QMS雑感:審査の適切性について

《審査の適切性(20200118)》

私は、審査員の資格の管理を「マネジメントシステム審査員 評価登録センター(JRCA)」の基準に従ってる。
その中で、有効な審査の条件として以下があげられている。
①適切な審査員(力量、責任、公平・公正な判断、正当な注意、法令順守、リスクの考慮)
②公正な報告(ありのままで正確な結果報告)
③機密保持(情報の利用・保護が適切)
④審査の独立性(偏り・利害抵触がなく客観的)
⑤信頼性(証拠に基づく結論)
いずれも当たり前のことなのだが、いろいろ話を聞くとそうでもないのかもしれない

《偏り・利害抵触がなく客観的》

先日、勝手な解釈をして指摘してきた審査員に納得できないことを伝えたら「そんなこと云うと不適合にするぞ」と脅されたという話を聞いた。
審査時には、明らかな「明文化されたルールとの逸脱」でない限り、判断を伴うものは組織側と話をすることが必要だ。例えば、品質目標で「測定可能」とあったとしても、何をもって「測定可能」とするかは判断になる。測定指標がないのならいざ知らず、うまくいっているかどうかの判断基準があれば不適合にする理由はない。
「測定可能」を審査員の経験で勝手に判断したり、組織の実情に合わないことを押しつけたり、他社の事例を供用することはあってはならない。
客観的であることが求められているのに、自己の主張を押しつける審査員がいるらしいと云うことは驚く。

《証拠に基づく結論》

証拠というのは、原則は「文書」「記録」になる。ただし、インタビューや観察した事象なども含まれる。
「文書」「記録」は動かぬ証拠なのだが、インタビューは必ず確認し、審査記録として文書化しておかなければいけない。また、観察した事象も、「たまたま」なのか「システムとしての不備」なのかを確認しなければならない。一過性の情報は取り扱いが難しい。
かつて,苦い経験をしたことがある。
インタビューで「○○をしていない」ことを確認したが、「やっていないことは悪魔の証明のようなもので実証することが困難」になる。やっていることは確認できても「やっていないこと」は証拠がないからだ。
最終的に合意に至らなかった。
証拠に基づく結論も、意外と難しい。

プライバシーマークの審査の変遷

2020年1月9日、10日に、かつてPMS構築を支援したお客さん、これからPMSを取得したいというお客さん、QMSの支援をしているコンサルタント、戦略課題をHRMで解決しようとしているコンサルタントと話をする機会を得た。

情報交換をしてよかった。コンサルティングの方針も定まってきた。一方でそうした人たちと話をしていると奇怪な都市伝説的なことが浮かび上がってきた。 順不同なのだが、少し気が付いたことを記載してゆく

この10年間の変化

プライバシーマークの取得支援を初めて担ったのは、2005年ごろだったと思う。その時には、業務分析から業務マニュアルの作成、規定類の整備や申請、最初の現地調査の立ち合いなどを行った。

ISO9001の審査員になるきっかけは、PMSの受審をしていた時の審査員の態度に不満を持ったからだ。JISQ15001に書いていないことを指摘してきた上に、勝手に立ち入り禁止エリアまで入ってきてロッカーを開けたりしていた。こうした無礼な行為は審査員としてはとんでもない。

「今はどうなの?」と聞いたら今ではそういう審査員はほとんどいなくなったとのこと。また、かつては、彼らの都合で審査の終了時間を勝手に延長していたが、今では事前に決められた時間で終了するとのこと。 私の考える「当たり前」の審査になっていると安心した。

もっとも、審査員によりいうことが違うことがあり、対応の苦慮することはいまだに残っているという。管理資料はあくまでも組織側が管理しやすいように作っているのにもかかわらず、自分たちが審査しやすい資料の作成を求める審査員がいるらしい。審査員としての資質が疑われる者の排除が進めばよいのだが。

 

