JIS Q15001：2006では、従来「監査」のみであったチェック機能が「運用の確認」と「監査」で構成されるようになりました。
他の「品質」や「環境」、「情報セキュリティ」などのマネジメントシステムは、すでにISO Guide72によってモニタリングの概念が導入されていましたが、JIS Q15001も2006年版になって、やっと「スタンダードなモニタリングの仕組み」を持つようになったわけです。

それでは、 JIS Q15001：2006 の「運用の確認」と「監査」とはどのような仕組みを整備し、どのように運用すべきでしょうか。
先ず「運用の確認」に関してJIS規定を見ましょう。

運用の確認は一般的に「日常点検」や「週次点検」、「月次点検」、「半期点検」、「年次点検」と呼ばれるような部門長、責任者、担当者が行う担当部門、業務の中におけるチェック（点検・確認）機能を言います。

ここで重要なことは、以下の3点です。

■「運用の確認」における重要ポイント

（1）定期的に実施

日次、週次、月次、年次とあらかじめ定められたスケジュールにそって「定期的」に実施する。

（2）部門・階層毎に実施

誰が、いつ、どのように行うのか、最終的に実施記録を確認するのは誰か、を定めて実施する。

（3）手順の確立、維持

（1）（2）に関する手順を確立し、その手順にそって（1）（2）を実施し、そのような仕組みそのものを維持する。

JIS Q15001：2006では、運用の確認に関する計画の立案を特に明確には求めてはいませんが、運用の確認をする対象は個人情報保護マネジメントシステムであり、運用の確認の結果、不適合があればマネジメントシステムの是正、改善をしなければなりません。
したがって、監査と同様に、事前に「年間運用確認計画」を立案し、事業者の代表者が「計画」の承認をし、実施後は、そのレビューを受けることが望ましいと思います。

［図-A］に見られるとおり、マネジメントシステムのチェック（C）は二種の機能があります。

• 各部門及び各階層において部門長、責任者、担当者等が行う、担当部門、業務の中におけるチェック（点検・確認）機能である「運用の確認」
• 監査責任者によって独立的、客観的に行う「監査」

運用の確認は、組織全体として独立的に実施する「監査」と異なり、各部門及び各階層において行われるものです。
各部門及び各階層の管理者は、定期的にマネジメントシステムが適切に運用されているかを確認し、不適合が確認された場合は、その是正処置及び予防処置を各部門及び各階層の管理者が責任者となって行うことが重要です。
また、運用の確認は、日常業務において気付いた点があればそれを是正及び予防していくものであるため、たとえ小規模な事業者であっても、「運用の確認」と「監査」を組み合わせて行わなければなりません。

実際の運用の確認は、ルールどおり実施されているか見回って確認するといったことでも良いとされていますが、事件事故の多い現在、この解釈に依存しすぎると危険でしょう。むしろ、点検の最前線機能と考えるべきだと思います。
運用の確認の中には「3.3.3　リスクの認識、分析及び対策」において把握した管理すべき残存リスクが顕在化していないかどうか、確認することも含まれますから注意してください。

これらの確認時は確認した旨の「記録」を残し、その記録によって、一定期間毎に部門管理者が自部門の「運用の確認」の実施状況の確認を行ってください。

次回は、もう一方のチェック機能である「監査」についてお話します。