附属書SLとISO27001,次期45001 | 平林良人の『つなげるツボ』

—————————————————–
■□■ 平林良人の『つなげるツボ』Vol.77■□■

*** 附属書SLとISO27001,次期45001 ***

—————————————————–
■□■附属書SLとISO27001■□■

 フォーラムの続きです。
(昨年テクノファ年次フォーラムでは附属書SLに関して、
 有識者の方に集まっていただいてパネルディスカッションを
 行いました)

 フォーラムの時の様子をお伝えしますが、出席者の方の発言は
平林の責任で編集させていただいています。

平林(テクノファ):
 次は高取さんにISO/IEC 27001についてうかがいます。
 附属書SLに基づいて既に改正版が出ていますね。

高取敏夫さん(JIPDEC:日本情報経済社会推進協会):
 ISO/IEC27001の改正版はもう発行されていますが、
 まず中身についてはですが、ほとんど附属書SLに準拠しています。

 ただし、吉田さんがご指摘したように、「リスクと機会」を
 どう扱うのかは非常に悩ましいところでした。

 結論から申し上げますと、2005年版にあるリスクマネジメントや
 リスクアセスメントの考え方で、既に世界中で数千もの組織が
 現実に仕組みを構築し運用していることを重視しました。

 この事実を受けて、今回出たISO/IEC27001の2013年改正版においては、
 あくまでも2005年版の考え方は変えないというスタンスで改正を
 進めてきています。

 もちろん改正作業では他にもいろいろ議論になりました。

 2005年版のセクター固有の扱いについてどうするかですが、
 会合でのメンバー間の意見は非常に揺れました。

 例えば「リスクのアセスメント対応に関する要求事項の位置付け.」は、
 箇条6、箇条8のどちらにするのか。

 2005年版のマネジメントシステムでは、最初のいわゆるシステムの
 確立のところでリスクアセスメントを求めており、
 この点との整合性が議論されました。

 最終的には議論を重ねて、附属書SLの4.1、4.2、6.1、8.1が、
 一連の関係性がある構造を持っているということで合意しています。

 附属書SLによる改正作業の関連資料として、ISO/IEC27001に関して
 固有の要求事項を整理して分かりやすくするために、
 「要求事項のマッピング」という資料を作っています。

 ISO/IEC/JT1/SC27として作成したもので、
 これを参考に附属書SL規格の要求事項に対応していける、
 あるいは包含されているとご理解いただければと思います。

■□■附属書SLとISO45001■□■

平林:
 私からは、労働安全衛生マネジメントシステム規格
 IS045001に関して紹介します。

 これも附属書SLに準拠して開発が進められることが決まっています。
 IS045001規格はOHSAS18001に変わるOHSMS規格です。

 ISOは、1997年ころから、労働安全衛生の国際規格への
 英国BSI提案の採用可否の投票を行いましたが、
 ILOの反対により10年以上採択されてきませんでした。

 今回(2013年)、OHSAS18001に代わる新しい労働安全衛生の
 国際規格を制定するための専門委員会ISO/PC283が設立されました。

 これはILOがISOの労働安全衛生の国際規格を支持することに
 なったからであるといわれています。

 ILOが賛成に回ったのは、
 OHSAS18001の認証数が世界で10万件にものぼり、
 世界の労働災害を減少させるにはこのISOの認証制度を活用することが
 有効であると考えたからであると思われます。

■□■OHSMS規格とローベンス報告■□■

平林:
 OHSAS18001労働安全衛生マネジメントシステム規格は、
 1970年代に英国のローベンス卿が提唱した
 (ローベンス報告として有名)コンセプトが有名です。

 当時の行政は、労働安全衛生はもっぱら規制によって
 コントロールしようとしました。

 それに対して、当時としては画期的な発想として
 組織の自主的取組を採用するという概念が発表されたのです。

 英国では18世紀にはじまった産業革命に端を発して、
 急激に近代産業が発展したが、それに伴い産業界における事故、
 災害の増大が大きな社会問題となっていきました。

 当時は、この労働災害を減少させるには
 強制的に労働環境を規制することが最も効果的で、
 19世紀~20世紀前半には次から次へと新しい法律が作られました。

 しばらくはこの方法で災害を封じ込めたが、
 法律があまりに多くでき、行政も効果的に管理をすることが
 できなくなり、20世紀に入ると上述したローベンス報告が
 提唱されるようになったのです。

■□■やはりリスクと機会が焦点■□■

平林:
 2013年10月、lS045001を担当するPC283の初回会議が
 ロンドンで開かれました。

 ここでは早速「リスク」の定義がいろいろ議論されました。

 結果から申し上げると、附属書SLの3.09リスクの定義は
 「不確かさの影響」となっていますが、

 これとは別に「OHSリスク」という定義を追加することで
 合意しています。

 今後、この考えで規格本文の作文に入っていきますが、
 このOHSリスクに関しては、古典的な定義として、

 例えば、Severity(事象の起こった結果の大きさ)と
 Possibility(起こる確率)との組み合わせで、
 掛け算や足し算をするリスク評価方法を採用しようとしています。

 まだ1回目の会議なので最終的にどうなるかは分かりませんが、
 PC283ではこのリスクの定義を使っていこうとの話になっています。

 ISOでは、各専門委員会の独立性が強く
 他の委員会の動きは気にしないといった雰囲気はあるものの、

 IS045001の発行予定が2016年となっているので、
 IS09001やISO14001の2015年版の内容を見て、
 という雰囲気もあります。

以上