ISMSの不適合とは？重大・軽微の判定基準と是正処置報告書の書き方【2022年版対応】

ISMS（ISO/IEC 27001）の運用では、内部監査や認証審査で「不適合」を指摘される場面が必ず出てきます。本記事では、ISMSの不適合の意味と「修正・是正処置・継続的改善」の違いから、重大な不適合・軽微な不適合・観察事項を分ける判定基準、内部監査と認証審査での対応フローの違いまでを整理します。あわせて、最大の関心事である是正処置報告書の5つの必須項目と書き方、テンプレートの選び方を記入例つきで解説します。現行規格であるJIS Q 27001:2023（ISO/IEC 27001:2022）に対応した内容です。

まとめ｜ISMSの不適合対応の流れと是正処置報告書の必須項目

ISMSの不適合とは、規格や自社で定めた要求事項を満たしていない状態を指します。不適合が見つかったら、まず「修正」でその場を止め、続いて「是正処置」で根本原因を取り除き、再発を防ぐという二段構えで対応します。是正処置の記録が是正処置報告書であり、書くべき要素は、不適合の内容と該当要求事項、修正、根本原因、是正処置の計画、有効性確認の5つです。

不適合は重大・軽微・観察事項に区分され、区分によって是正の優先度や審査での扱いが変わります。内部監査で見つかった不適合は自社のルールで是正し、認証審査で指摘された不適合は審査機関の定める期限内に是正処置の有効性まで示す必要があります。現行のISO/IEC 27001:2022では、不適合及び是正処置は箇条10.2に位置づけられています。本記事を読めば、不適合を「指摘されて終わり」にせず、再発防止の仕組みづくりにつなげる手順がわかります。

ISMSにおける不適合の定義と修正・是正処置・継続的改善の役割の違い

不適合への対応を誤る原因の多くは、「修正」「是正処置」「継続的改善」という似た言葉の役割を混同している点にあります。ここでは用語の意味と規格上の位置づけを整理します。

不適合とは「要求事項を満たさない状態」を指す具体的な意味

不適合とは、ISO/IEC 27001の要求事項、または組織が自ら定めた規程・手順・適用宣言書などを満たしていない状態を指します。たとえば「退職者のアクセス権を即時に削除する」と規程に書いているのに、削除が1週間放置されていれば、それは運用上の不適合です。要求事項には規格本文の箇条4〜10だけでなく、附属書Aから選択した管理策や社内ルールも含まれます。「決めたことが守られていない」「決めるべきことが決まっていない」のいずれも不適合に該当する、という幅広さを最初に押さえておくと判断がぶれません。

修正と是正処置の違い：その場対応と原因除去の役割分担

修正とは、検出された不適合そのものを取り除く応急処置です。先の例なら「放置されていたアクセス権をすぐ削除する」が修正にあたります。一方の是正処置は、なぜ削除が漏れたのかという原因を取り除き、再発を防ぐ処置です。退職連絡が情報システム部門に届く仕組みがなかったのが原因なら、人事と連動した権限削除フローを作るのが是正処置です。修正だけで報告を終えると同じ不適合が再発するため、審査では「修正にとどまり是正処置になっていない」という指摘が頻出します。両者は必ずセットで考えます。

是正処置と継続的改善の関係と箇条10.2へ位置づけが変わった経緯

是正処置が「発生した問題への後追いの対応」であるのに対し、継続的改善はISMS全体の有効性を前向きに高める活動です。是正処置を確実に積み重ねること自体が、結果としてマネジメントシステムの継続的改善につながります。規格構成では、旧版のJIS Q 27001:2014で「10.1 不適合及び是正処置」「10.2 継続的改善」だった順序が、ISO/IEC 27001:2022（JIS Q 27001:2023）で入れ替わり、現在は「10.1 継続的改善」「10.2 不適合及び是正処置」となっています。要求事項の内容自体に変更はありませんが、引用条文を記載する際は10.2と書く点に注意します。

