X 0902-1:2019 (ISO 15489-1:2016)
(1)
目 次
ページ
序文 ··································································································································· 1
1 適用範囲························································································································· 3
2 引用規格························································································································· 3
3 用語及び定義 ··················································································································· 3
4 記録管理の原則 ················································································································ 5
5 記録及び記録システム ······································································································· 6
5.1 概要 ···························································································································· 6
5.2 記録 ···························································································································· 6
5.3 記録システム ················································································································ 8
6 方針及び責任 ··················································································································· 9
6.1 概要 ···························································································································· 9
6.2 方針 ··························································································································· 10
6.3 責任 ··························································································································· 10
6.4 監視及び査定 ··············································································································· 11
6.5 能力及びトレーニング ··································································································· 11
7 評価······························································································································ 12
7.1 概要 ··························································································································· 12
7.2 評価の範囲 ·················································································································· 12
7.3 業務の理解 ·················································································································· 13
7.4 記録の要求事項の決定 ··································································································· 13
7.5 記録の要求事項の実施 ··································································································· 13
8 記録の統制 ····················································································································· 14
8.1 概要 ··························································································································· 14
8.2 記録のメタデータスキーマ ····························································································· 14
8.3 業務分類体系 ··············································································································· 15
8.4 アクセス及び許可のルール ····························································································· 16
8.5 処分権限 ····················································································································· 16
9 記録の作成,捕捉及び管理のプロセス ················································································· 17
9.1 概要 ··························································································································· 17
9.2 記録の作成 ·················································································································· 17
