《BCPはどうなっているのだろう》

東日本大震災の時にサプライチェーンが寸断されたことは経験していたのではないのだろうか?

新型コロナで日本を襲うサプライチェーン危機、中国リスクとは?
https://business.nikkei.com/atcl/seminar/19/00133/00030/

BCPが話題になったのは、いわゆる2000年問題のあたりからで、本格的には2005年頃だろうか。そんな誰でも想定できるされるリスクでは不十分だったことは東日本大震災で明らかになった。
だからサプライチェーンを海外にも広げたのだろう。もちろんコストの問題もあるだろうが、それに対してリスクは想定していないかったのだろうか?

上記の記事の冒頭に下記の記載がある。

『問題は4つある。まず、地方政府が工場再開の許可を出すのが遅れていること。続いて、春節で故郷に帰っている人など従業員全員が復帰するまでに時間がかかっていること。工場を動かそうにも生産に使う部品や材料の調達が十分にできていないことも問題だ。そして、上海港から物を持ち出せないなど物流が止まっている問題もある。中国の報道によると、地域差はあるものの、稼働率は約40%という。』

いやいやそうではなくて、「慌ててしまう程度のBCPしか作ってこなかった」企業の方が問題なのではないのか。また、政府も、こうした企業に大きな影響が出てきたときの対応が法制度も含めてしてこなかったのが問題なのではないのかと感じてしまう。

そのため、政府の対策の実効性に疑問を感じてしまうこともある。

新型コロナで休業 雇用調整助成金、支給対象を拡大
日経新聞 2020/2/28
https://www.nikkei.com/article/DGXMZO56166690Y0A220C2MM0000/

助成金は返却が必要なく、補助金などとも似ています。新たに何かをしたいと云うときには補助金、意図せぬ出来事への対応は助成金と行った所でしょう。注意なければならないのは、いずれも「使った後でしかもらえない」場合が多いことと審査の時間がかかることでしょう。

仮に上記のように給与の一部を負担してもらうとしても、それまでは給与を支払う体力が企業に求められる。その間のつなぎは結局のところ融資しかなくなる。金融機関への融資枠の拡大などをセットにしないと実効性はない。

潰れてしまったらそもそも申請できないだろうと突っ込みを入れたくなる。

《マネジメントシステム:法令遵守の選択の理由》

《マネジメントシステム:法令遵守の選択の理由》

20200208

利益を出す最も簡単な方法は法律を守らないことだ。
なぜなら、法律を守ると云うことは決められた手順を守ることで、当然コストが発生する。しかし、それは正しいことではないと感じていてもその誘惑から逃れられない場合がある。昨今の偽装事件などはその最たるものだろう。

企業が後悔するのは、それが明るみに出て業績を左右する自体になって初めてからかもしれない。

https://www.nikkei.com/article/DGXMZO51899270X01C19A1DTD000/
レオパレス、214億円赤字 4~9月 賃貸低迷で赤字拡大
2019/11/7 20:30

と言う記事を見ると、懸念されていたように顧客から見放されている状況がうかがえる。

記事には

20年3月期の最終損益は273億円の赤字(前期は686億円の赤字)になりそうだと発表した。

とあり、財務的にも影響が大きいことがわかる。

株式会社レオパレス21
2020年3月期 第3四半期決算概要
2020年2月
https://www.leopalace21.co.jp/ir/library/pdf/2020/3Q/daisan_ppt.pdf

と言う資料を見ると、レオパレスの置かれている厳しい状況がうかがい知れる。

特にキャッシュフローで現金及び現金同等物の期末残高は、2019年第3四半期で882億円あったものが、2020年第3四半期では768億円と、一年で120億円減少することになる。小手は固定資産などの売却でしのいでいるが、実質的にはさらに500億円減っていることになる。

現金だけで観ると、果たして数年持つのだろうかと危惧される。

そのせいだろうか

「抜本的な事業戦略再構築の検討開始のお知らせ  2020年2月7日」
https://www.leopalace21.co.jp/ir/news/2020/pdf/0207.pdf