予防処置が2022年版に独立条項として存在しない理由

かつての規格には「予防処置」という独立した条項がありましたが、現行のISO/IEC 27001:2022には存在しません。予防処置の考え方は、箇条6「計画策定」のリスク及び機会への取組み（リスクアセスメントとリスク対応）に統合されたためです。つまり「まだ起きていない問題への先手」はリスク管理の枠組みで行い、是正処置はあくまで「すでに発生した不適合」を扱うという整理になっています。製造業の現場で使われるCAPA（是正処置・予防処置）という言葉に引きずられ、ISMSの是正処置報告書に予防処置欄を無理に設ける必要はありません。

是正処置・是正措置・是正報告書など類似用語の使い分け

検索ではよく「是正措置」と表記されますが、ISO/JISのISMS規格で用いられる正式な用語は「是正処置（corrective action）」です。労働基準法など他分野では「是正措置」「是正勧告」という語が使われるため混同されますが、ISMS文書では「是正処置」で統一するのが無難です。また「是正報告書」「不適合是正処置報告書」「CAR（Corrective Action Report）」はいずれも実質的に同じ書類を指す呼び方の違いで、社内で名称を一つに決めておくと、内部監査と認証審査の双方で記録の追跡がしやすくなります。

情報セキュリティ固有の不適合が発生する典型パターンと根本原因

是正処置報告書の質は、不適合がなぜ起きたのかを正しく捉えられるかで決まります。ISMSで頻出する不適合のパターンを、発生源ごとに具体例で押さえておきましょう。

規程と実運用の乖離による不適合の代表例（アクセス権限・台帳）

最も多いのが、文書に書いたルールと現場の運用がずれているパターンです。代表例として、アクセス権限の棚卸しを「半期に1回実施」と定めながら記録が残っていない、情報資産管理台帳に新規導入したクラウドサービスが登録されていない、入退室記録の保管期間が規程と異なる、などがあります。これらは「やっていない」だけでなく「やった証拠がない」ことも不適合になります。根本原因は担当者の怠慢ではなく、棚卸しのトリガーや締切が業務フローに組み込まれていないことが大半です。

技術的管理策の不備：脆弱性の放置やパッチ未適用

附属書Aの技術的管理策に関わる不適合も頻出します。既知の脆弱性が公表されているソフトウェアを使い続けている、パッチ適用の基準や期限を決めていない、ログを取得しているが定期的にレビューしていない、といったケースです。たとえば7-Zipの脆弱性のように影響範囲の広い問題が公表された際、自社の利用状況を把握できず対応が遅れれば、脆弱性管理プロセスの不備として不適合になり得ます。技術的な不備は「ツールの問題」に見えますが、根本原因は脆弱性情報の収集と判断の運用ルールが欠けている点にあります。

教育・周知不足が生む人的な不適合（誤送信・私物端末）

人的な要因による不適合は、教育記録や周知の仕組みと結びつけて原因分析する必要があります。メールの宛先誤送信、私物端末での業務データ持ち出し、クリアデスクの不徹底などが典型です。これらは個人の不注意として処理されがちですが、規格が求めるのは「該当者へ必要な力量・認識が与えられていたか」という視点です。教育を実施した記録がない、入社時のみで更新教育がない、といった仕組みの欠落が根本原因として浮かび上がることが多く、再発防止策も個人注意ではなく教育プロセスの見直しに向かいます。

インシデント発生後に判明する管理策の欠落

情報セキュリティインシデントの事後対応の中で、管理策の欠落が不適合として明らかになることもあります。たとえば個人情報の流出が疑われた際に、影響範囲を特定する手順が定まっておらず初動が遅れた、というケースです。自社の情報が外部に漏れていないかをダークウェブ上の流出有無を確認する方法などで継続的に監視していれば早期検知につながりますが、検知の仕組みがなければインシデント対応プロセスの不備として指摘されます。インシデントは不適合の発見源であると同時に、是正処置の有効性を試す機会にもなります。