9.3 記録の捕捉 ·················································································································· 17
9.4 記録の分類及び索引作業 ································································································ 18
9.5 アクセス管理 ··············································································································· 18
9.6 記録の保存 ·················································································································· 18
9.7 使用及び再使用 ············································································································ 19
X 0902-1:2019 (ISO 15489-1:2016) 目次
(2)
ページ
9.8 記録の移行及び変換 ······································································································ 19
9.9 処分 ··························································································································· 19
参考文献 ···························································································································· 21
X 0902-1:2019 (ISO 15489-1:2016)
(3)
まえがき
この規格は,産業標準化法第16条において準用する同法第12条第1項の規定に基づき,一般社団法人
情報科学技術協会(INFOSTA)及び一般財団法人日本規格協会(JSA)から,産業標準原案を添えて日本
産業規格を改正すべきとの申出があり,日本産業標準調査会の審議を経て,経済産業大臣が改正した日本
産業規格である。これによって,JIS X 0902-1:2005は改正され,この規格に置き換えられた。
この規格は,著作権法で保護対象となっている著作物である。
この規格の一部が,特許権,出願公開後の特許出願又は実用新案権に抵触する可能性があることに注意
を喚起する。経済産業大臣及び日本産業標準調査会は,このような特許権,出願公開後の特許出願及び実
用新案権に関わる確認について,責任はもたない。
日本産業規格 JIS
X 0902-1:2019
(ISO 15489-1:2016)
情報及びドキュメンテーション−記録管理−
第1部:概念及び原則
Information and documentation-Records management-
Part 1:Concepts and principles
序文
この規格は,2016年に第2版として発行されたISO 15489-1を基に,技術的内容及び構成を変更するこ
となく作成した日本産業規格である。
この規格は,記録の作成,捕捉及び管理のための中核となる概念及び原則を定めるものである。それは,
記録の作成,捕捉及び管理のための概念,技術及び実務に関する更なる手引及び指導を提供する多くの国
際規格及び標準報告書の中心に位置する。
記録及び記録の管理について
記録は,業務活動の証拠であり,情報資産でもある。それらは,業務処理の証拠としての役割によって,
及びメタデータに依存していることによって他の情報資産から区別することができる。記録のメタデータ
は,コンテクストを指示及び保存するため,並びに記録の管理にとって適切な規則を適用するために用い
られる。
記録の管理は,次のことを包含する。
a) 業務活動の証拠となるための要求事項を満たすために,記録を作成及び捕捉すること。
b) 記録管理のための業務コンテクスト及び要求事項が時間とともに変化することに伴い,記録の真正性,
信頼性,完全性及び使用性を保護する適切な行動を取ること。
注記1 この規格において,“業務活動(business activity)”又は“業務諸活動(business activities)”へ
の言及は,組織存在の目的を支援するそれらの活動を意味すると幅広く解釈される。機能,
活動,処理及び作業プロセスは“業務活動”の特定の形を表すものであり,箇条3で定義す
る。
記録は,ますますデジタル環境で作成及び維持され,様々な新しい種類の使用及び再使用の機会を提供
する。デジタル環境は,また,記録を管理するシステム内及びシステム間で,記録統制を実施する自由度
をより高めることができる。
業務モデルの変化は,記録に関する責任を伝統的,組織的及び管轄の境界を越えて拡大している。この
ことによって,記録の専門家は,異なる範囲の内部及び外部の利害関係者の要求を,理解及び合致させる
ことを求められる。これらは,ビジネス及び政府,一般市民,顧客,サービス利用者,記録の対象者,並
びにその他記録の作成,捕捉及び管理に関心を寄せる人々の,意思決定の透明性に係る大きな期待を含む
ことがある。
注記2 この規格において,“作成,捕捉及び管理”という表現は,記録の管理を全体として簡略に述
べるために用いる。それは,この規格で示す記録の受領行為及び様々な記録過程を含む。
2
X 0902-1:2019 (ISO 15489-1:2016)
これらの環境的要因を念頭におき,この規格は,次のことを認識して開発している。
a) 業務活動の実現手段及び情報資産としての記録の役割
b) デジタル環境における記録の使用及び再使用の機会の増大
c) 伝統的な組織の境界を越えて拡張することが必要になる,記録の作成,捕捉及び管理のための,シス
テム及びルール(例えば,協同的及び複数管轄の作業環境におけるものなど)
d) 記録システムの他の要素から独立した記録の統制
e) 記録が作成及び捕捉されるために必要とすること,及びそれらがどのように長期にわたり管理される
のが望ましいかということを特定するため,業務の活動及びコンテクストを繰り返し分析することの
重要性
f)
記録を管理するために考案する戦略におけるリスク管理,及びあるリスク管理戦略それ自体としての
記録管理の重要性
この規格の概念及び原則は,多様な業務及び技術的環境を横断して適用されるが,これらの環境は,記
録の統制,プロセス及びシステムの実施に対する様々なアプローチを要求することとなる。この規格は,
記録を作成,捕捉及び管理する特定の環境で実施される,詳細な助言を提供することを目的にしてはいな
い。むしろ,主要な概念を定義し,あらゆる環境における記録を管理するための記録の統制,プロセス及
びシステム,並びにプロセスが開発されることとなる高水準の原理を規定している。これらの様々な環境
における記録管理のための統制,システム,並びにプロセスの設計及び実施に関する助言は,これに続く
規格並びに他の国際規格及び標準報告書において取り扱われる。
便益
この規格の概念及び原則を基とする,記録の作成,捕捉及び管理に対するアプローチは,業務の正式な
証拠が作成,捕捉,管理され,及び必要とする人々に対してアクセスを可能にすることを,それが必要と
される期間にわたり,確実にする。これは,次のことを可能にする。
a) 改善された透明性及び説明責任
b) 効果的な方針の編成
c) 情報に基づく意思決定
d) 業務リスクの管理
e) 災害時における継続性
f)
組織及び個人の,権利及び義務の保護
g) 訴訟における保護及び支援
h) 法律及び規制に対するコンプライアンス
i)
持続可能性の目標を達成することを含めた,企業責任を果たすための改善された能力
j)
より高度な業務の効率性を通したコストの減少
k) 知的財産の保護
l)
証拠に基づく研究及び開発活動
m) ビジネス,個人及び文化の同一性の形成
n) 組織,個人及び集合的記憶の保護
記録の作成,捕捉及び管理のための,責任及び手順が割り当てられた方針は,組織の情報統治プログラ
ムを支援する。
他の規格との関係
この規格は,自己完結型の規格として設計している。しかし,記録の作成,捕捉及び管理の様々なあり
3
X 0902-1:2019 (ISO 15489-1:2016)
