過去のコラムは、https://www.itc-kyoto.jp/category/column-old/に移行しています
入会案内
お問い合わせ
入会案内

中小企業の経営管理とマネジメントシステム認証/中村 久吉

 マネジメントシステムというと、ISO認証規格が有名で、品質規格(QMS)として9001や環境規格(EMS)として14001が普及しています。一方で、まだ発展途上ではありますが、情報セキュリティ規格(ISMS)として27001があります。もちろん、その他にもISO認証規格はあります。
 ISO認証規格が適切に運用されれば、マネジメントシステムという名称のとおり非常に有効な管理システムとしての効果を発揮します。しかし現実には、ISOマネジメントシステムの認証維持が組織の負担を増大させ業務効率に悪影響を及ぼしているケース、逆にマネジメントシステムの運用がなおざりにされて本来の機能が発揮されずに形骸化しているケースも一部にみられます。このような中で、組織の負担を軽くする取組が特に環境規格で拡がっており、例えば代表的なKESが京都から出ています。

 さて、今回はマネジメントシステムとしてISMS(ISO27001)とPMS(プライバシーマーク認定規格:JIS Q15001)を対象に考えてみます。
 インターネットは社会に浸透しており、パソコンやゲーム機器だけでなく家電製品もネットワークに接続される時代になっています。今やIT(情報技術)及びネットワークなしの生活は考えられません。一方、2005年春の個人情報保護法全面施行以来、国民の個人情報保護への意識は格段に高くなり、一部では過剰反応さえ見られます。このような環境下で地方自治体や大手企業と取引するに際して、ISO27001認証又はプライバシーマーク認定取得が事実上の条件になりつつある傾向さえ見られます。もちろん一般消費者を対象に、インターネット販売を相応の規模で展開する場合は、これらの規格認定が重要なアピールポイントになっています。

 ところで、ISO認証審査機関は、その多くが“経営に役立つマネジメントシステム”“経営に貢献する審査”をすると言っています。プライバシーマークにおいては、そのように明言していませんが、同様の方向を目指していると思って良いでしょう。この言葉は、どの程度実現しているのかを考えると、決して高い割合ではありません。高い割合で実現しているのなら、わざわざ審査機関が口にする必要は無いのです。また、私の審査経験から言っても“経営に貢献している認証維持”を実現していると感じる受審組織は少ないのです。

 この原因は、受審組織側と審査機関側の双方にあります。受審組織側では、これらのマネジメント規格に取り組む姿勢が、まず決定的に重要になります。自社の経営管理の仕組みから分離して、例えばISO27001認証又はプライバシーマーク認定取得のみを追求する(認証ロゴマークだけ欲しいというケース)と、“経営に貢献しない”もしくは“経営の重荷になる”可能性が非常に高くなります。これと逆に、自社の経営管理システムとの融合を図る又は自社の経営管理システムに活用することに腐心する組織は、“経営に貢献する規格認証”を実現できる可能性が高まります。しかし、現実には認定取得する又は維持更新することが精一杯で、そこまで踏み込んだ取組をしていないケースが多いのです。
 一方、審査機関側の問題では、“経営に貢献する審査”の内容が明確に分かっているのかという疑問、また“経営に貢献する審査”をできる審査員がいるのかという人材の問題、コンサルティングではなく審査であるという立ち位置の問題があります。“経営に貢献する“ためには、経営のポイントが分かることが前提になりますが、本当に経営者の経験を持つ審査員はどれくらいいるのか、あるいはMBA(経営学修士)や中小企業診断士で実務経験もある審査員はどれくらいいるのかと見まわした場合、該当者は多くないことに気が付きます。このような変革に関わる問題には長期間を要します。立ち位置の問題は、審査員のバランス感覚とスキルによって補うことができると思われます。

 そもそも、これらマネジメントシステムの構造をみれば分かりますが、“経営管理システム”ではなく、“管理システム”の代表例と思われます。つまり、経営にとって一番重要な組織環境の変化に対応して意志決定していく機能は非常に貧弱で、現実は意志決定の後の目標管理システムなのです。しかし、中小企業では有効な管理システムが構築されていないケースが多く、そのような場合にはマネジメントシステム規格認証への取組は非常に有効な組織のレベルアップ(成熟度の向上)手段になります。先ずは管理システムを定着させながら、より強力な経営システムの構築を図ることが現実的に適切な手法と考えられます。
 以上は、私の審査経験を通してマネジメントシステム本来の効果を実現できていないと思う受審組織が存在しているという事実に根ざしています。プライバシーマークは高額とは言えませんが、ISO規格の認証維持には相応のコストが伴います。また、当該マネジメントシステム推進の取組も相応の労力と時間を要します。従って、事業を展開する上でマネジメントシステム規格認証が必要な場合は、経営の重荷になるような結果を招くコンサルタントや審査員・審査認証機関を識別して利用することが肝要でしょう。

■執筆者プロフィール

中村久吉(なかむらひさよし)
ITコーディネータ、中小企業診断士、社会保険労務士
ISO27001主任審査員、プライバシーマーク主任審査員
e-mail: eri@nakamura.email.ne.jp

研究会
介護ソリューション研究会、WEB/SNS研究会を行っています
地域経済社会の発展に寄与すべく、組織を挙げて各種の事業を実施します。

経営課題を明確にした上で、ICTの活⽤を含めて総合的に経営課題を解決したい、既存のシステム活⽤がうまくいっていない、IT⼈材の育成をしたい等、IT経営に関することでお困りの⽅は、お気軽にお問合せ・ご相談ください。

会員情報
賛助会員情報
メールマガジン登録
お問い合わせ
itc_under_icon01
特定非営利活動法人ITコーディネータ京都

〒600-8813
京都市下京区中堂寺南町134番地
京都リサーチパークASTEM棟8階 8F06

© IT Coordinator Kyoto. All Rights Reserved.