文書化した情報の不備（記録の欠落・版管理の乱れ）

地味ですが指摘の多いのが、文書化した情報そのものの不備です。是正処置の記録に承認日が空欄、規程の最新版と現場で使われている版が違う、適用宣言書と実際の管理策の実施状況が一致しない、といった例があります。2022年版では各所の表現が「文書化した情報を保持する」から「利用可能な状態にする」へ整理された箇所もあり、保管しているが必要なときに取り出せない状態は避ける必要があります。根本原因は版管理や承認フローの曖昧さにあるため、文書管理ルールの明確化が是正処置になります。

重大な不適合・軽微な不適合・観察事項を分ける判定基準と審査への影響

同じ「不適合」でも、重大か軽微かで是正の緊急度も認証への影響も大きく変わります。観察事項との境界も含め、判定の考え方を整理します。

重大な不適合（メジャー）の定義と認証可否への影響

重大な不適合（メジャー不適合）とは、ISMSの有効性に重大な疑いを生じさせるレベルの不適合です。具体的には、要求事項がまったく満たされていない、リスクアセスメントを実施していない、内部監査やマネジメントレビューを一度も行っていない、といったシステムの根幹に関わるものが該当します。認証審査で重大な不適合が出ると、是正が確認されるまで認証の登録や更新が保留されるのが一般的です。期限内に是正処置の有効性を示せなければ、認証取得・維持に直接影響します。

軽微な不適合（マイナー）の定義と是正の進め方

軽微な不適合（マイナー不適合）は、システムは概ね機能しているものの、一部で要求事項からの逸脱が見られる状態です。先述したアクセス権棚卸しの記録漏れや、一部部署での教育未実施などが典型例です。軽微な不適合は、是正処置計画を提出し、定められた期間内に是正を進めることで認証は維持されます。ただし「軽微だから」と修正だけで済ませると、次回審査で同じ指摘が繰り返され、重大な不適合に格上げされることもあるため、原因の除去まで踏み込むことが重要です。

観察事項（改善の機会・OFI）と不適合の境界線

観察事項は、現時点では要求事項を満たしているものの、放置すると将来不適合になりかねない点や、より良くできる点を指す指摘です。改善の機会（OFI：Opportunity For Improvement）とも呼ばれます。観察事項には是正処置の義務はなく、対応するかどうかは組織の判断に委ねられます。境界線の目安は「要求事項に対する違反があるか」で、違反があれば不適合、なければ観察事項です。観察事項を継続的改善のヒントとして拾い上げる組織ほど、次回審査での不適合が減る傾向があります。

内部監査で不適合と判定する基準のつくり方

内部監査で判定がぶれないようにするには、自社なりの判定基準をあらかじめ文書化しておくのが有効です。たとえば「要求事項の不実施は不適合」「記録の不備は軽微な不適合」「単発のヒューマンエラーで仕組み上の欠陥がないものは観察事項」といった目安を監査チェックリストに添えます。判定者によって重大・軽微の感覚が異なると、是正の優先順位付けが機能しません。認証機関の判定区分を参考にしつつ、自社の規模やリスクに合わせて基準を言語化しておくことが、内部監査の不適合を実効性あるものにします。

分類を誤ると生じるリスクと3区分の比較

分類を誤ると、重大な問題を観察事項として見逃したり、逆に軽微な逸脱に過剰な工数をかけたりするリスクが生じます。3区分の違いを下表に整理します。

表のとおり、是正処置の義務が生じるのは不適合（重大・軽微）であり、観察事項は任意です。区分の判断に迷う場合は、要求事項への違反の有無に立ち返って整理すると判定が安定します。