では、新たな事業戦略の構築を宣言している。どのような内容になるかはともかく

「見直しによる選択肢としては、a.)強化、b.)維持・継続、c.)縮小、d.)撤退・譲渡等 が考えられる。更なる生産性の向上やコスト削減、アライアンス等についても検討を行う。」とあり、かなり逼迫した状況であることは間違いない。

このように影響が大きいにもかかわらず、戦略的な枠組みに法令遵守を真面目に取り上げている企業はどのくらいあるのだろうか。

私自身は、QMS(ISO9001)の審査員で有り、日本経営品質賞の審査員にも何度か担っている。

ISO9001での法令遵守については下記に少し記載した。
http://nss.watson.jp/2020/02/08/%e3%83%9e%e3%83%8d%e3%82%b8%e3%83%a1%e3%83%b3%e3%83%88%e3%82%b7%e3%82%b9%e3%83%86%e3%83%a0%e3%82%92%e8%80%83%e3%81%88%e3%82%8b%ef%bc%9aqms%e3%81%a7%e3%81%ae%e6%b3%95%e4%bb%a4%e9%81%b5%e5%ae%88/

日本経営品質賞でも、そのカテゴリーの社会的責任が有り、賞に応募しようとする企業はそれなりに考えているが、すること自体が目的になっており、戦略的な位置づけが明確で無い例が多い。

「なぜコンプライアンスが重要だと考え、そのためのその活動をなぜ選択したのか」という文脈がおろそかにされている。形式的に「コンプライアンスが重要」という叫びだけでは何もかわらない。

マネジメントシステムを考える:QMSでの法令遵守の扱い

■きっかけは・・・

ある審査の場面で、下記の記載について意見を求められた。

《序文 0.4 他のマネジメントシステム規格との関係》
この規格には、環境マネジメント、労働安全衛生マネジメントまたは財務マネジメントのような他のマネジメントシステムに固有な要求事項は含んでいない。

これを持って、「労働安全衛生に係わる法規制や汚染防止などに係わる法規制の対応に不備があるからと言って指摘をすることは適切ではない」と考える人がいることに気がついた。

最初の文章は、他のマネジメントシステムに含まれる固有の活動(例えば、環境であれば漏洩事故時での訓練など)がQMSに入っていないと云うだけであって法令違反を審査の対象にしてはいけないと云っているのではない。

■法令遵守を求めている項番

では、法令違反についてはどんな記述になっているのだろう。
それは、下記のように法令・規制要求事項への対応を求めていることがわかる。

《5.1 経営者のコミットメント 2008年度版》
トップマネジメントは、品質マネジメントシステムの構築及び実施、並びにその湯構成を継続的に改善することに対するコミットメントの証拠を、次の時効によって示さなければならない。
a) 法令・規制要求事項を満たすことは当然のこととして、顧客要求事項を満たすことの重要性を組織内に周知する。

と言う「当然として」という文言は、2015年版からは消えている。
では、どのような言葉になったかと云えば下記のようになっている。

《5.1.2 顧客重視》
トップマネジメントは、次の事項を確実にすることによって、顧客重視に関するリーダーシップ及びコミットメントを実証しなければならない。
a) 顧客要求事項及び適用される法令・規制要求事項を明確にし、理解し、一貫してそれを満たしている。

■対象となる法令・規制要求事項

では、どのような範囲の法令・規制要求に対応すべきなのだろうか。
それは、品質マネジメントシステムが要求している項番との対比で考える方が良いだろう。

実際にあったことから引用する。

●揮発性溶媒の管理
揮発性有機化合物と言われるものは、例えば塗装や金属加工の戦場などに使われることがある。人体に影響もあることから、各種の法律に制限が記載されている。
例えば、大気汚染防止法、水質汚濁防止法、土壌汚染対策法などがある。
また、そこで働く人のことを考えた場合、過度な臭気は健康を害しかねない。
個々の法律への準拠は環境マネジメントで取り扱うかもしれないが、下記の規格項番への配慮も必要である。