PMSに対する誤解:知らないから「難しい」は早計過ぎる

プライバシーマークに取り組む際には、どうしても個人情報保護法やJISQ15001という規格、また認証基準についても知らないで済ませる問題ではない。

とはいえ、何も基礎知識がないままにこうした文書に立ち向かっても立ちすくむだけだ。

経験的には、まずは「言葉になれる」という意味合いで素読を進めている。ただし、文章をそのまま読んでも、全体が見通せない。

ということで、これを助けるためのチェックリストを作成したので公開する。

➡ 公開用チェックリスト

文書自体はパスワードをかけている。
希望する方は下記を確認の上、問い合わせをしてほしい。

■これから自分たちでPMSに取り組む意欲のある組織であること
■JISQ15001を入手していること
■PMS取得にあたって経営者の了解を得ていること

以上

PMSのファーストガイドライン

プライバシーマーク取得のお問い合わせをいただくことがあるのですが、そもそものところで話が噛み合わないことが多々あります。

まずは当社のスタンスや標準的なPMS構築の手順を示しますので参考にしてください。

➡ PMSのファーストガイドライン

プライバシーマークのための「規格(本文)のチェックシート

プライバシーマークの取得の条件は、JISQ15001を満たすマネジメントシステムを構築することです。

ですが、ISO9001の審査などをしていると、

・規格に対しどのように対応するかは原則組織が決定する

・必ずしも、規格の言葉をそのまま使う必要は無い

・組織の身の丈に合ったマネジメントシステムで良い

・ただし、濃淡はあったとしても、網羅性は要求する。とはいえ、やる必要が無いことまでは求めない

と言うことが、なかなか理解を得られないことがあります。結局の所、組織自身で行っていることが規格のどこに対応するのかの整理ができていないことに由来します。

このチェクシーは、規格の個々の記述にたいして、結局は組織が何をどう考え対応しているのか。それは個人間のばらつきを防ぐためにどの程度手順化されているのかを明らかにするためのものです。

サンプル(JISQ15001(本文)・チェックシート – サンプル)を示します。

正式なものはワードファイルで有り、規格の4項以降はすべて記載しています。

コンサルタントを受託した場合に最初のインタビュー作業で使うものです。

この段階だけの支援を行うサービスもしています。ご希望の方は、弊社ホームページの問い合わせ(http://nss.watson.jp/%e3%81%8a%e5%95%8f%e3%81%84%e5%90%88%e3%82%8f%e3%81%9b/)をご利用ください。

ただし、下記を満たしてください。

① 正式なJIS規格を購入しておいてください。

② 当社のFaceBook((有)中野ソフトウエアサービスのページ)に「いいね」をしてください。

これは、以前”ひやかし”で、資料を受領するだけして放置された経験があるのでそれを防ぐためのものです。ご理解とご協力をお願いいたします。

 

プライバシーマークのための「個人情報保護法」の査読ツール

すでにプライバシーマークの支援の再開はお伝えしたとおりです。

かつて支援していたことを思い出しながらいろいろなツールを再整備しています。

プライバシーマークの取り組みは同時に「個人情報保護法」を遵守することになります。そのため、個人情報保護法を一読することを勧めています。とはいえ、条文をそのまま読むとなかなか頭に入っていきません。これをすこしでも支援することを目的に「査読ツール」を作成しています。

ダウンロードは、個人情報保護法(平成30年7月27日公布)・査読用資料ーパスワード付き

からできます。

さて、個人情報保護法は公開されていますし、査読ツールといっても、条文ごとに枠を入れているだけで特に優れているわけではありません。そのため、普通に公開しても良いのですが、過去の経験からパスワード付きにしています。

それは

・公開されている条文に対してはきちんとサイトにアクセスして取得してほしいこと

・ツールは改良するのでコメントしてほしいこと

を条件にしたのですが、誰も守ってくれませんでした。

そのため、パスワードの取得を望む方は

① 当社のFaceBook((有)中野ソフトウエアサービスのページ)に「いいね」をしてください。

② 当社の問い合わせのページ(問い合わせ)からメールをください

直接、返信をいたします。

2019/12/09

プライバシーマークの取得支援【コンサルタントに相談する前に】

ここ数年の経験からの助言として

■わからないと云うことに戸惑う
いきなり「プライバシーマーク」に取り組むことを求められても、こういった世界(認証、ISOの規格)になじみのない人は戸惑うばかりです。
少し目端の利く人はGoogleで「プライバシーマーク」で検索して情報を集めるでしょう。
しかし、経験的には、こうした検索をして情報を集めると云うことができない人が結構いることに驚きます。
また、Googleで「プライバシーマーク」で検索しても、目をひくのは「文書作成」や「取得支援」といったコンサルタントの宣伝ページになります。
本質的な、「JISQ15001:2017」や「個人情報保護法」、「認証プロセス」と云ったことにはたどり着けません。
ますます「プライバシーマークとは何か」に混乱が生じます。