内部監査で見つかる不適合と認証審査で指摘される不適合の対応フローの違い

不適合は「誰が見つけたか」によって対応の進め方が変わります。内部監査での不適合と、審査機関による認証審査での不適合の違いを押さえておきましょう。

内部監査で発見した不適合の社内対応フロー

内部監査で発見した不適合は、自社のルールに沿って是正します。一般的な流れは次のとおりです。

1. 監査員が不適合報告書に事実と該当要求事項を記録する
2. 被監査部門が修正（応急処置）を実施する
3. 根本原因を分析し、是正処置の計画を立てる
4. 計画に沿って是正処置を実施する
5. 監査責任者が是正処置の有効性を確認し、不適合をクローズする

内部監査の不適合は、自社で期限と判定基準を設定できる点が特徴です。だからこそ甘い運用になりやすく、是正処置のクローズ基準を明確にしておくことが、形だけの内部監査にしないための鍵になります。

認証審査（第三者審査）で指摘される不適合と是正期限

認証審査で審査機関から指摘される不適合は、審査機関が定める期限とルールに従って対応します。多くの場合、軽微な不適合では指摘から一定期間内（おおむね数週間〜数か月）に是正処置計画を提出し、是正の実施または有効性を示すことが求められます。重大な不適合では、是正の確認が認証の可否そのものに直結します。社内の都合だけで期限を延ばせない点が、内部監査との大きな違いです。指摘内容を正確に理解し、審査機関とコミュニケーションを取りながら進めます。

是正処置の有効性確認とエビデンス提出の流れ

認証審査の不適合では、是正処置を「やった」だけでなく、効果が出ていることをエビデンスで示す必要があります。たとえばアクセス権削除フローを新設したなら、新フローに沿って実際に削除が行われた記録、関係者への周知記録、運用後の棚卸し結果などを提出します。審査機関はこれらを書面審査または次回審査で確認します。エビデンスが「計画書」だけだと有効性が確認できず、クローズが遅れることがあるため、実施記録と結果記録をそろえることが重要です。

フォローアップ審査・特別審査に発展するケース

重大な不適合が出た場合や、是正処置の有効性を書面だけでは確認できない場合は、フォローアップ審査（特別審査）として審査員が改めて確認に来ることがあります。これには追加の審査費用と工数が発生します。発展を避けるには、指摘を受けた段階で原因分析を急ぎ、計画と実施記録を早期にそろえることが有効です。逆に、修正だけで報告して有効性を示せないと、追加審査につながりやすくなります。早く正確に対応するほど、結果的にコストを抑えられます。

内部監査と認証審査での是正処置報告書の使い分け

是正処置報告書は内部監査と認証審査の双方で使いますが、様式を別々に分ける必要はありません。むしろ同一フォーマットに統一し、どこで発見された不適合かを区別する欄（発見区分：内部監査／認証審査／日常運用／インシデント等）を設けるのが実務的です。こうしておくと、内部監査で見つけて是正済みの項目を認証審査で示しやすくなり、ISMSが自律的に回っていることのアピールにもなります。記録の一元管理は、次の是正処置報告書の作成効率も高めます。

是正処置報告書の5つの必須項目と「なぜ起きたか」を掘り下げる書き方

ここからは検索ニーズの最も大きい是正処置報告書の書き方です。形だけ埋める書類にしないために、5つの必須項目を順に解説します。

是正処置報告書とは何か（不適合報告書との違い）

是正処置報告書とは、発生した不適合に対し、原因の除去と再発防止の処置を記録する文書です。よく似た「不適合報告書」は、不適合の事実そのものを記録する書類で、是正処置報告書はその後の対応を記録します。実務では両者を1枚の様式にまとめ、「不適合の記録」と「是正処置の記録」を上下に配置することが多いです。混同しても運用は回りますが、不適合の検出と是正処置を別の担当が行う場合は、役割の境目がわかるよう欄を分けておくと責任が明確になります。

