Pマークコンサル補足｜Pマーク　ISMSのコンサル　取得は
スリープロサポート株式会社

Pマークコンサルタント：HOME ＞ Pマーク関連用語集 ＞ Ｐマーク関連用語集「さ〜そ」

　　Pマーク関連用語集　「さ〜そ」

　サーバ

コンピュータネットワークにおいて、クライアントコンピュータに対し、自身の持っている機能やデータを提供するコンピュータのこと。インターネットにおけるWWWサーバなどが該当する。また、クライアントソフトウェアに対し、自身の持っている機能やデータを提供するソフトウェアのこと。

　最高経営層

組織の頂点に位置し、組織を指揮し、管理・監督する人で、社長や専務以上を指すことが多い。また、支店や工場のような事業所では、事業所長や工場長などが最高経営層に該当し、経営層がどういう陣営で、誰が最高経営層に当たるかは、組織が常識的な範囲で適切に決定する。

　サイト

場所や拠点。

　サプライチェーンマネジメント

企業横断的に調達から生産・販売・物流の業務の流れを一つの「供給の鎖」（サプライチェーン）と捉えて全体を最適に管理するマネジメント手法の事。

　サーベイランス（サーベランス）

審査登録機関が登録した企業（組織）の品質システムが引き続き維持されていることを、定期的に確認する審査のこと。定期（継続・維持）審査ともいう。審査登録機関によりパターンは異なるが、認定基準上は最長１年間隔であるが、通常は半年に１回または１年に１回実施される。審査では規格要求事項から必要な項目を選択して、規格適合性が確認される。

　サポートユーティリティ

電気、給水、下水、暖房及び換気、空調などのシステムをサポートするもの。

　残存(残留）リスク

リスク対応の後に残っているリスク。

　JAB　

財団法人日本適合性認定協会（The japan Accreditation Board for Conformity Assessment）の事。日本における適合性評価制度にかかわる認定機関としての役割を担う純民間の非営利機関。ISO関連では、審査登録機関の認定を行う。

　JIPDEC（日本情報経済社会推進協会）

プライバシーマーク制度、ISMS（情報セキュリティマネジメントシステム）適合性評価制度によって、企業・組織において運営管理面からの情報セキュリティのレベル向上に寄与している組織。

　JIS Q 15001

（財）日本規格協会により制定されたもので、事業者が個人情報を適切に取扱うための規準となるものであり、概要としては、保護方針を作成し、それに基づき個人情報保護マネジメントシステムを計画し、実施し、監査し、及び見直しを継続できるようにすべく規定。　

　JPCERTコーディネーションセンター

インターネットを介して発生する、侵入やサービス妨害などのコンピュータセキュリティインシデントについて、日本国内のサイトに関する報告の受け付け、対応の支援、発生状況の把握、手口の分析、再発防止のための対策の検討と助言などを技術的な立場から行っている組織。

　識別

物事の総意を見分けること。ISO上の識別には、製品の識別と検査状態の識別の２種類あり、製品の識別とは製造及びサービス提供のため、製品を区別する場合に製品名、型式、型名、製造番号、製造年月日などで、製品を特定することで、検査状態の識別は、「検査関連の状態」を識別することで、製品の検査前、検査後及び不良品・良品を特定することである。

　事業者　

事業を営む法人その他団体叉は個人。

　事業者の代表者による見直し

実際にPマークを運用した状況・結果や、個人情報の取り扱いに関する状況をトップが定期的に再評価すること。

　事業継続

災害時に重要業務を中断させないこと、また万一事業活動が中断した場合に、目標復旧時間内に重要業務を再開させること。

　資源

人、物、金のこと。組織の経営活動、戦略・目標の実施、達成には不可欠なものであり、人的資源、インフラストラクチャー、作業環境、天然資源、財務資源などがある。

　資産

組織にとって価値をもつもの。　

　システム

仕組み。仕事と仕事を関連させた総体。(プロセスの集合体）

　システムアプローチ

相互に関与するプロセスを、一つの体系立ったシステムとして明確化し、理解し、運営すること。マネジメントへのシステムアプローチは、品質マネジメントの８原則の一つで、組織の目標を効果的かつ効率よく達成することに寄与することとなる。

　実現能力

企業（組織）が要求事項を満たす能力。

　指摘事項

審査時に審査員が審査を実施した結果を客観的証拠に基づき下した判定。指摘事項には１、不適合：要求事項を満たしていないこと、２、観察事項：要求事項は満たしているが将来的に不適合となる可能性がある事項とはある。　

　修正

不適合を除くための処置。処置の例として手直しや再各付けがある。　

　従業員（従業者）

事業者の組織内で直接間接に事業者の指揮監督を受けて業務に従事している者をいい、雇用関係にある者（正社員、契約社員、嘱託社員、パート社員、アルバイト社員等）と、取締役、執行役、理事、監査役、監事、派遣社員等も含む。

