ＩＳＯ９００１で求められる機密保持とは

先日弊社でＩＳＯ９００１の認定審査があり、その中で文書管理のプロセスの審査で、「文書（記録）の保護の為の顧客情報の機密保持について手順が定められていない」と指摘を受けました。どのように対処しようか悩んでいます。
具体的には、
１．機密保持の対象となる文書（記録）は何か。
２．その手段として、対象となる文書（記録）にマル秘の　　朱印を押し、その文書は外部に出さない（発行元の許　　可が無い限り）との決まりを設けようと思うのです　　　が、この方式だけで問題ないか。
について教えて欲しいです。
宜しくお願いします。

No.1 ベストアンサー 回答者： muratyu 回答日時： 2003/06/24 13:38

ＩＳＯ９０００審査員（補）です。

監査を専門に活動していないことや、監査員には監査の専門分野登録があるので、適切なご助言をできないかも知れませんが、質問の推測される範囲でお答えしたいと思います。

１．機密保持対象は顧客情報について、と予備審査で指摘されたのでしたら、顧客情報を記したドキュメント類全般と言うことになります。
指摘事項の軽、重にも依りますが、是正措置が適切に施されているかを後ほどピンポイントでみられるので、「ここをこうした」とはっきり示せるようにした方がよろしいかと思います。

２．丸秘の朱印は良いと思います。
その情報（顧客管理ファイル）の扱い方（誰が扱って良いのか、扱う際の責任の所在は、扱う際の手順ときまりは）などを文書化してあればそれでいいと思います。
また、顧客ファイルの設置場所を他の無関係なファイル類と同列に扱って保管するのではなく、管理状態を形で示す（別の場所に保管する）等の取り組みを見せれば大丈夫でしょう。

老婆心ながら関係ないことを。
監査は監査員によって違います。（ちがっていけないのが建前ですが）
２０００年度版からは、不要、あるいは組織として不要とされる文書化を求めなくても良い項目もでき、民間がＩＳＯ取得に取り組みやすく改正されました。
つまり、組織の判断で全てのドキュメント化は不要であります。（必須のドキュメント類は除く）

これらから、企業活動上、ＩＳＯが足かせとなるような部分を簡素化できると言うことであって、従来の一概ながんじがらめととらえる必要が無い部分はあります。（例として「お宅のこのような業務であればここまでで大丈夫ですよ」といったアドバイスをしています）
ここでは詳細についてお互いのやりとりが拘束されるでしょうから、御社ＨＰのＵＲＬを教えて頂ければもう少し詳しくお伝えできますが。

この回答へのお礼

ご回答有難う御座います。大変参考になります。まだまだ勉強中ですが、認証取得を目指しがんばっております。社内のＵＲＬなどは無い為、宜しければ私のメルアドに連絡下さい（以下まで）。knight20000@yahoo.co.jp

お礼日時：2003/06/30 23:30

No.2 回答者： apopo 回答日時： 2003/07/07 11:02

また受付中のようですので、補足アドバイスを。

私が審査するなら、廃棄する際の基準や方法も確認しますね。
その辺り、通常の文書類と同じやり方で問題ないか再考されてはいかがでしょうか。

この回答へのお礼

解説有難う御座います。今後の参考とさせて頂きます。

お礼日時：2003/07/11 23:40