シンプル イズ ベスト
弊社は主に同業者、おおよそのイメージで従業員50名以下のITやソフトウェア開発を行っている企業に貢献することを第一に考えてきました。それを念頭に創業以来、いくつかのビジネスにチャレンジしてきましたが、その一つがISO。私自身は1990年代後半からISOに関わってきました。ISO9001から始まり、ソフトウェア開発を行っている企業に転職した時からISO27001に関わるようになりました。
ISO27001に関わるようになったのは2008年で、IT及びソフトウェア開発の業界では“情報セキュリティの取り組み”が活発になってきた時期です。転職した会社では顧客要求により、ISO27001認証に取り組んでおり、その途中段階で入社し、関与することになりました。その後、その会社は倒産し、同業他社に事業譲渡、その関連で譲渡先に転職となり、そこではISO9001+ISO27001同時認証に取り組み、3年弱で退職、現在に至ります。
現在はS&A JAPAN株式会社だけでなく、複数の審査機関の審査業務に携わっています。
今まで、ISOに関わってきて、従業員が1,000人でも10人でも文書の構成が似たり寄ったりということを疑問に感じています。例えば、前述した“お客様先常駐作業”中心のソフトウェア開発企業、SES(システムエンジニアリングサービス)といいますが、技術者全員が“お客様先常駐作業”で、事務所内で行っているのは人事労務や経理、営業活動程度です。このような企業でもマニュアルだけでなく、規程や手順書が多数あり、さらに書式も…。マニュアルや規定・手順書は規格をオウム返ししたような内容で、審査で何をするのかを質問しても答えられず…。審査に同席するコンサルタントが助け舟(というか代理回答?)を出す始末。この状態は異常ですが、当たり前と捉えられているように感じます。
認証に取り組む組織も、コンサルタントも現状に疑問をもってほしいと考えています。
