10.2 不適合及び是正処置

項目	内容
改訂日	2024.04.01
適用範囲	全社
箇条番号	10.2
分類	改善

要求事項

不適合が発生した場合、組織は、次の事項を行わなければならない。

a) その不適合に対処し、該当する場合には、必ず、次の事項を行う。
- 1. その不適合を管理し、修正するための処置を講じる。
- 1. その不適合によって起こった結果に対処する。
b) その不適合が再発又は他のところで発生しないようにするため、次の事項によって、その不適合の原因を除去するための処置を講じる必要性を評価する。
- 1. その不適合をレビューする。
- 1. その不適合の原因を明確にする。
- 1. 類似の不適合の有無、又はそれが発生する可能性を明確にする。
c) 必要な処置を実施する。
d) 講じた全ての是正処置の有効性をレビューする。
e) 必要な場合には、ISMSの変更を行う。

是正処置は、検出された不適合のもつ影響に応じたものでなければならない。

組織は、次に示す事項の証拠として、文書化した情報を利用可能な状態にしなければならない。

f) 不適合の性質及びそれに対して講じたあらゆる処置
g) 是正処置の結果

目的

不適合が発生した場合に適切に対処し、原因を特定して是正処置を講じることで、同様の不適合の再発を防止し、ISMSの有効性を維持・向上させるため。

当社における実施状況

本セクションは、不適合及び是正処置に関する当社の手順を定める。内部監査指摘、情報セキュリティインシデント、顧客苦情、法令・契約逸脱、運用逸脱等、ISMS適用範囲内で発生するあらゆる不適合に対して適用する。

用語の定義

用語	定義
不適合	要求事項を満たしていないこと。規格要求事項、社内規程、法令・契約要件等への逸脱を含む。
修正（correction）	検出された不適合を除去するための処置。応急処置・暫定対処として、不適合状態を直ちに是正し、影響を抑止する。
是正処置（corrective action）	不適合の原因を除去し、再発を防止するための処置。根本原因の分析に基づき実施する。
水平展開	類似の不適合が他の領域で発生していないか、または発生する可能性がないかを確認し、予防的に対処すること。JIS Q 27001:2023における予防処置的な要素に相当する。

是正処置手順フロー

以下のフロー図は、不適合の検出から是正処置の完了までの全体プロセスを示す。

flowchart TD
    A[不適合の検出] --> B[YouTrackにチケット起票]
    B --> C[修正：応急処置・影響抑止]
    C --> D[原因分析：5 Whys等]
    D --> E[是正処置計画の策定]
    E --> F[水平展開：類似不適合の確認]
    F --> G[是正処置の実施]
    G --> H[エビデンスの保管]
    H --> I{有効性レビュー}
    I -->|再発なし・原因除去確認| J[クローズ]
    I -->|不十分| D
    J --> K{ISMSの変更が必要か}
    K -->|はい| L[規程・手順の改訂]
    K -->|いいえ| M[完了]
    L --> M

不適合の検出源

不適合は、以下の活動を通じて検出される。

検出源	内容	関連文書
内部監査	規格要求事項・社内規程への不適合	9.2 内部監査
マネジメントレビュー	ISMSの運用における問題点	9.3 マネジメントレビュー
監視・測定	目標未達、パフォーマンス低下	9.1 監視、測定、分析及び評価
インシデント対応	情報セキュリティインシデント	10. インシデント対応及び事業継続管理
日常業務	規程違反、手順の逸脱	各担当者からの報告
外部監査	認証審査での指摘事項	外部審査報告書

不適合への対処プロセス

ステップ1: 不適合の検出と記録

不適合が検出された場合、以下の情報をYouTrackに記録する。

不適合の内容（何が、いつ、どこで発生したか）
検出日と検出者
影響範囲
関連する規格要求事項・社内規程

ステップ2: 応急処置（修正）

不適合による影響を最小限に抑えるため、必要に応じて応急処置を実施する。

不適合状態の是正（修正）
不適合によって生じた結果への対処
影響を受けた関係者への連絡

ステップ3: 原因分析

不適合の再発防止のため、根本原因を分析する。

分析項目	内容
不適合のレビュー	不適合の内容、発生状況の詳細確認
原因の特定	なぜ不適合が発生したかの分析（5 Whys等）
類似不適合の確認	同様の不適合が他の領域で発生していないか、発生する可能性があるかの確認