《7.1.4 プロセスの運用に関する環境》
組織は,プロセスの運用に必要な環境,並びに製品及びサービスの適合を達成するために必要な環境を明確にし,提供し,維持しなければならない。

注記 適切な環境は,次のような人的及び物理的要因の組合せであり得る。
a) 社会的要因(例えば、非差別的,平穏,非対立的)
b) 心理的要因(例えば、ストレス軽減,燃え尽き症候群防止,心のケア)
c) 物理的要因(例えば、気温,熱,湿度,光,気流,衛生状態,騒音)
これらの要因は,提供する製品及びサービスによって,大いに異なり得る。

また、こうした揮発性有機化合物の取り扱いについては有資格者を求めている場合がある。
下記の項番にも配慮が必要である。

《7.2力量》
組織は,次の事項を行わなければならない。
a)  品質マネジメントシステムのパフォーマンスと有効性に影響を与える業務をその管理下で行う人(又は人々)に必要な力量を明確にする。
b) 適切な教育,訓練又は経験に基づいて,それらの人々が力量を備えていることを確実にする。
c) 該当する場合には,必ず,必要な力量を身に付けるための処置をとり,とった処置の有効性を評価する。
d) 力量の証拠として,適切な文書化した情報を保持する。

注記 適用される処置には,例えば,現在雇用している人々に対する,教育訓練の提供,指導の実施,配置転換の実施などがあり,また,力量を備えた人々の雇用,そうした人々との契約締結などもあり得る。
組織は,品質マネジメントシステムの効果的な実施,並びにそのプロセスの運用及び管理のために必要な人々を明確にし,提供しなければならない。

●工場での様々なこと
◇フォークリフトのヘルメット着用や速度制限。
工場については、フォークリフトを扱い所も多いのだが、前方不注意での自己のリスクや、高所作業も伴うための安全管理としてのヘルメットへの配慮も必要になる。
フォークリフトのヘルメット着用は組織側が決めることではあるが、働く人の安全管理にも配慮はほしい。

◇クレーンのベルトの劣化
工場では重量のあるものをクレーンなどで移動させる場合がある。その際に使用するベルトの劣化や危機の不調は作業員の命にかかわる。

◇工場の劣化など
東日本大震災の直後に工場を審査したときに、壁面の亀裂、屋根の崩落の危険性などを感じる工場があった。建築基準法などに抵触しないのかと感じた。

ハードウエアが関連する環境は整備しておく必要がある。
下記の項番に注意されたい。

《7.1.3 インフラストラクチャ》
組織は,プロセスの運用に必要なインフラストラクチャ、並びに製品及びサービスの適合を達成するために必要なインフラストラクチャを明確にし,提供し,維持しなければならない。

注記 インフラストラクチャには,次の事項が含まれ得る。
a) 建物及び関連するユーティリティ
b) 設備。これにはハードウェア及びソフトウェアを含む。
c) 輸送のための資源
d) 情報通信技術

●価格だけで購買品を使うときのリスク
外部から部品を調達する場合には、えてして価格だけで決めてしまう場合がある。
私自身が直接経験したことではないが下記のことを伝聞で聞いたことがある。
・中国に樹脂を発注し品番は合っているので受け入れたが模造品というか粗悪品だった
・製品面では問題なく受け入れたが、他社からの横流し品だった
購買先にあっても法令・規制要求事項を求めることが求められていると考えるべきだろう。
下記の項番に注意されたい。

