1.はじめに ― 文書化・記録管理を取り巻く状況
ISOマネジメントシステム規格において、文書化および記録管理(規格上は「文書化した情報(documented information)」として整理されることが一般的です)は、組織の活動内容や意思決定を明確にし、その結果を客観的に示すための重要な要素と位置づけられます。これらは、マネジメントシステムの運用状況を把握し、適切な改善につなげるための基盤となります。
一方で、業務の高度化・複雑化に伴い、文書や記録の量が増加し、管理が負担となっている組織も少なくありません。また、情報量の増加により、必要な情報へのアクセス性の低下や、内容の整合性の維持が課題となる場合もあります。
例えば、最新版の文書が特定しにくい、あるいは実際の業務内容と文書の記載内容が一致していないといった状態は、実務上の混乱や品質のばらつきにつながる可能性があります。このような状態を防ぐためにも、文書および記録の管理方法を整理し、適切に運用することが求められます。
近年は、デジタル技術の進展により、文書作成や情報整理、記録管理の手段も多様化しています。こうした環境変化の中で、文書化および記録管理を「効率化」と「信頼性」の両面から捉え直すことは、ISOマネジメントシステムの有効な運用を検討する上で重要といえます。
2.ISO規格における文書化・記録の位置づけ(目的ではなく手段)
ISOマネジメントシステム規格では、文書化や記録は目的そのものではなく、マネジメントシステムを有効に運用するための「手段」として位置づけられます。規格の意図として、文書化した情報の量や詳細度は、組織の規模、活動内容、プロセスの複雑さ、力量などにより異なり得ることが示されています。
文書や記録が求められる背景には、一般に次のような目的があります。
したがって、文書が存在しているだけ、あるいは記録が形式的に整っているだけでは、規格が意図する状態とはいえません。実態を反映し、関係者に理解され、実務の中で活用されているかどうかが重要となります。
3.文書量の増加と管理上の課題(問題は「量」ではなく「統制」)
業務範囲の拡大や要求事項の増加に伴い、文書や記録の点数が増える傾向にあります。その結果、次のような課題が生じることがあります。
これらの課題は、文書の形式そのものではなく、運用ルールや情報整理の不足に起因する場合が多いと考えられます。例えば、改訂や承認のルールが明確でない場合には旧版が併存し、実務でどの文書を参照すべきか判断しにくくなります。また、複数の文書に同様の内容が分散して記載されている場合、改訂時の不整合が生じやすくなります。
このような状態を防ぐためには、文書体系の整理(重複や参照関係の整理を含む)と、管理ルールの明確化(版管理、承認、配付・アクセス、保管、廃止等)が重要となります。
4.文書作成・管理を支援する手段の考え方(デジタル・AI活用の位置づけ)
文書作成や管理を効率化する目的で、デジタルツールや技術(AIを含む)を活用すること自体は、ISO規格の考え方と矛盾するものではありません。重要なのは、手段の種類ではなく、文書化した情報が組織のマネジメントシステムの中で「統制されている状態」にあるかどうかです。
文書作成を支援する手段を利用する場合には、一般に次の観点を意識することが有用です(特定の方法を推奨するものではありません)。
例えば、AIを用いて文書の下書きを作成する場合でも、その出力が自動的に「正式文書」として確定されるのではなく、組織としての確認および承認のプロセスを経て確定されることが、統制と説明可能性の観点から重要となります。
5.記録の信頼性を確保するための視点(証拠性・完全性・改ざん防止)
記録は、実施した事実を示す証拠としての役割を持ちます。そのため、作成方法に関わらず、信頼性(証拠としての強さ)が確保されていることが重要です。
一般に、次の要素が確保されていることが望まれます。
これらが満たされない場合、記録としての証拠性が弱まり、活動の実施状況を客観的に示すことが難しくなる可能性があります。監査の一般的な指針としてISO 19011は、マネジメントシステム監査の原則や監査の実施等のガイドラインを示しており、記録や証拠の扱いを含む監査の進め方を整理する際の参考になり得ます。
6.文書と運用の整合性の重要性(形骸化を防ぐ)
ISOマネジメントシステムにおいては、文書に記載された内容と、実際の運用内容が整合していることが重要です。文書が現状に合わなくなった場合には、文書を見直すのか、運用を是正するのかについて、組織として判断する必要があります。
文書を絶対的なものとして固定化するのではなく、運用を支える参照情報として位置づけ、必要に応じて更新するという視点が、形骸化を防ぐ上で重要といえます。
7.外部審査における文書・記録の確認視点(運用の中での使われ方)
外部審査では、文書や記録の「有無」そのものよりも、次の点が確認される傾向にあります。
また、文書や記録のレビューを含め、審査・評価にICT(情報通信技術)を用いる場合の枠組みとして、IAFはIAF MD 4を公表しており、ICT利用に伴う情報セキュリティやデータ保護、リスクと機会の管理、報告書・記録への記載等の要求事項を示しています。
このため、デジタル環境で文書・記録を扱う場合には、組織内の運用だけでなく、審査時にどのような形で提示・確認が可能か(説明可能性、アクセス性、セキュリティ等)も含め、整理しておくことが有用です。
8.まとめ ― 有効性と信頼性の観点から考える
文書化および記録管理は、ISOマネジメントシステムを支える重要な要素ですが、それ自体が目的ではありません。重要なのは、組織の活動を適切に管理し、改善につなげるために機能しているかどうかです。
管理方法や使用する手段は組織ごとに異なりますが、少なくとも次の基本的な考え方を押さえることが、規格の趣旨に沿った運用につながります。
9.本シリーズの位置づけ
本シリーズでは、ISOマネジメントシステム規格の基本的な考え方を軸に、デジタル技術・AIとの向き合い方を整理します。特定の技術やツール、または特定の運用方法の導入を推奨するものではなく、組織が自らの状況に照らして運用を見直す際の参考情報として提供することを目的とします。
本稿で整理した視点はAIに限らず、新たな技術が登場した場合にも適用可能な、ツール非依存の基本的な考え方として位置づけられます。
なお、本稿はISO/IEC 42001 AIマネジメントシステム規格を意図したものではございません。
効果的なマネジメントシステムの認証に関するお問い合わせは、MS認証部 (japan@nemko.com)までご連絡ください。