方に関する国際規格及び標準報告書のファミリーの一部でもある。これらは,参考文献に記載しており,
記録管理の特定の状況に関するより詳細なアドバイスを探すことが期待できる。
この規格に沿った記録の管理は,記録のマネジメントシステム(Management System for Records,MSR)
を成功させるための,すなわち,ISO 30300シリーズで定義されたマネジメントシステムの基礎となる。
MSRは,記録についての方針,目的及び業務指針からなる枠組みを構築することによって,記録の管理を
組織の成功及び説明責任に結び付ける。それは,次に示す要求事項を規定している。
a) 定義された役割及び責任
b) 体系的なプロセス
c) 監視及び評価
d) 見直し及び改善
MSRを実施,運用及び改善しようとする管理者及び他の者は,ISO 30300シリーズと併せてこの規格を
用いることが望ましい。
1
適用範囲
この規格は,記録の作成,捕捉及び管理へのアプローチを開発する,概念及び原則について規定する。
この規格では,次の項目に関連する概念及び原則を規定する。
a) 記録,記録のメタデータ及び記録システム
b) 記録の効果的な管理を支援する方針,割り当てられた責任,監視及び研修
c) 業務コンテクストの繰り返し行う分析及び記録に関する要求事項の特定
d) 記録統制
e) 記録の作成,捕捉及び管理のための諸過程
この規格は,構造又は形式にかかわらず,全ての業務及び技術環境において,長期間にわたり記録の作
成,捕捉及び管理に適用するものである。
注記 この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。
ISO 15489-1:2016,Information and documentation−Records management−Part 1:Concepts and
principles(IDT)
なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1に基づき,“一致している”こ
とを示す。
2
引用規格
この規格には,引用規格はない。
注記 この規格は,自己完結型規格として設計しており,このことは,適用に当たり不可欠な文書は
存在しないことを意味する。
3
用語及び定義
この規格で用いる主な用語及び定義は,次による。
3.1
アクセス(access)
情報を発見,使用又は検索する権利,機会,方法。
4
X 0902-1:2019 (ISO 15489-1:2016)
3.2
活動(activity)
機能(3.11)の部分として,事業体によって遂行される主要な職務。
3.3
行為者(agent)
記録の作成,捕捉及び/又は記録管理の諸過程に責任をもつ,又は関わりをもつ個人,作業グループ若
しくは組織(ISO 23081-1:2006の3.1参照)。
注記 例えば,ソフトウェアアプリケーションなどの技術ツールは,それらが日常的に記録のプロセ
スを遂行しているならば,行為者と考えられる。
3.4
業務分類体系(business classification scheme)
記録を作成のコンテクストと結び付けるツール。
3.5
分類(classification)
論理的に構成された協約,方法及び手続ルールに従った,業務活動及び/又は記録の諸カテゴリへの体
系的な識別及び/又は編成。
3.6
変換(conversion)
記録をあるフォーマットから別のものへ変えるプロセス。
3.7
破棄(destruction)
記録を除去又は消去し,いかなる再構築も不可能にするプロセス。
3.8
処分(disposition)
処分権限(3.9)又は他の文書に記された,記録の保持,破棄(3.7)又は移管決定の実施に関連する様々
なプロセス。
3.9
処分権限(disposition authority)
特定の記録のための承認された処分(3.8)行為を規定する文書。
3.10
証拠(evidence)
ある処理(3.18)の文書資料(ISO 30300:2011の3.1.5参照)。
注記 これは,業務活動の通常の過程で作成されたと示すことができる,かつ,侵害されておらず全
てが備わる,業務処理の証拠である。その用語の法的な意味には限定されない。
3.11
機能(function)
ある業務実体が戦略的目的に到達するための,主要な責任を果たす活動の集まり。
3.12
記録のメタデータ(metadata for records)
構造化又は半構造化された情報であり,時間を通じて領域内で及び領域横断的に,記録の作成,管理及
5
X 0902-1:2019 (ISO 15489-1:2016)
び使用を可能にするもの(ISO 23081-2:2007の3.7参照)。
3.13
移行(migration)
フォーマットを変更せずに,記録をあるハードウェア又はソフトウェアの構成から別のものに移す一連
の作業(ISO 30300:2011の3.3.8参照)。
3.14
記録[record(s)]
法的な義務の遂行において又は業務の処理(3.18)において,組織又は個人によって証拠(3.10)及び資
産として作成,受領及び維持された情報。
3.15
記録管理(records management)
記録の作成,受領,維持,使用及び処分(3.8)の効率的で体系的な統制に責任をもつ管理領域。記録形
式で,業務活動及び処理(3.18)の証拠(3.10)及び情報を,捕捉及び維持する一連の作業を含む。
3.16
記録システム(records system)
長期間にわたり記録を捕捉し,管理し,及びアクセス(3.1)を提供する情報システム。
注記 記録システムは,ソフトウェアのような技術的要素(それは,特別に記録の管理のために又は
他の業務目的のために設計されたものでもよい。),並びに方針,手続,人々,その他の行為者,
及び割り当てられた責任を含む非技術的な要素から構成される場合がある。
3.17
スキーマ(schema)
メタデータ要素間の関係性を表す論理的な構成であり,特に,意味,構文及び値の選択肢(必須など)
に関して,通常はメタデータの使用及び管理のためのルールを作ることによって表したもの(ISO
23081-1:2006の3.3参照)。
3.18
処理(transaction)
二人以上の参加者又はシステム間のやり取りから構成される作業プロセス(3.19)の最小単位(ISO/TR
26122:2008の3.5参照)。
3.19
作業プロセス(work process)
統制のルールに適合する成果を産み出すために要求される一つ以上の一連の行為(ISO/TR 26122:2008
の3.6参照)。
4
記録管理の原則
記録管理は,次の原則を基にする。
a) 記録の作成,捕捉及び管理は,いかなるコンテクストにおいても,業務運営に欠くことができない部
分である(5.1参照)。
b) 記録は,形式又は構造にかかわらず,真正性,信頼性,完全性及び使用性という特性をもつとき,業
務の正式な証拠である(5.2.2参照)。
c) 記録は,内容及びメタデータから構成される。それは記録のコンテクスト,内容及び構造,並びに時
6
X 0902-1:2019 (ISO 15489-1:2016)
間の経過に伴う管理を記述する(5.2.3参照)。
d) 記録の作成,捕捉及び管理に関する決定は,業務,法律,規制及び社会のコンテクストの中における
業務活動の分析及びリスク評価に基づく(箇条7参照)。
e) 記録を管理するシステムは,自動化の度合いに関わりなく,記録統制の適用,並びに記録を作成,捕
捉及び管理するプロセスの実行を可能にする(5.3参照)。それらは,特定された記録の要求事項を満
たすため,定義した方針,責任,監視・査定及び研修に依存する(箇条6参照)。
これらの原則は,この規格の以降の箇条で記載する記録管理の概念,統制及びプロセスの中で詳述する。
5
記録及び記録システム
5.1
概要
記録は,業務活動の証拠であり,情報資産である。全ての情報セットは,その構造又は形式にかかわら
ず,記録として管理され得る。これは,業務活動の過程において,作成,捕捉,及び管理される,文書形
式の情報,データの集合又は他の種類の,デジタル又はアナログの情報を含む。
記録管理は,次のことを含む。
a) 業務活動の証拠となるための要求事項を満たすために,記録を作成及び捕捉すること。
b) 時間の経過とともに業務のコンテクスト及び管理の要求事項が変化することに伴い,記録の真正性,
信頼性,完全性及び使用性を保護する適切な行動をとること。
記録の管理において,メタデータは,記録のコンテクスト,内容及び構造,並びに時間の経過に伴う管
理を記述したデータである。メタデータは,どのような記録の場合でも不可欠な構成要素である(5.2.3参
照)。
記録の管理は,記録システムによって支援される(5.3参照)。
5.2
記録
5.2.1
概要