《8.4.2 管理の方式及び程度》
組織は,外部から提供されるプロセス,製品及びサービスが,顧客に一貫して適合した製品及びサービスを引き渡す組織の能力に悪影響を及ぼさないことを確実にしなければならない。
組織は、次の事項を行わなければならない。
a)外部から提供されるプロセスを,組織の品質マネジメントシステムの管理の範囲下にとどめることを確実にする。
b)外部提供者に適用するための管理,及びそのアウトプットに適用するための管理の両方を定める。
c)次の事項を考慮に入れる。
1)外部から提供されるプロセス,製品及びサービスが,顧客要求事項及び適用される法令・規制要求事項を一貫して満たす組織の能力に与える潜在的な影響
2)外部提供者によって適用される管理の有効性
d)外部から提供されるプロセス,製品及びサービスが要求事項を満たすことを確実にするために必要な検証又はその他の活動を明確にする。

●下請法はどう考える
さて、外部提供者との良好な関係性を維持することは目に見えない品質保証の支援となりうる。
下請けに対する適法性の担保は常に云われており、昨年の消費税アップの時には、その差分を下請け業者に転嫁してはならない旨が通達されていた。
適正な利益を下請けに提供しなければ、突然の廃業がありうる。それまで築きあげてきたノウハウなども無駄になり得る。
下請法を遵守することは直接項番には係わらないが、配慮は必要になる。

参考コラム:8.4.5 外部提供者に対する情報 「相互作用?」

●日産の問題

日産のお偉いさんは「なかったこと」にしたいかもしれないが、QMSに係わるものとしては看過できない事件としてまだ記憶に残っている。
備忘録的に残しておく。

https://www.asahi.com/articles/ASL794GKCL79UTIL01G.html

日産、新車の排ガス検査で不正 複数工場で測定値改ざん 2018年7月9日

日産自動車の複数の工場で、新車の出荷前に行う排ガス性能の検査結果を、都合よく改ざんする不正が行われていたことがわかった。この検査は昨年、無資格者の従事が発覚した「完成検査」の工程のひとつで、日産の品質管理への姿勢が改めて厳しく問われることになりそうだ。

関係者によると、今回不正が発覚したのは、出荷前に車の性能をチェックする「完成検査」の中で、数百台から数千台に1台の割合で車を選んで実施する「抜き取り検査」という工程。そこで行われる排ガス性能の測定で、思わしくない結果が出た場合、都合のいい数値に書き換える不正が国内の複数の工場で行われていたという。今春以降に社内で発覚したという。

この検査は、メーカーが車を量産する際、国に届け出た設計上の性能通りにつくられているか確かめる重要なもの。メーカーは適正な実施を前提に、車の量産を国から認められている。測定値が設計上の性能からずれていれば、出荷ができなくなることもある。

日産では昨年9月、完成検査を実際は無資格の従業員が担ったのに、有資格者が行ったように偽装する問題が発覚。検査体制を改善するため、全6工場の出荷を1カ月弱停止し、生産や販売に影響が出た。一連の不正に絡み、国土交通省からは2度の業務改善指示を受け、今年3月には西川広人社長が石井啓一国交相に直接、「法令順守をさらに徹底していく」と、再発防止を誓ったばかりだった。

同様に無資格者による検査が発覚し、その後、排ガスデータの不正も明るみに出たスバルでは、責任を取る形で吉永泰之社長(当時)が6月の株主総会で社長を退いた。新たに不正が明らかになった日産でも、西川社長の経営責任が改めて厳しく問われることになりそうだ。(伊藤嘉孝、木村聡史)

(上記記事から そのまま引用)

規格には「8.5 製造及びサービス提供」として、以下の細分された項番がある。
・8.5.1 製造及びサービス提供の管理
・8.5.2 識別及びトレーサビリティ
・8.5.3 顧客又は外部提供者の所有物
・8.5.4 保存
・8.5.5 引き渡し後の活動
・8.5.6 変更の管理

さらに
・8.6 製品及びサービスのリリース
・8.7 不適合なアウトプットの管理

一部、関係性の薄い項番もあるが、多くは製品に対する信頼性を損なう事項となっている。

注意が必要なのは、審査において不適合は「知らない」もしくは「能力がない」などで十分対応できていない場合を想定しており、いわゆる不可抗力だ。したがって、そもそも「法律無視」は想定していない。また、長年続いていたことから「組織ぐるみ」であり、従って「内部監査」も機能していない。