■あらたな文書作成が必要なわけではない
困ったからと言って、まずはコンサルタントに相談するのですが、ここで困ったことが起きます。
ISO9001の審査を行っていると、時々妙な文書(使ってもいない規定類や誰が何をするのかが記載されていない規定類など)が見受けられます。不思議に思ってきくと「コンサルタントに指導を受けて作成しました」という返事が多いです。
確実に使用している文書類(代表的なものは就業規則を思い浮かべてください)はとても実務的なので、誰もが使える状態になっています。
一方でPMSの認証のためだけの文書は「誰も使わない文書」になります。
コンサルタントを非難するのは筋違いかもしれませんが、PMSのために使わない文書を作成する必要はありません。
基本は今ある文書に加筆するか、目的別に分割するだけです。
職務権限規定や実際の契約書、稟議書の扱い、受発注の時に使用している書類、セキュリティに関する社内文書などがベースになります。
規格の裏返しの文書は不要です。

■コンサルタントに相談する順番を間違えない
いきなり認証の支援を頼まないこと。
まずは、下記のレクチャーを受けましょう。
・プライバシーマークの制度の仕組み
・JISQ15001:2017の概要
・PMSの構築とは何か
・社内ですべきことと外部に頼むことの切り分け方
その上で、認証しとくの支援を受けましょう

■でもその前にすべきこと
何社か相談を受けても感じたことは、
・自分で詳報を集めない
・自分で勉強しない
という経営者(担当責任者)が多いことです。
最低限JIPDECのサイトを見て、パンフレットなどを見て下さい。

でも、書いてあることが良くわからないという方はご連絡ください。

(見ておいてほしいサイト)
https://www.jipdec.or.jp/project/pmark.html

シャドーITに思うこと

久しぶりにセキュリティの話を探ってみた

■ 浦島太郎
もともと情報セキュリティはITの一分野なので興味というか仕事の一分野として認識していた。結局は返上したが「ISMSの審査員」の資格まで保有していた。
返上した理由は、それまで一部ホスティングサービスの利用はあったものの、オンプロミスが主流だったものが急激にクラウドに移行し始めたことがある。
情報セキュリティの原則としてCIAがある。
有名な基準なので引用しておく。

機密性 (confidentiality)
許可されていない個人、エンティティ又はプロセスに対して、情報を使用不可又は非公開にする特性

完全性(integrity)
資産の正確さおよび完全さを保護する特性

可用性 (availability)
許可されたエンティティが要求した時に、アクセスおよび使用が可能である特性

さて、クラウドサービスを使うと云うことはどういうことだろうか。昨今のいろいろな自己を見ていると漏洩リスクや第三者への公開事故がないとはとても云えない。また滅多にはないのだがデータの消失リスクも存在する。そんな中で、CIAの基準で見ると、他社が見れないとしてもクラウドサーバーの管理者は「する/しない」は別にしてもデータ操作が可能なことには変わりない。機密性が担保できているとは云えない。
そうした中で、こうした技術を背景としたISMSの構築はどうあるべきかの議論が難しく、自分自身が正解を持てないこともあり、審査の世界から離脱した。

今回、プライバシーマークの取得の支援を行うという宣言をしたものの、IT技術が大きく変貌を遂げており当時の知識ではカバーできないことも多いことに気がついた。

浦島太郎の気分だ。

■ 情報部門の憂鬱

聞き慣れない言葉「シャドーIT」という言葉を聞いた。

ウィキペディアによれば
「企業・組織側が把握せずに従業員または部門が業務に利用しているデバイスやクラウドサービスなどのITのこと」
とされている。

BYODとあまり区別はつかないが、スマホが普及し始めたあたりから問題視されてきている。
今でも状況は変わらないのかと思ったら、かえって悪化しているようだ。

https://cybersecurity-jp.com/security-measures/28258
シャドーITとは?企業におけるリスクの種類とその対策方法を徹底解説