ステップ4: 是正処置計画の策定

原因分析の結果に基づき、是正処置計画を策定する。

計画項目	内容
是正処置の内容	根本原因を除去するための具体的な処置
担当者	是正処置の実施責任者
完了期限	是正処置の完了予定日
必要な資源	是正処置に必要な人員、ツール、予算等

ステップ5: 水平展開（予防処置的対応）

是正処置の実施前または並行して、類似の不適合が他の領域で発生する可能性を確認し、予防的に対処する。これはJIS Q 27001:2023における予防処置的な要素に相当する。

確認項目	内容
類似プロセスの確認	同様の不適合が発生しうる他のプロセス・領域の特定
予防的対処	特定された領域への是正処置の適用検討
関係者への周知	不適合の内容と対策を関係者に共有し、再発防止を図る

ステップ6: 是正処置の実施とエビデンス保管

是正処置計画に基づき、処置を実施し、エビデンスを保管する。

実施項目	内容
是正処置の実施	計画に基づく処置の実行
エビデンスの保管	実施記録、変更差分、教育記録等をYouTrackチケットに添付
進捗の更新	YouTrackチケットのステータスを随時更新

ステップ7: 有効性レビュー

是正処置が完了した後、一定期間経過後にその有効性を確認する。

確認項目	判定基準
是正処置の実施状況	計画どおり実施されたか
原因の除去	不適合の根本原因が除去されたか
再発の有無	同様の不適合が再発していないか（一定期間の監視）

有効性が不十分と判断された場合は、ステップ3（原因分析）に戻り、再度分析と是正処置を実施する。

ステップ8: クローズ条件

以下の条件をすべて満たした場合、是正処置をクローズする。

是正処置が計画どおり完了している
有効性レビューで再発なし・原因除去が確認されている
必要なエビデンスがYouTrackに保管されている
情報セキュリティ責任者（または監査・点検責任者）の承認を得ている

ステップ9: ISMSの変更（必要な場合）

是正処置の結果、ISMSの変更が必要と判断された場合は、以下を検討する。

情報セキュリティ関連規程の改訂
プロセス・手順の変更
管理策の追加・変更
教育・訓練内容の見直し

是正処置の管理（記録様式）

是正処置は、YouTrackでチケットとして管理し、以下の情報を記録する。これにより、箇条10.2 f)「不適合の性質及びそれに対して講じたあらゆる処置」およびg)「是正処置の結果」の文書化要求を満たす。

記録項目	内容	対応する規格要求
不適合の内容	不適合の詳細な説明（何が、いつ、どこで発生したか）	10.2 f)
検出日・検出源	いつ、どのように検出されたか	10.2 f)
修正（応急処置）の内容	不適合状態を除去するために講じた処置	10.2 a)
原因分析結果	根本原因の特定結果（5 Whys等の分析記録）	10.2 b)
水平展開の結果	類似不適合の確認結果と予防的対処	10.2 b)3)
是正処置の内容	実施する是正処置の詳細	10.2 c)
担当者・期限	是正処置の責任者と完了期限	-
実施状況	是正処置の進捗状況	-
エビデンス	実施記録、変更差分、教育記録等	10.2 f) g)
有効性確認結果	是正処置の有効性評価結果	10.2 d) g)
完了日・承認者	是正処置の完了日とクローズ承認者	10.2 g)

文書化した情報

文書・記録	内容	保管場所
是正処置記録	不適合の内容、原因分析、是正処置、有効性確認	YouTrack
内部監査報告書	監査で検出された不適合	ISMS文書管理システム
インシデント記録	インシデントに起因する不適合	YouTrack
ISMS文書改訂履歴	是正処置に伴う規程改訂	ISMS文書管理システム（Git履歴）