社会がどう見るかを考えるべきだろう。

●倒産のリスク

現在、QMSの審査では「パフォーマンス」もしくは「有効性」という言葉を使っている。あるいは「経営に資する」という標語も使っている。審査員としては、規格項番にないからと言って直接「法令遵守」を軽んじても善い理由にはならない。

参考にコンプライアンス違反の伴う倒産の情報を下記に示すので参考にしたい。

https://www.tdb.co.jp/report/watching/press/p180405.html

2017年度 コンプライアンス違反企業の倒産動向調査
コンプラ違反倒産は6年連続200件台
~ 負債上位20社中14社が「粉飾」 ~

調査結果
1 2017年度の倒産は231件判明。前年度比7.6%減だが6年連続で200件台
2 違反類別型では「粉飾」が72件で最多。負債上位20社中14社が「粉飾」と多数を占めた
3 主な倒産事例は、建機の不正取引を行っていた「PROEARTH」、被害者から詐欺で告訴された「ゴルフスタジアム」等

以上

QMS雑感:審査の適切性について

《審査の適切性(20200118)》

私は、審査員の資格の管理を「マネジメントシステム審査員 評価登録センター(JRCA)」の基準に従ってる。
その中で、有効な審査の条件として以下があげられている。
①適切な審査員(力量、責任、公平・公正な判断、正当な注意、法令順守、リスクの考慮)
②公正な報告(ありのままで正確な結果報告)
③機密保持(情報の利用・保護が適切)
④審査の独立性(偏り・利害抵触がなく客観的)
⑤信頼性(証拠に基づく結論)
いずれも当たり前のことなのだが、いろいろ話を聞くとそうでもないのかもしれない

《偏り・利害抵触がなく客観的》

先日、勝手な解釈をして指摘してきた審査員に納得できないことを伝えたら「そんなこと云うと不適合にするぞ」と脅されたという話を聞いた。
審査時には、明らかな「明文化されたルールとの逸脱」でない限り、判断を伴うものは組織側と話をすることが必要だ。例えば、品質目標で「測定可能」とあったとしても、何をもって「測定可能」とするかは判断になる。測定指標がないのならいざ知らず、うまくいっているかどうかの判断基準があれば不適合にする理由はない。
「測定可能」を審査員の経験で勝手に判断したり、組織の実情に合わないことを押しつけたり、他社の事例を供用することはあってはならない。
客観的であることが求められているのに、自己の主張を押しつける審査員がいるらしいと云うことは驚く。

《証拠に基づく結論》

証拠というのは、原則は「文書」「記録」になる。ただし、インタビューや観察した事象なども含まれる。
「文書」「記録」は動かぬ証拠なのだが、インタビューは必ず確認し、審査記録として文書化しておかなければいけない。また、観察した事象も、「たまたま」なのか「システムとしての不備」なのかを確認しなければならない。一過性の情報は取り扱いが難しい。
かつて,苦い経験をしたことがある。
インタビューで「○○をしていない」ことを確認したが、「やっていないことは悪魔の証明のようなもので実証することが困難」になる。やっていることは確認できても「やっていないこと」は証拠がないからだ。
最終的に合意に至らなかった。
証拠に基づく結論も、意外と難しい。

プライバシーマークの審査の変遷

2020年1月9日、10日に、かつてPMS構築を支援したお客さん、これからPMSを取得したいというお客さん、QMSの支援をしているコンサルタント、戦略課題をHRMで解決しようとしているコンサルタントと話をする機会を得た。

情報交換をしてよかった。コンサルティングの方針も定まってきた。一方でそうした人たちと話をしていると奇怪な都市伝説的なことが浮かび上がってきた。 順不同なのだが、少し気が付いたことを記載してゆく