記録は,独自な出来事若しくは処理を文書化し,又は作業プロセス,活動若しくは機能を文書化するこ
とを意図して集合体を構成してもよい。
記録は,形式又は構造に関わりなく,業務の事象又は処理の正式な証拠とみなすため,及び業務の要求
事項を十分に満たすために,真正性,信頼性,完全性及び使用性(5.2.2参照)という特性をもつことが望
ましい。
5.2.2
正式な記録の特性
5.2.2.1
真正性
真正な記録とは,次のことが証明できるものである。
a) 記録が何々であると主張しているものであること。
b) 記録を作成又は送付したと主張する行為者によって,作成又は送付されたこと。
c) 主張されている日時に作成又は送付されたこと。
記録の作成,捕捉及び管理を統制する,業務上のルール,プロセス,方針及び手続(6.2参照)は,記録
の真正性を確実にするために実施及び文書化することが望ましい。記録の作成者は,認定され,識別され
ることが望ましい(6.3参照)。
5.2.2.2
信頼性
信頼できる記録とは,次のものである。
a) 記録の内容が,それらが証言する処理,活動及び事実の十分かつ正確な表現として信頼できること。
7
X 0902-1:2019 (ISO 15489-1:2016)
b) その後の処理又は活動の過程の中で依拠できること。
記録は,関連する出来事の時点,そうでなければ,その後すぐに,その事実に関し直接知見をもつ人物
によって,又はその処理を行うために常に使用しているシステムによって,作成することが望ましい。
5.2.2.3
完全性
完全性をもつ記録とは,完全であり,かつ,変更されていないもののことである。
記録は,許可のない変更から保護されることが望ましい。記録を管理する方針及び手順は,どのような
追記又は注釈ならば記録が作成された後に行ってもよいか,どのような環境の下でそのような追記又は注
釈が認められるか,及び誰がそれを承認するかを特定することが望ましい(6.2参照)。記録に対して承認
されたあらゆる注釈,追記又は削除ははっきりと示して,追跡可能となることが望ましい。
5.2.2.4
使用性
使用性の高い記録とは,利害関係者によって合理的と判断されるある一定期間,所在が分かり,検索で
き,提示され及び読み取ることができるもののことである。
使用性の高い記録は,それを産み出した業務のプロセス又は処理と結び付いていることが望ましい。関
連する業務処理を文書化した記録間の関係性は,維持することが望ましい。
記録のメタデータは,例えば,識別子,フォーマット,保存情報などのような,記録を検索したり,提
示したりするために必要となり得る情報を提供することによって,使用性をサポートすることが望ましい
(5.2.3参照)。
5.2.3
記録のメタデータ
記録のメタデータは,次のものを書き込むことが望ましい。
a) 業務コンテクスト
b) 記録と記録システムとの間の依存性及び関係性
c) 法的及び社会的コンテクストとの関係性
d) 記録を作成,管理及び使用する行為者との関係性
記録メタデータの幾つかは,記録が作成又は捕捉された時点で生成され又は起因となり,以後変化しな
い。これは,記録の捕捉時点のメタデータである。
記録が存在する段階における記録及び他の出来事に関する行為についてのメタデータは,参加行為者に
関することを含め,その記録が使用され及び管理されるにつれ時間とともに増加し続ける。これは,記録
のプロセスメタデータである。
メタデータは,長い期間にわたって蓄積されるので,とりわけ記録の出所を集合的に文書化する。
記録のメタデータは,それ自体が記録として管理されることが望ましい。なぜならば,消失又は無許可
の削除から保護され,評価(箇条7参照)において特定された要求事項に従って保持又は破棄されること
(9.9参照)が望ましいからである。メタデータへのアクセスは,承認されたアクセス及び許可のルール(8.4
参照)を用いて制御することが望ましい。
記録の内容及び関連するメタデータは,複数が同時に存在する場所及びシステムか,又は一つの場所及
びシステムの中で管理してもよい。記録の内容とその結び付いたメタデータとの間の論理的な関係性,又
はつながりは,自動化された又は人の手によるプロセスを用いて作成及び維持することが望ましい。
記録のメタデータは,次のことを記録する情報から構成することが望ましい。
a) 記録の内容の記述
b) 記録の構造(例えば,形式,フォーマット及び記録を構成する要素間の関係)
c) 記録が作成又は取得され,及び使用された業務コンテクスト
8
X 0902-1:2019 (ISO 15489-1:2016)
d) 他の記録及び他のメタデータとの関係
e) 例えば,フォーマット,保存情報など,記録を検索及び提示するために必要とされる識別子及び他の
情報
f)
その存在の始めから終わりまでの記録に関連する業務行為及び出来事(その行為の日時,メタデータ
の変更及びその行為を行った行為者を含む。)
そのようなメタデータをもたない記録は,真正な記録としての特性を欠いている(5.2.2参照)。
追加のメタデータは,評価の間に決定された業務における特定の要求事項だけでなく,管轄及び産業分
野の標準に基づいて要求されることもある(箇条7参照)。
記録メタデータは,メタデータスキーマによって記述及び記録されることが望ましい(8.2参照)。メタ
データスキーマの作成に当たっては,それが適用される業務エリアの評価結果によって,情報を保持する
ことが望ましい(箇条7参照)。
5.3
記録システム
5.3.1
概要
記録システムは,特定された記録の要求事項(7.4参照)が所与の業務環境の中で満たすことができるよ
うに結び付けられた多数の要素からなる。記録システムは,次のようなものであることが望ましい。
a) 記録の統制を適用する(箇条8参照)。
b) 記録の作成,捕捉及び管理のプロセスを実行する(箇条9参照)。
c) 記録内容と記録メタデータとの間の論理的な関係の作成・維持を支援する(5.2.3参照)。
記録システムの設計及び実施は,業務のコンテクスト(7.3参照)及び特定された記録の要求事項(7.4
参照)を考慮に入れるとともに,次の目的を実行するものであることが望ましい。
a) 5.3.2に記載した記録システムの特性への合致
b) 他のシステムとやり取りできる相互運用性,及び記録統制を行うための柔軟なアプローチ
c) 記録の使用及び再使用の容易さ
d) 例えば,システムの改良,経営の再構築など,技術上又は業務上の変化に対する準備
e) 予期せぬ混乱が起きたときの業務中断及び業務継続に対する準備
記録システムは,記録を管理するために特別に設計されてもよいし,又はそれが記録の作成,捕捉及び
管理についても支援するのに適合した,他の業務プロセスのために設計されたシステムであってもよい。
記録の正当性とは,信頼でき,安全で,適合的,包括的及び体系的である記録システムが管理すること
によって支援される(5.3.2参照)。
5.3.2
記録システムの特性
5.3.2.1
信頼性
記録システムは,承認された方針及び手続に従って継続的及び規則正しい運用ができるものであること
が望ましい。記録システムは次のようなものであることが望ましい。
a) 支援する業務活動の範囲内で,日常的に記録を捕捉する。
b) 記録で文書化される行為について,正式な情報の第1の情報源として日常的に機能する。
c) 承認された行為者が関与することを可能にする。
d) 使用できる形式で提示する。
e) 記録に対する適時のアクセスを支える。
f)
許可のない使用,変更注釈,隠蔽又は破棄から記録を保護する。
g) 必要とされる限り記録を保存する。
9
X 0902-1:2019 (ISO 15489-1:2016)
h) 必要な場合には,記録及び記録メタデータをシステムに取り込み(そうでなければ,別の方法で組み
込み),又は一つのシステムから別のものにそれらを出力するための仕組みを用意する。
i)
記録の処分行為を実行できるようにする。
記録システムの信頼性は,それらの操作上,手続上及び適用できる場合には,技術的日常動作の記録を
作成及び補足することによって,文書化することが望ましい。記録のプロセスメタデータ(5.2.3参照)は,
それらを管理しているシステムの信頼性を示していることが望ましい。
5.3.2.2
安全性
アクセス管理,監視,行為者の確認,承認された破棄などの諸方策は,記録についての承認されていな
いアクセス,変更,隠蔽又は破棄を防ぐため,講じることが望ましい。記録へ適用された統制,及びそれ
らが適用された日時についての情報は,記録のプロセスメタデータに記録されることが望ましい(5.2.3参
照)。
記録に残される業務に関わるリスクに応じて,記録に影響を与えるあらゆる安全上の出来事は,プロセ
スメタデータとして文書化することが望ましい。
組織情報セキュリティ及び業務継続方策には,記録システムのための方策を含むことが望ましい。
5.3.2.3
適合性