必須項目①不適合の内容と該当する要求事項の明記

最初に書くのは、何が不適合だったかという事実と、それが規格や社内ルールのどの要求事項に違反するかです。「アクセス権限の棚卸し記録が直近2回分残っていない（社内規程SEC-05および附属書A 5.18に関連）」のように、事実は具体的に、該当要求事項は条番号まで特定します。ここが曖昧だと、後続の原因分析と是正処置がぶれます。「だいたいできていなかった」ではなく、いつ・どこで・何が・どの基準に対してどうだったかを一文で言い切れる状態を目指します。

必須項目②修正（応急処置）と③根本原因の分析

次に、検出した不適合をその場で止める修正と、なぜ起きたかの根本原因を書きます。修正は「未記録だった棚卸しを即時実施し記録を作成」のように、すでに実施した応急処置を記載します。根本原因は表面的な理由（担当者が忘れた）で止めず、なぜ忘れる状態が放置されたか（棚卸しの実施依頼が業務カレンダーに組み込まれていなかった)まで掘り下げます。ここで原因を浅く書くと、次の是正処置が「以後気をつける」という再発必至の内容になってしまいます。

必須項目④是正処置の計画・期限・責任者と⑤有効性確認

続いて、根本原因を取り除く是正処置の計画を、実施内容・期限・責任者をセットで記載します。「権限棚卸しをワークフローに登録し、四半期初日に自動でタスクを発行する仕組みを情報システム部が3月末までに構築」のように、いつまでに誰が何をするかを明確にします。最後の有効性確認は、是正処置の実施後に効果が出たかを判定する欄です。次の棚卸しが新フローで漏れなく実施されたことを確認した日付と確認者を記録して、初めて不適合はクローズできます。

記入例：アクセス権限の棚卸し漏れを題材にした書き方

5項目を一つの題材で通すと書き方が掴めます。下表は記入例です。

このように、事実から有効性確認まで一本の筋が通っていれば、内部監査でも認証審査でも通用する是正処置報告書になります。

是正処置報告書のテンプレート選定と形骸化させない運用上の注意点

テンプレートは多く出回っていますが、自社の運用に合わないものを使うと記入が形骸化します。選び方と運用の注意点を整理します。

テンプレート・フォーマット・様式の違いと入手元

テンプレート・フォーマット・様式はほぼ同義で使われ、いずれも是正処置報告書の入力枠が用意された雛形を指します。入手元は、認証機関やコンサルティング会社が配布するもの、業界団体の公開様式、自治体や大学が公開しているExcelファイルなどがあります。無料で入手できる雛形は便利ですが、ISO9001（品質）向けや建設・製造向けに作られたものが多く、ISMS（情報セキュリティ）の文脈に必要な「該当する管理策（附属書A）」「情報資産・リスクとの関連」といった欄が不足しがちです。入手した雛形はそのまま使わず、自社のISMS用に項目を補うのが前提です。

自社の不適合管理に合うテンプレートの選定基準

選定の基準は、本記事で挙げた5つの必須項目（不適合内容・要求事項／修正／根本原因／是正処置計画／有効性確認）が欄として備わっているかどうかです。加えて、発見区分（内部監査・認証審査・日常運用・インシデント）と、不適合の区分（重大・軽微）を記録できると、後の集計・分析がしやすくなります。逆に、項目が多すぎて記入負担が重い雛形は形骸化を招きます。「必須5項目＋発見区分＋区分」を満たす最小構成を起点に、自社で必要な欄だけを足す引き算の発想が長続きします。

Excel様式とワークフロー化のメリット・デメリット

運用方法は大きく、Excelなどの単票で管理する方法と、システムでワークフロー化する方法に分かれます。それぞれの特徴を整理します。

不適合の件数が少ないうちはExcelで十分ですが、件数が増え期限管理が追いつかなくなったら、ワークフロー化を検討する目安になります。まずはExcelで運用ルールを固め、定着後にシステム化するのが失敗の少ない進め方です。