・社員が会社のネットワークを無視してメールをする。
gmailなどはその代表だろう。
・組織のプラットフォーム以外でワークフローを展開する
FaceBook(コミュニケーション)、SanSan(名刺管理)、Googleグループ、インターネットの経理システムなどいろいろある。

かつてEUC(End User Computing)などとほざいていたのが幻かのように利用者は勝手にITの活用をしている。

情報システム部門はどんな逃げ道を用意すべきなのだろうか。
こうしたクラウドサービスを使うときのガイドライン(罰則も入れること)をつくる以外に手はないのだろうか。
組織の管理下に置くことを前提にいくらルールを設けようと、ユーザーが勝手に使うことを止める方法はない。

やっかいだろうなぁ・・・

プライバシーマークの取得支援を再開します

今年の出来事として報告してきたいことに「ISO9001の主任審査員」への格上げができたことがある。

これにより、審査に当たってはリーダーとして活動ができ、「経営者審査」に係わることもできる。以前はできないわけではなかったのだが、どうしてもサブの位置づけだったので中途半端だった。

すこし活動の幅も広げようかと先日ある企業の方と話をしていたときにプライバシーマークの話が出た。

プライバシーマークについては、10年以上前に3社ほどお手伝いをしたことがある。
「コンプライアンスプログラム」と云っていた時代からだからかなり立つ。
専門的にやっていたのではなく紹介をいただいていたのでそれほど実績は無い。

それから何件か紹介をいただいたのだが成約には至らなかった。
その理由は、
①そもそも経営者が「規格」を読むのを厭い、担当者に丸投げをする
②コンサルタントに頼めば全部やってくれると思い当事者意識がない
③すぐに認証がもらえると勘違いしている
というのがある。

この辺の事情は
http://nss.watson.jp/2019/11/01/%e3%83%97%e3%83%a9%e3%82%a4%e3%83%90%e3%82%b7%e3%83%bc%e3%83%9e%e3%83%bc%e3%82%af%e3%81%ae%e8%a6%8f%e6%a0%bc%e3%81%8c%e5%a4%89%e3%82%8f%e3%81%a3%e3%81%9f%e3%81%ae%e3%81%af%e7%9f%a5%e3%81%a3%e3%81%a6/
にも記載した。

そういった所は顧客としてターゲットにすること自体が間違っていると指摘された。
条件として
①組織としてプライバシーマークに取り組む意欲がある
②とはいえ、何をどうして良いかわからないので助言がほしい
③何のためにいつまでに認証がほしいという戦略的な意図がある
所だけを相手にしてはどうかと言われた。

ということで、プライバシーマーク取得の支援を開始することにします。

プライバシーマークも規格の改訂が行われ、ISOの規格としては他の規格と同じ構造になった。現在行っているISO9001の審査経験が役に立つだろう。

手始めに、「スタートアップガイド」をつくることにした。

まずは宣言として。

参考:https://privacymark.jp/

リンガーハットにみる戦略の難しさ

【戦略が正解とは限らない】

この正月に、「事業計画」を作成したのでコメントしてほしいという話があった。
この会社の戦略などは承知していたので、どんなものかと訪問した。
驚いたのは、ほとんどの部門では「前年度の事業の継続。売上げ+3%」といった内容だった。
「御社の○○を実現するという基本理念や、それを実現するための戦略課題の**とどう関係するんですか?」
という問いには答えてもらえなかった。

同じような経験をこの秋にも体験した。
一体これはどういうことなのだろうか?