この10年間の変化

プライバシーマークの取得支援を初めて担ったのは、2005年ごろだったと思う。その時には、業務分析から業務マニュアルの作成、規定類の整備や申請、最初の現地調査の立ち合いなどを行った。

ISO9001の審査員になるきっかけは、PMSの受審をしていた時の審査員の態度に不満を持ったからだ。JISQ15001に書いていないことを指摘してきた上に、勝手に立ち入り禁止エリアまで入ってきてロッカーを開けたりしていた。こうした無礼な行為は審査員としてはとんでもない。

「今はどうなの?」と聞いたら今ではそういう審査員はほとんどいなくなったとのこと。また、かつては、彼らの都合で審査の終了時間を勝手に延長していたが、今では事前に決められた時間で終了するとのこと。 私の考える「当たり前」の審査になっていると安心した。

もっとも、審査員によりいうことが違うことがあり、対応の苦慮することはいまだに残っているという。管理資料はあくまでも組織側が管理しやすいように作っているのにもかかわらず、自分たちが審査しやすい資料の作成を求める審査員がいるらしい。審査員としての資質が疑われる者の排除が進めばよいのだが。

 

PMSに対する誤解:知らないから「難しい」は早計過ぎる

プライバシーマークに取り組む際には、どうしても個人情報保護法やJISQ15001という規格、また認証基準についても知らないで済ませる問題ではない。

とはいえ、何も基礎知識がないままにこうした文書に立ち向かっても立ちすくむだけだ。

経験的には、まずは「言葉になれる」という意味合いで素読を進めている。ただし、文章をそのまま読んでも、全体が見通せない。

ということで、これを助けるためのチェックリストを作成したので公開する。

➡ 公開用チェックリスト

文書自体はパスワードをかけている。
希望する方は下記を確認の上、問い合わせをしてほしい。

■これから自分たちでPMSに取り組む意欲のある組織であること
■JISQ15001を入手していること
■PMS取得にあたって経営者の了解を得ていること

以上

PMSのファーストガイドライン

プライバシーマーク取得のお問い合わせをいただくことがあるのですが、そもそものところで話が噛み合わないことが多々あります。

まずは当社のスタンスや標準的なPMS構築の手順を示しますので参考にしてください。

➡ PMSのファーストガイドライン

プライバシーマークのための「規格(本文)のチェックシート

プライバシーマークの取得の条件は、JISQ15001を満たすマネジメントシステムを構築することです。

ですが、ISO9001の審査などをしていると、

・規格に対しどのように対応するかは原則組織が決定する

・必ずしも、規格の言葉をそのまま使う必要は無い

・組織の身の丈に合ったマネジメントシステムで良い

・ただし、濃淡はあったとしても、網羅性は要求する。とはいえ、やる必要が無いことまでは求めない

と言うことが、なかなか理解を得られないことがあります。結局の所、組織自身で行っていることが規格のどこに対応するのかの整理ができていないことに由来します。

このチェクシーは、規格の個々の記述にたいして、結局は組織が何をどう考え対応しているのか。それは個人間のばらつきを防ぐためにどの程度手順化されているのかを明らかにするためのものです。

サンプル(JISQ15001(本文)・チェックシート – サンプル)を示します。

正式なものはワードファイルで有り、規格の4項以降はすべて記載しています。

コンサルタントを受託した場合に最初のインタビュー作業で使うものです。

この段階だけの支援を行うサービスもしています。ご希望の方は、弊社ホームページの問い合わせ(http://nss.watson.jp/%e3%81%8a%e5%95%8f%e3%81%84%e5%90%88%e3%82%8f%e3%81%9b/)をご利用ください。

ただし、下記を満たしてください。

① 正式なJIS規格を購入しておいてください。

② 当社のFaceBook((有)中野ソフトウエアサービスのページ)に「いいね」をしてください。

これは、以前”ひやかし”で、資料を受領するだけして放置された経験があるのでそれを防ぐためのものです。ご理解とご協力をお願いいたします。

 

