミドルの役割分担の明確化・厳格化)について
 以上4点について個別取引における実施状況のチェックに絞られます
(※)典型的な事例は、
  (ア)対応するべき現物取引がもともと実行されなかったか又はキャンセルしたのに先物取引だ
     け存在する。
  (イ)多数の先物取引(通常は小さい取引単位で大量取引が発生する)に紛れて相殺目的以外で
     の不自然に大きな単発又は数回だけの"自己取引"が存在し、実際は対応する現物取引のない
     先物取引の損失移転処理(内部管理者による帳簿操作による損失隠し)等。

4.その他

 内部監査という特殊な業務領域について、疑問とか、課題や問題があれば、どのようなことでもご
相談をお持ちしています。