『光陰矢の如し』の言葉どおり時間の過ぎるのは速いもので、私がマネジメントシステム認証の審査業務を始めてから15年程が経過しました。途中の数年間はISO認証審査も摘まみ食い程度に行いながら、未だにプライバシーマーク認定審査を続け、その間の審査組織は600社以上になります。
ところで、プライバシーマーク審査とISO審査では、多少の違いはありますが、どちらもマネジメントシステム規格を名乗っています。つまり、本来は経営管理システムであり、企業組織の経営管理に貢献する筈の仕組みです。その具体的な内容は、Plan-Do-Check-Act(PDCA)管理サイクルの組織内定着による毎年の継続的改善の結果としての組織能力のレベルアップを目指す取り組みです。
この本来のマネジメントシステム認証の狙いが実現していれば、確かに中小企業の経営改善に大きな効果が得られると思われます。しかし、このようなマネジメントシステム規格認証の狙いとは大きく外れてしまっている認証組織が圧倒的多数存在しているのが現状です。なぜ、こうなっているのか。
その原因の第一は、認証取得しようと決意した経営者の動機にあることが多く、例えば、そもそも品質や環境や情報セキュリティや個人情報を守り維持する目的よりも、取引先からの要請や営業展開を有利に進めるための一手段と考えているケースが多くあります。極端に言うと、マネジメントシステムか何だか知らないし、何もしたくないのだが、認証取得の証であるロゴマークだけは欲しいというケースです。経営トップが、この様なスタンスでは、マネジメントシステムとしてのPDCAが業務現場に根付くのは不可能なことで、すぐさま形骸化して、組織能力は認証レベル以下に推移するしかなくなります。
これと並ぶ大きな原因は、マネジメントシステムそのものにあります。未だ起業して日も浅く、会社組織を運営する経営管理の仕組みができていないような組織なら、ISOやプライバシーマーク認証規格の要求するPDCAを会社経営に取り込んで相応の効果を上げることができます。しかし、既に経営管理の仕組みを持っている企業組織にとっては、従来のやり方で問題も感じていないために後から認証のために採用したツールがマネジメントシステムとかいっても、新たにそれを取り込むべき必然性が理解できないのです。つまり、組織は従来からの経営管理のやり方を続ける一方、認証規格の要求するマネジメントシステムは認証を維持するためだけのものと位置づけることになります。その結果は、認証維持に関わる一部の部署のみに限定した取組しかできなくなります。もっと甚だしい場合は、担当者だけがマネジメントシステム要求に対応しようとする場合も発生します。これでは、本来の狙いはどこにも存在し得なくなりますので、やはり組織能力としては、認証レベル以下に落ちるしかなくなります。
他にも原因はいくつかありますが、今回は特に重要な上記のみにします。
ISO規格認証では、未だ一部にサイト認証と云って組織全体ではなく一部分の組織のみを認証するケースが残っています。しかし、プライバシーマーク認定では組織全体を対象にする全社認証しかありませんので、こちらがより望ましい認証審査と云えるでしょう。
老舗企業や大企業には上記のような理由で認証取得していても、その実態は認証レベル以下の運用状況であるケースが散見されます。マネジメントシステム認証は、単に認証ロゴを用いるだけでなく、本来は企業組織としてのリスクマネジメントの仕組みで、各分野における経営課題解決策そのものであることの認識が重要です。例えば、ISO品質規格であれば会社組織における品質分野のリスクマネジメントですし、ISO27001規格なら情報セキュリティ分野における組織としてのリスクマネジメント、プライバシーマーク認定なら個人情報における組織全体のリスクマネジメントの取組です。
これらは、全て外部及び内部の脅威から自社を守り、企業組織のサバイバルを達成するための取組であることを経営管理層は認識して欲しいところです。
なお、企業サバイバルに関して云えば、マネジメントシステム認証規格のようなPDCAだけでは実現できないと云うのが当方の持論です。PDCAはあくまでも管理システムであり、経営システムではないので、例えば経営革新はできませんが、これについては、また次回以降の機会にしたいと思います。
■執筆者プロフィール
中村 久吉(なかむら ひさよし)
プライバシーマーク主任審査員、ITコーディネータ、中小企業診断士
e-mail: ohnakamura@gmail.com
コメントをお書きください