プライバシーマークのための「個人情報保護法」の査読ツール

すでにプライバシーマークの支援の再開はお伝えしたとおりです。

かつて支援していたことを思い出しながらいろいろなツールを再整備しています。

プライバシーマークの取り組みは同時に「個人情報保護法」を遵守することになります。そのため、個人情報保護法を一読することを勧めています。とはいえ、条文をそのまま読むとなかなか頭に入っていきません。これをすこしでも支援することを目的に「査読ツール」を作成しています。

ダウンロードは、個人情報保護法(平成30年7月27日公布)・査読用資料ーパスワード付き

からできます。

さて、個人情報保護法は公開されていますし、査読ツールといっても、条文ごとに枠を入れているだけで特に優れているわけではありません。そのため、普通に公開しても良いのですが、過去の経験からパスワード付きにしています。

それは

・公開されている条文に対してはきちんとサイトにアクセスして取得してほしいこと

・ツールは改良するのでコメントしてほしいこと

を条件にしたのですが、誰も守ってくれませんでした。

そのため、パスワードの取得を望む方は

① 当社のFaceBook((有)中野ソフトウエアサービスのページ)に「いいね」をしてください。

② 当社の問い合わせのページ(問い合わせ)からメールをください

直接、返信をいたします。

2019/12/09

プライバシーマークの取得支援【コンサルタントに相談する前に】

ここ数年の経験からの助言として

■わからないと云うことに戸惑う
いきなり「プライバシーマーク」に取り組むことを求められても、こういった世界(認証、ISOの規格)になじみのない人は戸惑うばかりです。
少し目端の利く人はGoogleで「プライバシーマーク」で検索して情報を集めるでしょう。
しかし、経験的には、こうした検索をして情報を集めると云うことができない人が結構いることに驚きます。
また、Googleで「プライバシーマーク」で検索しても、目をひくのは「文書作成」や「取得支援」といったコンサルタントの宣伝ページになります。
本質的な、「JISQ15001:2017」や「個人情報保護法」、「認証プロセス」と云ったことにはたどり着けません。
ますます「プライバシーマークとは何か」に混乱が生じます。

■あらたな文書作成が必要なわけではない
困ったからと言って、まずはコンサルタントに相談するのですが、ここで困ったことが起きます。
ISO9001の審査を行っていると、時々妙な文書(使ってもいない規定類や誰が何をするのかが記載されていない規定類など)が見受けられます。不思議に思ってきくと「コンサルタントに指導を受けて作成しました」という返事が多いです。
確実に使用している文書類(代表的なものは就業規則を思い浮かべてください)はとても実務的なので、誰もが使える状態になっています。
一方でPMSの認証のためだけの文書は「誰も使わない文書」になります。
コンサルタントを非難するのは筋違いかもしれませんが、PMSのために使わない文書を作成する必要はありません。
基本は今ある文書に加筆するか、目的別に分割するだけです。
職務権限規定や実際の契約書、稟議書の扱い、受発注の時に使用している書類、セキュリティに関する社内文書などがベースになります。
規格の裏返しの文書は不要です。

■コンサルタントに相談する順番を間違えない
いきなり認証の支援を頼まないこと。
まずは、下記のレクチャーを受けましょう。
・プライバシーマークの制度の仕組み
・JISQ15001:2017の概要
・PMSの構築とは何か
・社内ですべきことと外部に頼むことの切り分け方
その上で、認証しとくの支援を受けましょう

■でもその前にすべきこと
何社か相談を受けても感じたことは、
・自分で詳報を集めない
・自分で勉強しない
という経営者(担当責任者)が多いことです。
最低限JIPDECのサイトを見て、パンフレットなどを見て下さい。

でも、書いてあることが良くわからないという方はご連絡ください。

(見ておいてほしいサイト)
https://www.jipdec.or.jp/project/pmark.html