記入例・サンプルを流用するときの落とし穴

記入例やサンプルは書き方の理解に役立ちますが、文面をそのまま流用すると危険です。よくある落とし穴が、サンプルの根本原因（例：担当者の確認不足）と是正処置（例：再教育を実施）をコピーしてしまい、自社の実態と合わない報告書になるケースです。審査員はサンプル流用を見抜きます。サンプルはあくまで「書く粒度」と「項目のつながり方」を学ぶ参考にとどめ、原因と対策は必ず自社の事実に基づいて書き起こします。流用が許されるのは様式の枠組みだけ、と考えると安全です。

是正処置を一括管理する台帳（CAPA管理）の作り方

是正処置報告書を単票で発行するだけでは、全体の進捗が見えません。発行した報告書を一覧化する是正処置台帳（CAPA管理表）を用意すると、未クローズ件数や期限超過が一目でわかります。台帳の最小列は、管理番号・発見日・発見区分・不適合の区分・是正処置の期限・ステータス（対応中／有効性確認中／クローズ）です。マネジメントレビューでこの台帳を共有すれば、不適合の傾向（どの管理策で繰り返し発生しているか）が見え、継続的改善のテーマ設定に直結します。

是正処置を再発防止へつなげる根本原因分析とISO9001・45001との共通点

是正処置の価値は、再発を本当に止められるかにかかっています。根本原因の掘り下げ方と、他のマネジメントシステム規格との共通点を押さえ、横展開できる仕組みにしましょう。

なぜなぜ分析で発生原因と流出原因を切り分ける方法

根本原因分析では、「なぜなぜ分析」で原因を掘り下げるのが定番です。このとき有効なのが、発生原因（なぜ問題が起きたか）と流出原因（なぜ事前に気づけなかったか）を分けて考える視点です。アクセス権削除漏れの例なら、発生原因は「退職情報が情シスに届く仕組みがない」、流出原因は「棚卸しのチェックが機能していない」と切り分けられます。両面に手を打つと、起こさない仕組みと、起きても早く気づく仕組みの二重化ができ、再発防止の確度が上がります。片面だけの対策は、もう一方からの再発を許してしまいます。

再発防止策を仕組み化する（人ではなくプロセスを直す）

再発防止策で最も避けたいのが、「以後、注意する」「再教育する」で終える対策です。これらは人の努力に依存するため、時間が経てば再発します。仕組み化とは、人が頑張らなくても守られる状態を作ることです。具体的には、自動化（権限削除をワークフローで強制）、チェックの組み込み（提出時の必須項目化）、トリガーの設定（カレンダー連動の自動タスク）などです。「この対策があれば、担当者が代わっても再発しないか」を自問して、答えがノーなら対策はまだ仕組みになっていません。

ISO9001の不適合及び是正処置との共通点と違い

不適合及び是正処置の枠組みは、ISO9001（品質）でもほぼ共通です。検索でも「iso9001 不適合及び是正処置」は一定の需要があり、修正・是正処置・根本原因・有効性確認という流れは規格を問わず同じです。違いは「不適合の中身」にあります。ISO9001では製品・サービスの品質不良が中心ですが、ISMSでは情報の機密性・完全性・可用性を損なう事象が対象です。同じ社内に複数の規格があるなら、是正処置の手順書とフォーマットを共通化し、不適合の分類だけ規格ごとに分けると、運用負荷を抑えられます。

ISO45001やPマークなど他制度への横展開

是正処置の仕組みは、ISO45001（労働安全衛生）など他のマネジメントシステムにも横展開できます。情報セキュリティと個人情報保護の両面で認証を運用する企業も多く、ISMSとPマーク（プライバシーマーク）の制度概要を比較したうえで、是正処置の様式と台帳を共通基盤として整えると効率的です。制度ごとに別々の様式を作ると記録が分散し、内部監査のたびに探し回ることになります。発見区分や対象制度を識別する欄を一つ加えるだけで、一つの仕組みで複数制度をカバーできます。

