ぼくのかんがえたさいきょうのISO9001
柴田(@4bata)です。強くなったらISO900000000001とかになる。
考えたきっかけ:プライバシーマークの更新をやってみた
世の中にはいろんな「規格」があることをしった。プライバシーマークはJIS Q 15001という規格に沿っている。
JIS Q 15001 およびJIPDECの定めたガイドライン等への対応が適切に実施されていると認定されると、所定の手続きを経てプライバシーマークの使用が可能になる。(wikipediaより)
そもそも規格とは何か?
技術文書として国レベルの「規格」を制定し、これを全国的に「統一」または「単純化」することです。一例ですが、トイレットペーパーのサイズは日本のJIS規格によって標準化されています。114mmと決められています。(引用元)
何も知らないときは、形式的で面倒なものという印象があった。知っていくと意外と理にかなっていることがわかった。プライバシーマークの審査でも、形式的な部分もあったけど9割ぐらいは意味がある運用だけにできるイメージがわいた。
ひとつ例をあげる。プライバシーマークを取得するためには、毎年「リスク分析」という業務をする必要がある。
上記の基準(柴田注:審査基準)に基づいてリスク分析をすると、下表のような無意味なスプレッドシートをグルーピングした個人情報ごとに大量に作成することになります。(中略)
信じられないことですが、要件を満たしていれば、このような無意味なリスク分析でも審査に合格することができます。(中略)
では、どうすればプライバシーマークの基準の中で、良いリスク分析ができるのか。簡単です。「当社にはどのようなセキュリティ上の課題があるのか?」というシンプルな問いを、自ら、あるいは関係者に投げかけてみてください。(インターネットプライバシー研究所のコラムより)
この「リスク分析」という作業は、適当につくる無駄な作業にすることもできれば、年に1回関係者ときちんとセキュリティ上の課題を洗い出す機会としてつかうこともできる。「原理原則をちゃんとわかってる専門家」を探し出すことができれば、かなり「規格」というものは利用できそうだぞ、という気づきがあった。
ISO9001の存在を知る
知る、と書いたけど検索しただけなのでなにも知らない。でも、こういうことをやりたいんだけど、ということを書いていく。
ISO9001の要求事項は具体的な方法や程度(数値)は要求していません。要求事項をどのような方法で、どの程度、実施するかは企業自身が決定し、決定したことを実施することで、規格の要求事項を満たしていることになります。(引用元)
自分で決めて、自分たちで守れているかをチェックしていく。「メタプロセス」的な部分を外部の専門家にチェックしてもらう、みたいなことだと予想する。例えば、こういうことがやりたい。
いっつもちゃんと経費精算する人は5ヶ月に1回だけ見てあとは自動承認とかして工数削減できるのかな?とか。
で、こういうよくわかんないことを、メタプロセスは世の中的に「標準です」というものに従うけど、具体的な実務はいろいろと無駄なものは極限まで削減しつつ、試行錯誤していくという案を思いついた。
他にも、BCPというものがある。
BCPとは事業継続計画(Business Continuity Plan)の頭文字を取った言葉です。企業が、テロや災害、システム障害や不祥事といった危機的状況下に置かれた場合でも、重要な業務が継続できる方策を用意し、生き延びることができるようにしておくための戦略を記述した計画書です。(引用元)
BCPが発動されたときは大抵深刻な状態だ。しかし、深刻なときだからこそ、「BCPに面白要素」を入れておく必要があるのではないか?ということを考える。これは私が「面白法人」で働いているから、というのもある。
人は行き詰まっている時、「もはや打つ手がない」と思っているものです。そして打つ手がないと思うから、深刻になってしまうのです。打つ手がないと思ったら、実現不可能でもよいから、まずはたくさんアイデアを出してみるのです。(引用元)
深刻なときこそ、遊びの要素もBCPに入れておきたい。まあこれは普通にできそうだけど。
さてここまで、ほぼ知識ゼロで妄想を書いてきた。知らないからこそ書けることがある。実際にISO9001が何なのかはまったくわかってないので、来週ぐらいに詳しい人に聞いてみる。その上で追記する。
<つづく>
最後に宣伝:こういうプロセス的なことが好きな人は、いま鎌倉で未経験者歓迎の内部監査の募集をしてるので、応募してください。
たぶん未経験のほうがいいとおもう。ちなみに内部監査は知らない人からするとつまんなそうな仕事だと思われていることを知った。結構面白いと思うけどな、と思いながら以下の記事を書いた。
求人はこちら
誰かが書いてたけど、サポートしてもらったらそのお金をだれか別の人のサポートに回すと書いていて、それいいなとおもったのでやります!