記録システムは,業務,コミュニティ又は社会の期待,並びに法律及び規制環境(7.4参照)から生じる
要求事項に適合するように管理することが望ましい。そのような要求事項に対する記録システムのコンプ
ライアンスは,定期的に評価されることが望ましい(6.4参照)。これらを評価した記録は,保持されるこ
とが望ましい。
5.3.2.4
包括性
記録システムは,関連する様々な業務において全ての必要とされる記録を管理できることが望ましい
(7.4参照)。
記録システムは,関連する業務活動の領域で使用される様々な技術を用いて作成された記録を管理でき
ることが望ましい。
5.3.2.5
体系性
記録の作成,捕捉及び管理は,記録システムの設計及び日常的な運営を通して(5.3参照),また,承認
された方針及び手順(箇条6参照)に従うことによって,体系的であることが望ましい。
6
方針及び責任
6.1
概要
方針及び責任は,記録の作成,捕捉及び管理並びに記録システムの設計,使用及び管理の要求事項を満
たすことを支援することが望ましい。
記録システムが特定された記録の要求事項(7.4参照)に合致することを確保するために,方針及び責任
は,次のことに関する責任及び承認を規定することが望ましい。
a) 記録の作成者
b) 記録の管理に関わる者
c) 記録システムのその他の使用者
方針は,記録の作成,捕捉及び管理について,より詳細な指示を提供する手順によってサポートするこ
とが望ましい。
監視及び査定の方策は,特定された記録の要求事項を満たしているかどうか,また,そうでないならば,
10
X 0902-1:2019 (ISO 15489-1:2016)
どこで修正措置が必要とされるかを決めるために(6.4参照),導入することが望ましい。
記録システムの方針,手順及びその運用は,トレーニング(6.5参照)によって支えられることが望まし
い。
6.2
方針
記録の管理に関する方針を開発し,文書化し及び実施することが望ましい。方針は,業務目的から導か
れ,記録を管理する業務上のルール又は手順によって支えられることが望ましい。
方針の開発は,方針の範囲(7.4参照)に関する記録の要求事項だけでなく,業務のコンテクスト(7.3
参照)をも理解することに基づくことが望ましい。
記録管理に関する方針を発行及び実施する目的は,必要とされる期間,完全性を保持し,業務活動を支
援可能にする,真正で信頼できる有用な記録を,作成,捕捉及び管理することであることが望ましい。
方針は,例えば,それらが記録管理のどの局面をカバーするのかという範囲についての宣言,適用規格
及び監査の要求事項についての記述を含むことが望ましい。また,その方針が関係する業務活動を明示す
ることも望ましい。
方針は,業務プロセスの終了段階で必要な行為について述べることが望ましい。これらは,記録システ
ムの廃止措置,並びに移行(9.8参照)及び記録の処分(9.9参照)が適切に行われるようにする資源配分
を含む。
方針は,法律,規制,標準,その他の指令及びベストプラクティスが,どこで記録の作成,捕捉又は管
理に影響を及ぼすのかを定義することが望ましい。
方針は,適切な意思決定のレベルで承認され,署名されることが望ましい。また,必要に応じて内外に
公表することが望ましい。方針に対する及び方針順守を確保する責任は,割り当てられることが望ましい
(6.3参照)。
方針は,それらが現在の業務の必要性を反映することを確保するため,定期的に見直されることが望ま
しい。方針は,見直される期間,及び誰が見直しに責任をもつかを表明することが望ましい。
改訂された方針は記録であるので,それ自体を保持し,管理することが望ましい。
6.3
責任
記録の作成,捕捉及び管理に関する責任及び権限は,定義し,割り当て,及び公表することが望ましい。
記録の作成,捕捉及び管理についての決定は,特定された記録の要求事項及びリスクアセスメント(箇
条7参照)に基づく業務決定である。決定は関連する管理職が承認し,文書化することが望ましい。
責任は,業務の一部として記録を作成及び使用する全ての人員に指定するとともに,必要な場合には,
職務記述書及び同様の宣誓書に反映することが望ましい。
責任をもつ人物の指定は,法律によって割り当てられることがある。記録の管理に関する具体的な指導
責任は,例えば,上級管理職などの相応の権限をもつ人物に割り当てることが望ましい。
責任の指定は,次のことを含めてもよい。
a) 記録専門家は,記録システムの設計,実施,維持管理及びその運用を含む記録管理の局面,並びに個々
の実践に影響を与えることとなるので,利用者側の責任及び記録システムの操作について利用者を教
育することについて,全体的に又は部分的に責任をもつ。
b) 記録専門家又は記録の管理に責任をもつ他の者は,例えば,情報技術専門家,管理職,法律専門家な
どの他の人材と協力して,メタデータスキーマ及び他の制御に関する,開発,実施及び維持管理につ
いて責任をもつ。
c) 上級管理職は,記録管理に関する方針の開発及び実施にかかる支援を確保する責任をもつ。
11
X 0902-1:2019 (ISO 15489-1:2016)
d) 管理職は,業務範囲で運用される作業プロセスに関する記録の要求事項が満たされることを確保する
責任をもつ。
e) システム管理者は,統制下で記録システムが継続的及び信頼できる稼働を確保すること,並びに全て
のシステム文書が完成し,及び更新されることを確保することに関し責任をもつ。
f)
全ての従業員は,自身の業務活動の正確で完全な記録を作成及び保持することについて,責任をもち
及び説明をする義務がある。
6.4
監視及び査定
基準を定め,記録の方針,システム,手順及びプロセスを監視し,査定することが望ましい。
記録の作成,捕捉及び管理は,必要に応じて記録専門家,情報技術専門家,法律専門家,監査役,業務
管理職及び上級管理職の関与及び支援によって,定期的に監視及び査定することが望ましい。
監視及び査定は,次のことを確保するために計画することが望ましい。
a) 記録のシステム及びプロセスの,認証された方針及び業務の要求事項に従った実施
b) 記録のシステム及びプロセスの,定義され,計画されたとおりの運用
c) 記録の要求事項に関する変化の達成
d) 記録の管理における継続的な改善
第三者によって提供されるシステム及びプロセスも,また,評価基準書としての記録管理に関する契約
要求事項を用いて,監視及び査定することが望ましい。
監視及び査定プログラムの設計は,次のものであることが望ましい。
a) 監視及び査定活動の責任の割当て
b) 監視及び査定するために必要のあることの決定
c) 有効な結果を確保するために,測定し,監視し,分析し,及び査定する方法の定義
d) いつ監視及び査定が行われることが望ましいかの決定
e) いつ監視の結果が分析され,査定されるのが望ましいかの決定
f)
適切な修正行為を考案する責任の割当て
記録の作成,捕捉及び管理の,監視及び査定は,既存の監視サイクルに統合され,又は独立したものと
して実行されることがある。監視及び査定は,全体として又は部分的に,外部団体が引き受けてもよい。
記録の方針,システム及びプロセスの修正は,それらが不適切又は効果がないと分かった場合に行われ
ることが望ましい。
監視及び査定活動の記録は,作成,捕捉及び管理することが望ましい。
6.5
能力及びトレーニング
記録の作成,捕捉及び管理に関する責任を割り当てられる人は,これらの任務を実行する能力をもつこ
とが望ましい。能力は,定期的に査定されることが望ましく,並びにそのような能力及びスキルを,開発
し及び高めるトレーニングプログラムは,必要なところで設計し,実施することが望ましい。
トレーニングプログラムは,継続的であり,記録の管理のための要求事項,方針,実務,役割及び責任
を含むことが望ましい。また,記録の作成,捕捉及び管理に関わる業務活動のどこかの部分に責任をもつ
一方の誰かにだけでなく,経営者側及び従業員側の全てのメンバに取り組ませることが望ましい。
記録専門家及び記録の管理に責任をもつ他の者が必要な能力を維持するため,記録の管理のための中核
となる能力に関するトレーニング及び他の専門的能力開発を行うことが望ましい。
記録の作成,捕捉及び管理に関するトレーニングは,可能なところでは,既存のトレーニングプログラ
ムに組み込むことが望ましい。
12
X 0902-1:2019 (ISO 15489-1:2016)
トレーニングプログラムは,関連するところでは,請負業者,ボランティア及び他組織の人員を含むこ
とが望ましい。
トレーニングプログラムは,上級管理職によって支えられ,及び推進されることが望ましい。
7
評価
7.1
概要
評価は,どの記録を作成及び捕捉する必要があるのか,並びにどれだけの期間,記録を保持しておく必
要があるのかを決めるため,業務活動を査定するプロセスである。
注記 この規格は,“評価”という用語の伝統的な用法を拡張して,どの記録を作成及び捕捉し,並び
