「文書化した情報」=「文章化された情報」ではない

この記事は約5分で読めます。

ISMSの規格JIS Q 27001では「文書化した情報」という言葉が登場します。
この言葉、一見、何か文字で書き起こされた、いわゆる「文章化された」ものでないといけないと思っている方もいるのではないでしょうか。しかし、実際に規格を読み解くと一概にそうではないことが見えてきます。

そこで今回は、文書化された情報が一体何を指しているのか考えていきたいと思います。

文書化した情報

まず文書化した情報について言及されている場所として2つの場所を読み解いてみたいと思います。

JIS Q 27000

ISMS規格の用語集であるJIS Q 27000では文書化した情報について以下の記載があります。

3.19
文書化した情報(documented information)
組織(3.50)が管理し、維持するよう要求されている情報、及びそれが含まれている媒体。
注記1 文書化した情報は、あらゆる形式及び媒体の形をとることができ、あらゆる情報源から
得ることができる。
注記2 文書化した情報には、次に示すものがあり得る。
ー 関連するプロセス(3.54)を含むマネジメントシステム(3.41)
ー 組織(3.50)の運用のために作成された情報(文書類)
ー 達成された結果の証拠(記録)

JIS Q 27000:2019より引用

まず、注記1を見ると、「文書化した情報」には、あらゆる形式・媒体のものが含まれており、情報源も縛りがないということがわかります。つまり、Wordなどで文章化された情報に限定されてはいないということです。

そして、注記2からはISMS上、文書化した情報が利用される例について挙げられています。たとえばマネジメントシステムに関するものであったり、運用上関わってくる情報(マニュアルなど)、達成された結果の証拠(組織の仕組み上行ったことの記録や証拠など)、が当てはまります。

JIS Q 27001

規格本文の項番7.5に「文書化した情報」という項目が存在し、ISMSの仕組み上では、規格上要求されている文書化された情報+ISMSの有効性のために組織が必要だと思った文書化された情報を持つことが求められています。その上で、ここでは文書化した情報とは何を指すのかという観点から、文書化された情報の作成に関する項目をより具体的に見てみたいと思います。

7.5.2 作成及び更新
文書化した情報を作成及び更新する際、組織は、次の事項を確実にしなければならない。
a) 適切な識別及び記述(例えば、タイトル、日付、作成者、参照番号)
b) 適切な形式(例えば、言語、ソフトウェアの版、図表)及び媒体(例えば、紙、電子媒体)
c) 適切性及び妥当性に関する、適切なレビュー及び承認

JIS Q 27001:2014より引用

つまり、文書化した情報はきちんと識別できるような記載・ラベリングなどを行っていて、なおかつその文書化された情報が適切であったり妥当なものかどうか確認したり承認するという手段を踏んでいれば、形式や媒体を問わず保持する上で適切な形であれば良いと読み取ることができます。

文書化した情報とは

前項から、文書化した情報には形式や媒体の縛りがないということがわかりました。ただ、より個別具体的に何が文書化した情報になり得るのかというところについてはまだ見えづらいかもしれません。そこで本項ではもう少し具体的な例を見ていきたいと思います。

基本形

まず、最も一般的に想像できるのが、WordやExcelなどで文書や記録を作成し、そのままファイルとして保存する形式ではないでしょうか。この形式は、紙で出力されるドキュメントという従来の形式からは少し離れましたが、特段大きな変化ではありません.

上記の方法がもう少し進化した方法としては、社内wikiのようなページにマニュアルなどを作成する方法です。この方法は弊社も利用しており、業務に関係する様々なマニュアル類のひとつとしてISMSに関する文書化された情報を従業者に周知するには良い方法といえるでしょう。

応用系

ここまでは、電子という形態に変わりつつもまだ、文書化といわれて思い浮かぶものについて紹介してきました。続いては、文書化した情報という言葉からは少し思い浮かびづらいものについて考えてみましょう。

例えば、監視カメラの映像はどうでしょうか。

一見文書化とは遠いように見えますが、セキュリティ対策や証跡としては効果を証明するものですし、自社のISMSの有効性のために必要な記録であるという捉え方をすると、文書化された情報に含めることができるでしょう。
また、クラウドサービス上でとっているログの記録やスマートロックの入退室記録、音声での録音データなども、自社の記録として必要かつ、その管理方法が適切な形式であると判断すれば文書化した情報のひとつと考えることができます。

LRMの場合

LRMは様々な方法で文書化した情報を管理しています。

例えば、マニュアル類はSaaS型の社内wikiサービスにマニュアル類を載せていますし、教育記録や法令管理・委託先管理などは弊社サービス「セキュリオ」を利用して管理しています。
また、年間実施項目の管理や監査に関する記録類の管理はタスク管理ツールで管理するなど、文書化した情報の管理しやすい方法を常に考えながらISMSの取り組みを行っています。

まとめ

今回は文書化した情報とはなにかについて考えました。これまで、文書化というと何か文章にして紙出力しないといけないのかなと思っていた方や、そこまでではないにしてもやはり文章化した整った形でないといけないという風に考えていた方もいるのではないでしょうか。

今回の記事を読んでいただいて、実はそうではなく、一定のルールさえ守っていれば、形式や媒体に大きな制限はないということがわかっていただけたのではないでしょうか。

皆さんの組織でも、本当に今の状態で文書化した情報を管理し続けることがベストなのか、別の方法に置き換えた方がより管理しやすいのか、今回の記事内容も参考いただきながら検討してみてはいかがでしょうか。

ISMS / ISO27001認証取得を目指す
タイトルとURLをコピーしました