ITシステム下の文書管理への審査着目点

久しぶりの、ISOマネジメントへの投稿とした。
以前に留保していた問題だがITを使用した文書や記録の管理に対する審査は、どのような観点でおこなわれるべきか最近　審査員をしている人々とディスカッションする機会があり一応の結論を得たので、ここで説明しておきたいと思った。

以前 ある審査会社は　保管記録のバックアップの確からしさの検証だけでよいとしていたが、私も取り敢えずそれで良し、として思考停止させていたものだったが、一方では本当にそれでよいのかと思っていたのだった。しかも、その審査会社による解説は、約10年前のIT技術とそれが普及していた頃のことで、当時は文書管理そのものより、記録の管理にITシステムが一般的に使われているものとし、そのための適切なITシステムの使用に言及したのだと考えられる。その後　様々なITシステム技術や文書管理ソフト等の普及により、現在では相当状況は変化していると考えて検討することとした。
- コンピュータ・システムによる生産現場の技術条件指示ではテーブル改訂の手順にまで踏み込むべきか。
- 文書・記録管理のための認証手続きや 情報管理にまで踏み込むべきか。
-　ISO9001基準の審査範囲から逸脱し、ISMS審査領域を侵犯する恐れはないのか。もし、そういった問題が生じるならば、その限界を具体的にどう見極めるべきか。
通常、しっかりした文書管理ソフトを購入してセキュリティもしっかりすることが一般的な対応となるはずだが、被審査組織においては、必ずしも　そのような対応が取れない組織もあるものと思われ、せいぜいで各社員PCをサーバーにより結びつけた企業内LAN程度のシステムしかない場合もあることを考慮して検討した。

[議論]
①先ず関連するISO9001要求事項は、以下であると判断
4.2.3 文書の管理、4.2.4 記録の管理、6.3 インフラストラクチャーb),c)、8.2.4 製品の監視及び測定、場合によっては 8.3 不適合製品の管理(記録に関して)、7.4.3 購買製品の検証
②大手重機メーカのITを使った文書管理事例 (契約型製品の場合)；その重機メーカで勤務経験のある審査員による説明
・作業命令(指示)及び手順書：コンピュータ表示のものを優先的に“正しい”として最新版管理→紙にプリント・アウトしたものは、コンピュータ表示と一致するものは適正
・検査結果の記録：紙にプリント・アウトした様式に手記入し、責任者が検印→その後PDF化しシステム入力保管
③記録を含む文書の作成及び審査・承認(レビュー)の各段階における当該文書に関係する担当者や責任者のみに対するアクセス許可や、文書レビュー後の改竄防止を保証するルールとなっているかを軸に審査する必要があるのは当然である。(ISO9001規格要求事項の4.2.3,4.2.4の遵守事項が基本)
④IT関連のソフト、ハードに関する事項は6.3 インフラストラクチャーb),c)の要求事項にしたがって、その妥当性を検証すればよい。すなわち、被審査組織が提供するインプットに対し、その組織が期待するアウトプットになっているのか、をどのように維持管理しているのかを見、それらを購入した時の検証(これには7.4.3)の適切性を見ることも必要となる。

[結論]
基本は当初の“紙ベース”で作られたルールをITシステム化するのが本来であるため、特にISMSを意識しなくて良く、ISO9001の規格要求事項のみで十分審査可能である。議論で述べられたのと繰り返しになるが4.2.3,4.2.4の“文書化された手順Documented Procedure”を遵守することが要諦となる。
それを原則とし、記録に関しては　一挙に消去されてしまうことへの対策としてバック・アップ管理について、適切なセキュリティを考慮したルールの策定が必要であるという審査会社の解説も　かなり妥当であるとの結論となった。