マネジメントシステムというと、ISO認証規格が有名で、品質規格(QMS)とし
て9001や環境規格(EMS)として14001が普及しています。一方で、まだ発展途上
ではありますが、情報セキュリティ規格(ISMS)として27001があります。もち
ろん、その他にもISO認証規格はあります。
ISO認証規格が適切に運用されれば、マネジメントシステムという名称のとお
り非常に有効な管理システムとしての効果を発揮します。しかし現実には、ISO
マネジメントシステムの認証維持が組織の負担を増大させ業務効率に悪影響を及
ぼしているケース、逆にマネジメントシステムの運用がなおざりにされて本来の
機能が発揮されずに形骸化しているケースも一部にみられます。このような中で、
組織の負担を軽くする取組が特に環境規格で拡がっており、例えば代表的なKES
が京都から出ています。
さて、今回はマネジメントシステムとしてISMS(ISO27001)とPMS(プライバ
シーマーク認定規格:JIS Q15001)を対象に考えてみます。
インターネットは社会に浸透しており、パソコンやゲーム機器だけでなく家電
製品もネットワークに接続される時代になっています。今やIT(情報技術)及び
ネットワークなしの生活は考えられません。一方、2005年春の個人情報保護法全
面施行以来、国民の個人情報保護への意識は格段に高くなり、一部では過剰反応
さえ見られます。このような環境下で地方自治体や大手企業と取引するに際して、
ISO27001認証又はプライバシーマーク認定取得が事実上の条件になりつつある傾
向さえ見られます。もちろん一般消費者を対象に、インターネット販売を相応の
規模で展開する場合は、これらの規格認定が重要なアピールポイントになってい
ます。
ところで、ISO認証審査機関は、その多くが“経営に役立つマネジメントシス
テム”“経営に貢献する審査”をすると言っています。プライバシーマークにお
いては、そのように明言していませんが、同様の方向を目指していると思って良
いでしょう。この言葉は、どの程度実現しているのかを考えると、決して高い割
合ではありません。高い割合で実現しているのなら、わざわざ審査機関が口にす
る必要は無いのです。また、私の審査経験から言っても“経営に貢献している認
証維持”を実現していると感じる受審組織は少ないのです。
この原因は、受審組織側と審査機関側の双方にあります。受審組織側では、こ
れらのマネジメント規格に取り組む姿勢が、まず決定的に重要になります。自社
の経営管理の仕組みから分離して、例えばISO27001認証又はプライバシーマーク
認定取得のみを追求する(認証ロゴマークだけ欲しいというケース)と、“経営
に貢献しない”もしくは“経営の重荷になる”可能性が非常に高くなります。こ
れと逆に、自社の経営管理システムとの融合を図る又は自社の経営管理システム
に活用することに腐心する組織は、“経営に貢献する規格認証”を実現できる可
能性が高まります。しかし、現実には認定取得する又は維持更新することが精一
杯で、そこまで踏み込んだ取組をしていないケースが多いのです。
一方、審査機関側の問題では、“経営に貢献する審査”の内容が明確に分かっ
ているのかという疑問、また“経営に貢献する審査”をできる審査員がいるのか
という人材の問題、コンサルティングではなく審査であるという立ち位置の問題
があります。“経営に貢献する“ためには、経営のポイントが分かることが前提
になりますが、本当に経営者の経験を持つ審査員はどれくらいいるのか、あるい
はMBA(経営学修士)や中小企業診断士で実務経験もある審査員はどれくらいい
るのかと見まわした場合、該当者は多くないことに気が付きます。このような変
革に関わる問題には長期間を要します。立ち位置の問題は、審査員のバランス感
覚とスキルによって補うことができると思われます。
そもそも、これらマネジメントシステムの構造をみれば分かりますが、“経営
管理システム”ではなく、“管理システム”の代表例と思われます。つまり、経
営にとって一番重要な組織環境の変化に対応して意志決定していく機能は非常に
貧弱で、現実は意志決定の後の目標管理システムなのです。しかし、中小企業で
は有効な管理システムが構築されていないケースが多く、そのような場合にはマ
ネジメントシステム規格認証への取組は非常に有効な組織のレベルアップ(成熟
度の向上)手段になります。先ずは管理システムを定着させながら、より強力な
経営システムの構築を図ることが現実的に適切な手法と考えられます。
以上は、私の審査経験を通してマネジメントシステム本来の効果を実現できて
いないと思う受審組織が存在しているという事実に根ざしています。プライバシ
ーマークは高額とは言えませんが、ISO規格の認証維持には相応のコストが伴い
ます。また、当該マネジメントシステム推進の取組も相応の労力と時間を要しま
す。従って、事業を展開する上でマネジメントシステム規格認証が必要な場合は、
経営の重荷になるような結果を招くコンサルタントや審査員・審査認証機関を識
別して利用することが肝要でしょう。
■執筆者プロフィール
中村久吉(なかむらひさよし)
ITコーディネータ、中小企業診断士、社会保険労務士
ISO27001主任審査員、プライバシーマーク主任審査員
e-mail: eri@nakamura.email.ne.jp
コメントをお書きください