　取得

書面（アンケート、履歴書など）又はそれ以外の方法（写真、ビデオ、メール）で本人から個人情報を得る行為。　

　重大な不適合

メジャー不適合と同義で、審査時の判定分類のひとつで、不適合判定内の重大な事象とされた不適合を指す。重大な不適合の例として以下がある。

�@製品品質についての取り決めで、重要な手順書や作業指示書、あるいは組織のQMSの運営において完全な崩壊がある場合。

�A規格で要求されている手順書が欠落している場合。

�B手順書にいくつかのマイナーな逸脱があり、それが組み合わされると全体として手順書の完全なまたは重大な崩壊を指示する場合。

�C不適合が、提供される製品またはサービスの品質にとって直接の危険となる可能性がある場合。

　詳細リスク分析

リスクを構成する要素である、情報資産、脅威、脆弱性を洗い出しと評価を行い、そこからリスクの大きさを評価する分析手法。

　仕様書

ISO9000の定義では、要求事項を記述した文書の事で、仕様書には、活動に関するもの（例：手順書、プロセス仕様書及び試験仕様書）、または製品に関するもの（例：製品仕様書、性能仕様書及び図面）等がある。仕様書は製品をつくり出すための基準などが規定されており、QMSの運営管理では、プロセスを効果的かつ効率的に行うための手順書、及び製品特性などを規定する文書がある。

　就業規則

社（使用者）が事業上における労働条件の具体的細目や就業上遵守すべき規律を定めた規則類のことで、規則違反をした場合の懲戒手続きなども定められている。

　情報セキュリティ委員会

ISMSの有効性と適切性のレビュー、及び「ISMSマニュアル」に関する事項の審議が行われる場。　

　情報セキュリティ委員長

ISMS推進全体における最高責任と権限を有する者。

　情報セキュリティインシデント

望まない又は予期しない単独又は一連の情報セキュリティ事象であって、事業運営を危うくする確率、及び情報セキュリティを脅かす確率の高いもの。

　情報セキュリティ管理者

ISMS運用に関する当社内の社員等への支援及び、各グループの総括管理を行う者。　

　情報セキュリティ基本方針

組織として情報セキュリティマネジメントにどう取り組むか、その基本的な考え方を示したもの。

　情報セキュリティ事象

システム、サービス又はネットワークにおける特定の状態の発生。特定の状態とは、情報セキュリティ基本方針への違反若しくは管理策の不具合の可能性、又はセキュリティに関連するかもしれない未知の状況を示していること。　

　情報セキュリティ推進事務局

ISMSに関する推進や調整を行う場。

　情報セキュリティマネジメントシステム

マネジメントシステム全体の中で、事業リスクに対する取組み方に基づいて、情報セキュリティの確立、導入、運用、監視、見直し、維持及び改善を担う部分。ISMS(Information Security Management System)と表現される。

　初回審査

認定を受けようとする企業が受審する第１回目の審査。初回登録審査と同義。関連用語：定期監査、更新審査

　初回訪問

審査機関が審査対象の企業を訪問し、マネジメントシステムの構築度を検証すること。

　審査員　

申請企業へ趣、現地審査を担当するＪＩＤＤＥＣ審査資格を有した者。審査員は公平性を保つ為、一度、その組織の現地審査に当たった方は二度と（更新審査）その組織の現地審査を担当する事は無い。

　人的安全管理措置

従業者に対する、業務上秘密と指定された個人データの非開示契約の締結や教育・訓練等を行うこと。

　垂直的統合・水平統合

垂直的統合とあ、製品を市場に供給するために必要な業務や生産工程の段階を社内に取り込んで、企業活動の範囲を拡張すること。一方水平統合とは、同一製品やサービスを提供している複数の企業が、一体化することでその市場における規模の経済性を実現しようとするもの。

　スパイラルアップ　

ある活動に対する目標への達成過程状況を指す。すなわち、PDCA（Plan-Do-Check-Action、管理のサイクル）を回しながら、目標に向けて活動することにより、直線的ではなくても、らせん状の軌跡で目標に到達、達成することを目指す。

　ぜい弱性　

組織の情報セキュリティ体制上、脅威に対する攻撃に弱い状態のこと。第三者が脅威となる行為(システムの乗っ取りや機密情報の漏洩など)やを行うことができる欠陥や仕様上の問題点といったシステム上の問題点や、機密情報の管理体制が整っていないなどといった人間の振る舞いに関する問題点も脆弱性となり得る。

　誓約書　

契約書の一種で経営者または企業が、従業者または企業に対して、個人情報の取り扱いに対するルールなど一定の約束を守る事を記載したもの。

　是正処置

不適合に対して、原因を追究し、二度と不適合が起こらない対策を行なう処置のこと。

　セクター規格

ISOのマネジメント規格の中でその業種に特化した品質規格。ISO13485（医療）やISO/TS16949（自動車）など。

　セッションのタイムアウト

例えば、サーバにログインして一定時間、何も操作をしない場合にセッションを遮断：強制的にログアウトするなどし、再度、サーバへのログインを求めるような機能。

　組織

独立の機能及び管理体制を持つ団体。企業、事務所、官公庁、協会などの一部や集合体を単一組織として定義しても良い。

　組織構造

企業（組織）内の責任・権限や業務分掌の仕組み。

　組織的安全管理措置　

安全管理について従業者（法第２１条参照）の責任と権限を明確に定め、安全管理に対する規程や手順書（以下「規程等」という。）を整備運用し、その実施状況を確認すること。

　相互認証

ある国の認定機関が認定した審査登録機関の審査登録が、国際的に通用するものとして認められる仕組み。

　ソフトウエアの誤動作

使用しているソフトウエアが予期しない動きを行った場合と定義する。(バグなど）