にどのようにして長期にわたる適切な記録管理を確保するのかということに関する意思決定を
可能にするため,業務コンテクスト,業務活動及びリスクの分析を含むこととする。
評価は,業務コンテクストの理解と,記録によって満たすことが望ましい業務証拠のための要求事項の
特定とを組み合わせる。これは,次のことを含む。
a) 業務の性質,並びにその法的,資源的及び技術的環境の理解の形成
b) どのような記録を作成し,どのようにして様々な適合要件を満たすよう管理するかを決めるためのリ
スクアセスメント
1) 一般に業務に影響を与えるリスク
2) 記録の作成,捕捉及び管理を通して管理できるリスク
評価は,内部の利害関係者,及び必要な場合には外部の利害関係者と協力して実行することが望ましい。
評価は,文書化することが望ましい。これは,次の記録を保持することを含む。
a) 文書の情報源及び利害関係者のインタビューを含め,その分析を行うに当たり参考にした情報源分析
の実施に参照したあらゆる情報源
b) リスクアセスメントの結果
c) 評価の決定
必要とされる場合には,評価決定は上級管理職によって承認されることが望ましい。
評価の結果は,様々な目的に使用してもよく,記録システムの設計及び実施(5.3参照),方針及び手順
の開発(箇条6参照),メタデータ要求事項の定義(5.2.3参照),並びに/又は,例えば,処分権限(8.5
参照),アクセス及び許可のルール(8.4参照)などの記録統制の開発を含む。
評価は,業務活動の環境及びリスク要因が変化することに伴い,繰り返し行うことが望ましい。
7.2
評価の範囲
評価の範囲は,それを実施する理由を考慮して決定することが望ましい。評価を実施する理由は,次の
ことを含んでもよい。
a) 新しい組織の成立
b) 機能又は活動の消失又は獲得
c) 変化する業務の実践又は必要性
d) 規制環境の変化
e) 新システム又はシステムのアップグレードの導入
f)
変化するリスク又は優先順位の認識
評価の範囲は,また,評価を実施する理由に影響を受ける機能,活動又は作業プロセスを特定すること
によって決めることが望ましい。
13
X 0902-1:2019 (ISO 15489-1:2016)
7.3
業務の理解
評価は,組織及びその業務活動を理解することを要求し,次を含むが,ただし限定されるものではない。
a) 組織の運営,態度及び戦略的方向性に影響を与える内的及び外的要因
b) 運営上,法律上及び他の要求事項
c) 技術の調達及び利用
d) 内的及び外的利害関係者の要求事項
e) 管理されるべきリスク
f)
業務活動の内的及び外部コンテクストの理解
g) 機能及び/又は系列分析の手法を用いた,引き受けている機能及び実行する作業プロセスの分析
h) 業務行為に関わる内的及び外的行為者の特定
業務に責任をもつ組織を理解することは,組織が一つ以上の産業,部門,管轄及び/又は地理的領域に
おいて,協力的又は独立的に働く複数の組織から構成されているかどうかを識別することを含むことが望
ましい。
7.4
記録の要求事項の決定
記録の要求事項とは,業務活動の証拠のための要求事項である。
記録の要求事項は,業務活動及びそのコンテクストの分析に基づき(7.3参照),並びに次のものから導
かれる。
a) 業務の必要性
b) 法律上及び規制上の要求事項
c) コミュニティ又は社会の期待
記録の要求事項は,何らかの記録プロセスに関連することがある(箇条9参照)。それらは,内容及びメ
タデータ,他の記録との結び付き,並びに/又は形式若しくは構造に関する要求事項を含む場合がある。
記録の要求事項は,機能,産業及び管轄の全体に当てはまることもあり,又は特定の機能,活動,作業
プロセス若しくは処理だけに当てはまることもある。
記録の要求事項は,コンテクスト依存であり,それは類似の又は同一の作業プロセスが,それらが文書
化する業務の性質により,異なる記録の要求事項をもつことがあることを意味する。
特定された要求事項は,評価の範囲内において相応しい特定の機能,活動又は作業プロセスと結び付け
られることが望ましい(7.2参照)。
7.5
記録の要求事項の実施
記録の要求事項は,記録システム,記録統制,記録の管理及び手順に関する方針,又はこれらの組合せ
を通して実施されてもよい。実施は,役割及び責任の割当て,トレーニング,システム運用の監視並びに
方針及び手続に関する順守の監視によって下支えされることが望ましい(箇条6参照)。
記録の要求事項を実施する方法は,業務環境を参照するとともに,資源及びスキルに関する組織の能力,
並びに使っている情報及び記録システムの性質を特に考慮して決定することが望ましい。
特定された記録に対する要求を実施するに当たっては,必要とする資源とのバランスをとったリスクの
評価に基づき,決定されることが望ましい。より重大なリスクに関わる要求事項は,より大きな資源の投
資,並びに追加的な監視及び査定の方策をもって取り組むことが望ましい。
監視及び査定(6.4参照)は,記録の要求事項が満たされているかどうかを検査することが望ましい。ま
た,満たしていない場合には,その査定では,それらが今後満たすことが確かになるように,適切な修正
行為を正式に述べることが望ましい。
14
X 0902-1:2019 (ISO 15489-1:2016)
記録の要求事項及びそれを満たす方法の決定は,文書化することが望ましい。特定した要求事項に適合
しない決定は,組織の上級管理者によって承認されることが望ましい。
記録の要求事項は,評価にとっての再発する一連の作業の一部として,定期的に見直すことが望ましい。
8
記録の統制
8.1
概要
記録の統制は,記録の要求事項(7.5参照)が満たされることを支援するように開発することが望ましい。
記録の統制は,次のものを含む。
a) 記録のメタデータスキーマ
b) 業務分類体系
c) アクセス及び許可のルール
d) 処分権限
記録の統制は,技術及び業務の環境に依存しながら,様々な形式で設計され,及び実施されてもよい。
それらの設計及び実施は,相互に作用することが必要な記録システムの性質を考慮することが望ましい。
評価の結果は,記録統制の開発及び見直しにおいて用いることが望ましい(箇条7参照)。
記録の作成,捕捉及び管理のプロセス(箇条9参照)は,最新の記録の統制に依拠する。そのため,記
録統制は,定期的に見直すことが望ましい。
取って代わられた記録統制の旧版は,評価で特定された要求事項に従い,記録として保持及び管理する
ことが望ましい(箇条7参照)。
8.2
記録のメタデータスキーマ
メタデータスキーマは,記録を特定し,記述し,管理するために用いられるメタデータを定義するため
開発することが望ましい。記録が真正な記録(5.2.2参照)としての特性をもつため,それらに関連したメ
タデータは,承認されたメタデータスキーマに基づくことが望ましい。
メタデータスキーマは,様々な実体に関連する場合がある。記録を管理するための鍵となる実体は,次
のものである。
a) 記録 集合体の全てのレベルを含む。
b) 行為者 個人,業務単位,技術又は業務,及び記録システムを含む。
c) 業務(又は機能) 業務の機能,活動,及び処理又は作業プロセス
d) 指令書 業務及び記録の作成又は管理の実施を統制する,法律及びその他の要求事項
e) 関係 実体と集合体のレイヤーとの間におけるもの
記録のためにメタデータスキーマを実装する方法として,全てに対してメタデータが指定されている場
合又は“記録”などの一つだけに指定されている場合がある。実装における複雑性の度合いは,リスク(箇
条7参照)を含む,特定された記録の要求事項及び業務コンテクストを反映していることが望ましい。
記録のためのメタデータスキーマは,捕捉メタデータ及びプロセスメタデータの場所の作成を支えるこ
とが望ましい(5.2.3参照)。
業務特有のメタデータは,記録の要求事項(7.4参照)を決定するときに特定することが望ましい。
メタデータは,次のために定義することが望ましい。
a) 記録の特定及び検索を可能にする。
b) 記録と変化する業務上のルール,方針及び指示書とを結び付ける。
c) 記録と行為者,並びに記録に関するそれらの許可及び権利とを結び付ける。
15
X 0902-1:2019 (ISO 15489-1:2016)
d) 記録と業務活動とを結び付ける。
e) 例えば,アクセスルールを変更すること,記録を新システムに移行することなど,記録に関して実行
されたプロセスを追跡する。
メタデータの大別した6分類を,記録の管理において用いてもよい。それらは,実装の複雑性によって,
全ての実体[8.2の最初のa)〜e)を参照],又はより少ない部分に適用してもよい。その6分類は,次のと
おりである。
a) 識別 実体を特定するための情報
b) 記述 実体の性質を決定する情報
c) 使用 実体の即時及び長期の使用を容易にする情報