是正処置の形骸化を防ぐマネジメントレビューでの活用

是正処置を一過性の対応で終わらせないためには、マネジメントレビューでの活用が欠かせません。期ごとに是正処置台帳を経営層へ報告し、不適合の件数推移、繰り返し発生している管理策、期限超過の有無を共有します。ここで「同じ種類の不適合が複数部署で出ている」と分かれば、個別の是正処置ではなく全社的な仕組み改善（継続的改善）のテーマに昇格させられます。是正処置をボトムアップの記録で終わらせず、経営判断の入力に変えることが、ISMSを成熟させる分かれ目です。

ISMSの不適合に関するよくある質問

ISMSの不適合をめぐって現場で迷いやすい点を、Q&A形式でまとめます。

ISMSの不適合があると認証は取り消されますか？

不適合があるだけで直ちに取り消されるわけではありません。軽微な不適合であれば、是正処置計画を提出し期限内に対応することで認証は維持されます。一方、重大な不適合を期限内に是正できない場合や、是正処置の有効性を示せない場合は、認証の保留や取り消しにつながる可能性があります。重要なのは、指摘を放置せず、審査機関の定める期限内に原因除去まで進めることです。多くの組織が毎回の審査で何らかの不適合や観察事項を受けており、適切に是正していれば過度に恐れる必要はありません。

軽微な不適合の是正期限はどれくらいですか？

是正期限は審査機関や不適合の内容によって異なりますが、認証審査での軽微な不適合では、おおむね数週間〜数か月以内に是正処置計画の提出や是正の実施が求められるのが一般的です。具体的な日数は指摘時に審査機関から提示されます。内部監査で発見した不適合の期限は自社で設定できますが、長すぎると是正が後回しになるため、軽微なものでも目安として次回の内部監査までにはクローズする運用が現実的です。期限は管理番号とあわせて台帳で管理し、超過を防ぎます。

観察事項は放置してもよいのですか？

観察事項には是正処置の義務がないため、対応しなくても規格違反にはなりません。ただし放置を推奨するものではありません。観察事項は「今は要求事項を満たしているが、放置すれば不適合になりかねない」点や、改善余地のある点を示しています。次回審査までに状況が悪化すれば不適合に転じることもあります。対応の要否はリスクと工数を見て判断し、対応しないと決めた場合もその判断を記録しておくと、次回審査で「検討した上で見送った」ことを説明できます。

是正処置と修正は同時に行う必要がありますか？

必ずしも同時ではありませんが、修正を先に、是正処置を続けて行うのが基本です。修正は不適合をその場で止める応急処置なので、発見後すぐに実施します。是正処置は根本原因の分析を経てから計画・実施するため、修正より時間がかかります。注意したいのは、修正だけで報告を終えないことです。応急処置で見た目の問題が消えても、原因が残っていれば再発します。報告書には修正と是正処置の両方を記載し、是正処置の有効性確認まで完了して初めてクローズします。

是正処置報告書のテンプレートはどこで入手できますか？

テンプレートは、契約している認証機関やコンサルティング会社、業界団体の公開様式、自治体・大学が公開するExcelファイルなどから入手できます。ただし多くはISO9001（品質）や製造業向けで、ISMS固有の欄（該当する附属書Aの管理策、情報資産との関連など）が不足しがちです。入手した雛形をそのまま使うのではなく、本記事で挙げた必須5項目を満たすよう自社向けに調整してから運用するのが安全です。雛形の流用は様式の枠組みにとどめ、原因と対策は必ず自社の事実に基づいて記入します。

関連記事

• Pマーク（プライバシーマーク）とは：ISMSと並ぶ情報・個人情報保護の認証制度。ISMSとの違いや使い分けを理解したい方に。
• ダークウェブでの個人情報流出をチェックする方法：不適合やインシデントの早期検知につながる、流出監視の実務を解説しています。
• 7-Zipの脆弱性と対応：技術的管理策の不備が不適合の原因になる一例として、脆弱性への具体的な対応がわかります。