プライバシーマークやISMS（※）の取得を検討されている会社様を訪問すると、
よく次のような質問を頂きます。

「うちの会社の場合、プライバシーマークとISMS、
どちらを取得すればいいの？」

何らかの取引条件や入札条件を指定されている場合を除き、
プライバシーマークとISMSの違いは見えにくいところなのかもしれません。

例えば、会社様の現状や、お客様からどちらの規格の取得を求められているかは、
プライバシーマークやISMSの取得を選ぶ大きな判断材料になります。

今回は、プライバシーマークとISMSの取得、どちらがふさわしいのかについてお話します。

（※）ISMS(Information Security Management System)は 情報セキュリティマネジメントシステムのこと。

〇プライバシーマークの取得を勧めるケース

皆様の会社には、どれくらいの「個人情報」が存在していますか？

例えば、弊社内にも、自社従業員の履歴書や、取引先企業担当者様の名刺など、
様々な個人情報が当たり前のように存在します。

皆様の社内ではいかがでしょうか？

皆様の会社が持つ「個人情報の量」、
また、最終消費者向けの事業展開を行っているかは、
プライバシーマークを選択するかどうかの重要なポイントになります。

〇ISMSの取得を勧めるケース

皆様の会社では、「他社の機密情報をお客様からお預かりする」という機会が
どのくらいありますでしょうか？

ISMSは、「取り扱う他社情報の量」によって、取得を検討すると良いです。

他社の大切な情報を守り、運用することを目的として考えると、
情報資産全般を管理の対象とするISMSは適していると言えます。

また、プライバシーマークに比べ、
より「現場」を重視した審査を行っているのがISMSの特徴です。
外部からの審査を受けることで、
情報セキュリティレベルの向上にもつながると考えます。

〇プライバシーマークやISMSを取得するメリット

お客様から情報の管理体制を問われた際に、ただ口だけで

「御社の情報は万全に取り扱っています！」

と宣言するのか、

「プライバシーマークやISMS認証を取得しており、
定められたセキュリティの運用下において、
御社の情報は万全に取り扱っています！」

と宣言するのかで、お客様に与える印象は大きく変わります。

プライバシーマークやISMSを取得することは、
情報を万全に取り扱っていると顧客にアピールできるツールにもなります。

〇まとめ

最近は情報資産全般を管理する会社様が増え、その中には個人情報も含まれることから、
ISMSを取得される企業様が業種問わず増加しています。

プライバシーマークとISMS、
どちらを取得されるか悩んでいらっしゃる方は、弊社までお気軽にご相談下さい！

2014年7月現在、ISO9001及びISO14001は、
DIS版（国際規格原案）なので、正式発行に至るまで要求事項が変わる可能性があります。
新しく追加された要求事項について説明致します。

(1)組織及びその状況の理解

ISOの仕組みを単に認証のため、審査のために構築するのではなく、
自社のために構築することを要求しています。

具体的には、組織の目的及び戦略を明らかにした上で、
それらに影響がある組織の外部及び内部の課題を明確化することが求められています。

組織の外部課題とは、企業が直接コントロールできないようなものを考えることです。
たとえば、変化する法規制等への対応、マーケットの変化などを考えることです。

内部課題とは、企業がコントロール又は影響を及ぼすことのできることを考えることです。
たとえば、外部業者の適切な委託、従業員への教育というものを考えることです。

これらの外部及び内部課題を認識して、
どのように、ISOという仕組みと関連付け、
どう対応するのか決めること、これがまず始めに問われるということです。

(2)リスク及び機会への取組み

会社としてのリスクに対する取組み方法を決めることを要求しています。

現行規格では、発生の未然防止を考えて、その対応計画を定めるという予防処置があり、
これに対応しているともいえますが、2015年版では、自らの組織環境におけるリスク、
つまり、より広い観点でリスクを考えることが要求されています。

たとえば、『自らの組織環境におけるリスク』とは、
『戦略リスク』として、市場ニーズの変化や法令改正など、
『オペレーショナルリスク』として、欠陥商品・製品の回収のリスク、環境規制違反など、
が考えられます。

これらリスクの取組みの方向づけを明らかにすることが必要です。

(3)パフォーマンス評価の重視

現行規格のISO14001には、環境パフォーマンスという監視・測定項目がありますが、
2015年版では、『箇条9パフォーマンス評価』という大きな項目となって、さらに重要視されました。

具体的な要求事項としては、品質又は環境パフォーマンスの評価を行うことを要求していますが、
これは、組織が実施した結果に対して、その出来映えや効果を評価する、ということが
より明確化された要求事項となりました。

では、今からシステムをどのようにより良くしていくか？
お手伝いをさせていただければ幸いでございます。

代表取締役  吉浦茂弘

先日、大阪で製造業をされている会社で
ISO9001の勉強会と取得に向けてのキックオフを実施してきました。

これからISO9001を取得されようとしている企業がいらっしゃり、
ISOコンサルタントをしていると話すと
「難しいんでしょ」と質問をいただくことがよくあります。

近年、ISOを取得されようとする企業規模が小規模化されてきて、
10名前後から20名前後の企業がISO取得に向けて準備をされているケースがよくあります。
小規模の企業では、ISOに対して敷居の高さを感じている方々が多いようで、
前述のような質問をよくいただきます。

しかし実際は「小規模の会社の方が取得しやすいですよ」ということです。

ISOを取得するというとは、製造業であれば、
お客様から注文を受けて、お客様の要求どおり製品を製造して、
出荷するまでのプロセスをルール化するということです。

ルール化というと、文書化を想像する人が多いかと思いますが、
ISOでは基本的な部分の文書化は求めてはいますが、
営業や製造といった実務に関するルール化については、
全員が共通のルールを認識していれば良いということになっています。

ですから、小規模の会社の方がISOを取得しやすいというか、
既に取得する準備が整っているとも言えます。
今回、ISO9001の勉強会とキックオフをさせていただいた京都の製造業の会社も、
工場で働いている方は約10名ほどです。
このような規模の企業様が現状多く取り組まれています。

ISOコンサルタントとしての私の役割は、
ISO9001が要求している基本的な文書作成の支援とルールの整備、
あとは勉強会や実際の運用サポート、審査を適切にパスできるための
アドバイザーような役割を務めています。

ISOコンサルティングも、規模の大きい会社であれば、
隅々まで目を行き届かせるのに苦労をしますが、
小規模の会社であれば、コミュニケーションもよく非常にサポートがし易い環境です。

ISOを取得するからと言ってわざわざ仕事のルールを見直す必要はありません。
ルールと言っても、これまでの仕事のやり方がルールそのものなので、
特に難しいことをする必要はありません。
それよりも、改善活動をする環境が整うことがISOを取得する大きなメリットです。