d) 予定される事象 例えば,処分情報など,実体の管理に用いられる情報
e) 実施履歴 実体及びそのメタデータ両方に関する過去の事象を記録している情報
f)
関連 実体と他の実体との間の関係を記述している情報
記録のメタデータスキーマは,システム横断的相互運用性,情報の共有,並びにプロセスの移行(9.8
参照)及び移管(9.9参照)を可能にするフォーマットで表現することが望ましい。
記録のメタデータスキーマは,記録システム(5.3参照)の設計及び実装,並びに記録を作成,捕捉及び
管理するプロセス(箇条9参照)において活用することが望ましい。
記録のメタデータスキーマは,例えば,現在の認証された処分権限(8.5参照)から捕捉した処分情報,
アクセス及び許可のルール(8.4参照),業務分類体系(8.3参照)など,他の正当な記録統制を参照する
ことが望ましい。
幾つかの管轄では,既に存在する,当該管轄で認められたメタデータスキーマに,合致又は適合するこ
とが望ましい。
8.3
業務分類体系
業務分類体系は,記録をその作成のコンテクストと結び付けるためのツールである。記録の要求事項(7.4
参照)を業務分類体系と結び付けることによって,記録の適切な管理のためのプロセスを実行することと
なる。
記録をその業務コンテクストに結び付ける行為は,一連の分類作業(9.4参照)であり,それは,次のこ
とを支援する。
a) アクセス及び認可のルール(9.5参照)の適用
b) 適切な処分のルール(9.9参照)の実行
c) 組織再編の結果として生じる特定業務の機能又は活動の記録の新しい環境への移行(9.8参照)
記録に適用できる業務分類体系の作成は,機能,活動及び作業プロセスの分析(7.3参照)に基づくこと
が望ましい。
組織変化への弾力性を維持するために,業務分類体系は,組織構造を基盤にするよりもむしろ機能及び
活動に基づくことが望ましい。
業務分類体系は,階層的又は相関的であってもよい。また,業務を最もよく表すものに依拠して,様々
なレベルの関係から構成してもよい。分類の統制に要求される特性及び度合いは,記録の要求事項(7.4
参照)の理解及び稼働中の記録システムの性質(5.3参照)に基づくことが望ましい。
業務分類体系は,例えば,検索補助のため記録に名称を付与するために用いるシソーラスなどのような
語彙統制によって支援してもよい。
16
X 0902-1:2019 (ISO 15489-1:2016)
8.4
アクセス及び許可のルール
記録に適用する,アクセス権を特定する一連のルール,並びにその許可及び制限の方法は作り上げるこ
とが望ましい。
記録に適用されるアクセス及び許可に関するルールの範ちゅう(疇)は,評価の結果,特に行為者の特
定(7.3参照)及び記録の要求事項の決定(7.4参照)に基づくことが望ましい。
アクセス及び許可のルールは,次の項目と関連している。
a) 行為者
b) 業務活動
c) 記録
アクセス又は許可のレベルは,これらの実体のそれぞれに割り当ててもよい。しかしながら,少なくと
も記録及び行為者の実体には適用することが望ましい。
記録システムは,アクセス権及び許可のルールの継続的な見直しを許容するように設計することが望ま
しい。また,アクセス権及び許可のルールは,個々の記録に,又は集合体としての記録に更に関連付ける
ことを許容することが望ましい。
権利及び許可は,法律・規制環境,業務活動及び社会からの期待が変化するにつれ,長期にわたって変
化してもよい。したがって,アクセス及び許可のルールは,日常的に監視及び更新し,並びに利用制限は
適切な場合に削減又は除去することが望ましい。
8.5
処分権限
処分権限は,記録の処分を規則正しいものとするために設定することが望ましい。処分権限の設定に関
する責任は,法律,規制及び方針によって特定することが望ましい。
処分権限の設定は,記録の保持及び処分のルールを制定する目的で実施される,評価(箇条7参照)の
結果に基づくことが望ましい。これらのルールは,記録システムの設計(5.3参照)及び記録プロセスの運
用を通して適用することが望ましい(箇条9参照)。
処分権限は,保持期間及び処分行為が同一である記録のグループ又はクラスを同定することが望ましい。
クラスは,業務コンテクストに結び付くことが望ましく,また,次のものから構成することが望ましい。
a) クラスの識別子
b) クラスの記述(例えば,機能又は活動の記述)
c) 処分行為(例えば,破棄,移行又は移管)
d) 保持期間
e) 開始事象(いつから保持期間を計算するか)
処分のクラスは,機能又は系統の分析から生成してもよい(7.3参照)。この場合,処分権限は,関連す
る機能,活動及び/又は作業プロセスを記述した情報を含むことが望ましい。
処分権限は,また,記録がある保存環境から他のものへいつ移動するのが望ましいかということに関す
る,又は記録が責任ある組織によって継続的に保持されるための指示書を含んでもよい。
処分権限は,許可され,日時が付与され,実施され,及び変化する要求事項を考慮するため定期的に見
直すことが望ましい。幾つかの管轄において,これは規制機関又は承認された第三者機関からの承認を含
むことが望ましい。
処分権限の実施は,監視及び文書化(9.9参照)することが望ましい。また,評価の結果として特定する
場合には,記録において文書化される業務活動に影響するあらゆる新しい要求事項に関して,定期的に見
直すことが望ましい(箇条7参照)。
17
X 0902-1:2019 (ISO 15489-1:2016)
9
記録の作成,捕捉及び管理のプロセス
9.1
概要
記録を作成,捕捉及び管理するプロセスは,記録システムを含め,手順及び適用できるシステムに統合
することが望ましく,また,適切な場合には,記録統制の使用を含むことが望ましい(箇条8参照)。それ
らは,方針,指定された責任,手順及びトレーニング(箇条6参照)によって支援されることが望ましい。
これらのプロセスには,次のことを含む。
a) 記録の作成
b) 記録の捕捉
c) 分類及び索引作業
d) アクセス管理
e) 記録の保存
f)
使用及び再使用
g) 移行又は変換
h) 処分
記録プロセスの設計及び実施についての決定は,既存の記録プロセス及び運用中の記録システムに関す
る知識を反映することが望ましい。
プロセスが第三者業者によって実行される場合,サービスレベルの同意書又は契約書では,当該プロセ
スの要求事項を特定するとともに,関連する監視及び査定の方策(6.4参照)を組み込むことが望ましい。
それらの業務は,契約上の要求事項に照らして,日常的に監視することが望ましい。
9.2
記録の作成
記録は,業務活動を実行するために作成,又は収受及び捕捉される。記録に関する業務上,法律上及び
他の要求事項は,評価(箇条7参照)を通して識別する。これらの要求事項は,作業プロセス及び記録シ
ステムが設計又は再設計されるときに,記録作成のあり方を特定するために使用する。
記録の作成は,内容及びそれらの作成環境を文書化するメタデータの作成を含むことが望ましい。
9.3
記録の捕捉
特定された要求事項を満たすため,ある記録を保持及び管理する必要があることを評価が指示した場合,
このことは記録システム内でそれらの記録を捕捉することによって行われることが望ましい。捕捉は,最
小限のこととして,次の事項を含むことが望ましい。
a) 一意の識別子の割当て(機械による生成及び可読,又は人間による可読のいずれか)
b) 捕捉時点の記録に関するメタデータの捕捉又は生成
c) 記録と他の記録,行為者又は業務との関係の作成
記録の捕捉事案において生成,追加又は取得されるメタデータは,承認されたメタデータスキーマに従
うことが望ましく,また,記録に永続的につながっていることが望ましい。
捕捉時点で,記録のコンテクストを文書化するメタデータは,処理の証拠として固定し,及び保持する
ことが望ましい。一意の識別子は,長期にわたり持続することが望ましい。
記録は,長い間には様々な記録システムにおいて何度も捕捉されてもよい。例えば,業務実体が合併す
る事態となったときなどである。出来事の一つ一つは,プロセスメタデータとして記録することが望まし
い。ある記録が記録システムに一度捕捉されたならば,その記録に影響を与える出来事,又は記録を使用
する出来事についてのメタデータは,運用中の基盤の上に生成することが望ましい。
18
X 0902-1:2019 (ISO 15489-1:2016)
9.4
記録の分類及び索引作業
分類は,ある業務分類体系におけるカテゴリに記録を関連付けることによって,記録を業務コンテクス
トに結び付けるものである(8.3参照)。
記録の分類は,次のことを含む。
a) ある適切なレベルで,記録を文書化されている業務に関連付けること(例えば,機能,活動又は作業
プロセスに対して)
b) 業務活動のある連続する記録を提供するため,個々の記録と集合体との間の関係をつくること
記録の分類は,個々の記録に,又は集合体のいかなるレベルに対しても適用できる。