今年を総括するという意味での徒然として記載する。

(戦略とは何か)

私自身は「日本経営品質賞」のセルフアセッサーなので、経営に関して考えることも多い。
経営に関して一番悩ましいのは戦略だと思う。
ちまたでは様々な戦略の定義があるのだが、「日本経営品質賞」ではどう説明しているのだろう。

戦略とは、組織の将来をどのようにしたいかという構想を定め、それを実現するために進むべき道やとるべき方策を明確にすることです。
(経営品質向上プログラム アセスメントガイドブック 2012年度版 より)

戦略(型思考)というのは定められた前提条件そのものに従う(管理型思考)のではなく、条件そのもをより効果的なモニに変えられないかを考えることです。
(セルフアセッサーの認定研修資料より)

私自身の解釈として
・将来のビジョンがあること
・そのための道筋(ストーリー)があること
・ゲームチェンジャーになること
などが条件になるだろう。

(戦略と主義)

戦略に係わる本を読んでいると、結局は経営資源の調達と分配、その成果に目が向いてしまうが、ストーリー性を前面に出すものは少ない。
「戦略」というよりは、むしろ主義と呼んだ方が良いのかもしれない。
象徴的なのは「ブルーオーシャン戦略」だろう。
競争相手がいない土俵では利益を独り占めできるのは当たり前だろう。
一方で、「レッドオーシャン」で差別化を図り他社を蹴散らすのもありだろう。

そこのあるのは成功を勝ち取るための「何を選択して、何を選択しないのか」の方針でしかない。

私の好きな言葉の一つに
「Not Justice  Only Different」
と言うのがある。
戦略に求められるのは「他社とは違う何か」だろう。
「ブルーオーシャン」は一つの方向性にはなるが戦略そのものにはなり得ない。
「ブルーオーシャン」主義というのがしっくりくる。

(業績至上主義は戦略か)

企業のIR情報などを見ると企業がどのような目標を立てているのがある程度わかるのだが、「我が社の戦略は○○です」という文脈で見ることができる資料がほとんど無い。

一番困るのが、「来期の売上高」を戦略目標に掲げている例だろう。

私自身はことあるごとに「業績や売上げは制約条件であり、目標でも目的でもない」と話をしている。企業理念やビジョンから派生したストーリーでなければ戦略としては認められない。
たとえ、「3年後に○○億円の売上げ」などと云って事業の拡大を謳ったところで独自性や、それがうまく行くための方策も描けなければ戦略ではなく、単なる「宣言」にしか過ぎない。

売上げを口にしたところで、「社員」も「顧客」や「社会」にどんな変革をもたらすのかのコンテキストがなければ「業績目標」は「戦略目標」とは認められない。

(戦略は成功を保証しない)

では、戦略策定は成功を保証するのかといえばそうはならないだろう。

https://toyokeizai.net/articles/-/261590
リンガーハット、値上げでも大幅減益の理由

リンガーハットと云えば「長崎ちゃんぽん」の店舗を中心に「食の提供」をしている会社であり、その経営理念は夏季のように提示されている。

私たちの使命観 「すべてのお客さまに楽しい食事のひとときを心と技術でつくるリンガーハットグループ」 は、食の安全・安心・健康づくり、誠実なお客さま対応、人間性尊重と職場環境の改善、自然と環境への配慮、地域社会への貢献という五つの実践訓によって理念を構成しています。

私の記憶なのだが、やはり売上げなどが低迷したときに「女性」と「健康」に焦点を当てた戦略を展開し、一定程度の安定的な業績を確保していたはずだ。

おそらく、経営理念などを見る限り、その戦略の大幅な変更はないだろう。
戦略と呼べるかどうかはともかく、企業の方向性はCSRレポートにも見ることができる。

とはいえ、経営資源の選択や配分をどのようにするのかの選択のフィロソフィーはある程度わかるものの、それ以上のことはわからない。
こうした資料からは、企業の戦略を読み解くことは難しい。

しかし、戦略を明確にしないと株主にとっても社員にとっても未来の予測ができない。
かといって、今年は「これだけ儲けます」と宣言されても、結局は戦略とは関係の無い「今までの実績」に依拠してしまう。

確かに「戦略」を明確にしたからといって成功の十分条件にはならないが、戦略がなければ博打のような場当たり的な経営になる。
そうした意味では「戦略の明確化」は関係者に伝えるべきもので必須であり、必要条件になる。

この必要条件を提示できない組織は「経営革新」に取り組むものとは認められない。

<参考資料>
・https://www.ringerhut.co.jp/corporate/policy/
・https://www.ringerhut.co.jp/csr/csr/