ある記録は,それが存在する限り,その時々において何度か分類してもよい。再分類の場合,変更前の
分類メタデータはどれも保持されることが望ましい。
インデックスのメタデータは,また,記録にアクセスすることを認められた行為者のために,記録をよ
り検索しやすくするために使用してもよい。例えば,主題,場所,個人の名称などのインデックスメタデ
ータは,捕捉の時点で記録と関連付けることができ,それらが存在する期間中要求されるものとして追加
してもよい。
9.5
アクセス管理
記録へのアクセスは,承認された一連の作業によって管理することが望ましい。
記録システムは,行為者に対する記録アクセスの提供及び制限を,個別に又は集合的に支援するように
設計することが望ましい。記録へのアクセス(機械によるもの又は機械によらないものであっても)のた
めの記録システムの仕組みは,最新で,かつ,承認されたアクセス及び許可のルール(8.4参照)を用いて
実施することが望ましい。アクセスのルールは,承認されたユーザに対して,記録受渡しのツール,記録
のメタデータ,又は編集した記録の使用を求めてもよい。
アクセスルールの適用については,適切なレベル(個々の記録から集合体の全てのレベルまでの範囲)
で,記録のプロセスメタデータの一部として記録することが望ましい。これらのルールの変更は,また,
変更した権限及び日付を含め,プロセスメタデータとして記録することが望ましい。
記録へのアクセス事例は,業務活動のために特定された要求事項及び業務活動に関わりをもつリスクに
応じて,記録することを必要としてもよい。
9.6
記録の保存
形式又は媒体にかかわらず,記録は,窃盗及び災害を含む,許可されていないアクセス,変更,消失又
は破棄から保護される方法で保存することが望ましい。これは,次のことを確保するための方策を導入す
ることが望ましいことを意味する。
a) 適切な保存環境及び媒体
b) 必要な場合には保護資材及び特別な取扱い手順の活用
c) 物的及び情報上のセキュリティに関する日常的な保護及び監視
d) 承認を受ける災害計画及び復旧手順の作成・試験,並びにこれらにおいて関係する職員のトレーニン
グ
記録のメタデータは,保存の情報を含むことが望ましい。これは,組織の記録システム又は外部の提供
者のシステムから導き出される場合がある。この情報は,記録の安全性を位置付け,又は監視するのに十
分であることが望ましい。
環境及び媒体,保護資材,扱い手順,並びに保存システムを含む記録保存は,記録のアクセシビリティ
又は完全性に対するリスクを特定するために,日々監視され及び査定されることが望ましい。
19
X 0902-1:2019 (ISO 15489-1:2016)
9.7
使用及び再使用
記録は,保持されている限り使用できることが望ましい。記録のシステムは,記録の容易な使用(5.3
参照)を支援するために設計することが望ましい。継続的な使用性を確保する方策は,次のことを含めて
もよい。
a) 記録の技術上の依存に関する適切なメタデータを適用し,維持管理すること
b) 記録の追加コピーを作成すること及び記録を代替形式に変換すること
c) 記録を移行すること
d) 記録システム又は保存領域に影響を与える災害にあった場合における,記録のアクセス及び使用性を
確保する計画を準備すること
e) 保存状態の日常的な監視を設定すること
例えば,変換(9.8参照)などの記録の使用性を高めるために行うプロセスのメタデータは,プロセスメ
タデータの中に記録することが望ましい。
作成,移行又は変換の際に記録の形式についてなされる決定は,記録の使用性に由来する便益を考慮す
ることが望ましい。
業務処理の一部としての(他の内部又は外部の作業プロセスにおける)記録内容の再使用は,その捕捉
ポイント及び管理プロセスについての独立したメタデータとともに,新しいコンテクストにおける新しい
記録を作成することとなる。
9.8
記録の移行及び変換
システムの廃止を含めた業務システム及び/又は記録システムとの間の,又はアナログからデジタル形
式(デジタル化)への移行及び変換のプロセスは,計画され,文書化され,並びに内部及び外部の利害関
係者に伝えられることが望ましい。
移行及び変換プロセスを導く情報源となる記録の廃棄は,承認されることが望ましい。
移行及び変換の間,それを生み出したシステム又は形式において,全ての記録内容及びそれに関連する
メタデータは,そのプロセスが終了し,移送先のシステム又は形式の完全性及び信頼性が制御され,並び
に安全が保証されるまで,保持することが望ましい。
移行又は変換プロセスは,外部の専門機関によって監査され,承認され,又は証明されることを必要と
してもよい。
9.9
処分
処分プロセスは,承認された現在の処分権限(8.5参照)の中でルールに基づいて実行することが望まし
い。記録システムは,処分行為(5.3参照)の実行を支援するために設計することが望ましい。
記録及びメタデータは,処分権限において特定された期間,保持することが望ましい。処分権限で特定
される処分行為は,実施することが望ましい。これらには,次のことを含めてもよい。
a) 記録及びメタデータの破棄
b) 記録及びメタデータの管理を,再編,売却,民営化又は他の業務の変化を通して,業務活動の責任を
引き受けた組織へ移転すること
c) 記録及びメタデータの管理を,永続的保持のために組織の又は外部のアーカイブに移管すること
処分行為は,記録のための要求事項(7.4参照)に変更がなかったことを確保するため,実施以前に精査
することが望ましい。
一部の記録のメタデータは,それに関連する記録にとっての最小限の保持期間を超えて保持することが
求められることがある。処分プロセスは,これらの要求事項を支援することが望ましい。
20
X 0902-1:2019 (ISO 15489-1:2016)
次の原則によって,記録の破棄を統御することが望ましい。
a) 破棄は常に承認を受けることが望ましい。
b) 未解決,進行中の訴訟若しくは法的な行為,又は調査に関連する記録は,その行為が進行中又は起こ
ると予想される間,破壊しないことが望ましい。
c) 記録の破棄は,完全な破壊を確保し,及び記録に関するいかなる安全性又はアクセス制限をも順守す
る方法で実行することが望ましい。
d) 処分行為と同様,破棄は文書化することが望ましい。
21
X 0902-1:2019 (ISO 15489-1:2016)
参考文献
[1] ISO 13008,Information and documentation−Digital records conversion and migration process
[2] ISO 16175 (all parts), Information and documentation−Principles and functional requirements for records in
electronic office environments
[3] ISO 23081-1:2006,Information and documentation−Records management processes−Metadata for records
−Part 1: Principles
[4] ISO 23081-2:2009,Information and documentation−Managing metadata for records−Part 2: Conceptual and
implementation issues
[5] ISO 30300:2011,Information and documentation−Management systems for records−Fundamentals and
vocabulary
[6] ISO 30301,Information and documentation−Management systems for records−Requirements
[7] JIS Q 27001 情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−要求事項
注記 原国際規格では,ISO/IEC 27001,Information technology−Security techniques−Information
security management systems−Requirementsを記載している。
[8] ISO/TR 18128,Information and documentation−Risk assessment for records processes and systems
[9] ISO/TR 26122:2008,Information and documentation−Work process analysis for records