2011年08月08日
ISO信頼性向上策が受審組織にもたらすインパクト
ISOの信頼性向上策が日本の認定機関・認証機関の総意としてスタートする。新聞記事から推定すると企業(審査対象)の虚偽による不正取得に対して厳しい態度をとるもので、発覚したら再認証は少なくとも1年間は出来なくなる。
ペナルティに
よる方法が主眼でなく、積極的な情報公開を促し、透明性を確保することで、マネジメントシステムの信頼性を向上させようとするものです。
MS 認証信頼性向上イニシアティブに基づく認証組織情報自主公開プログラム開始のお知らせ
http://www.jab.or.jp/news/2011/11080500.html
MS 認証懇談会
http://www.isms.jipdec.or.jp/publicity/index.html
※
何をどのように公開するかは 容易でない。懇談会の場で検討されるのだろうか。
2011年08月07日
一度作ったきり見直されない基本方針の特徴
最初に一度作ったら、その後は殆ど見直されることがない、そういう基本方針が後を絶たない。基本方針だから、企業ビジョンとか理念とかと同じ感覚で策定してしまうのだろうね。中身を見ると極めて一般的なことが綴られている。いったい何が方針だろうかと思うくらいに普通の常識的なことが記載されている。つまらない。何処の会社の誰が作っても似たようなもの。社員にしても二度と見ることもないし、何の特徴もないから記憶にも残らない。
しかし、一方では、適切に見直されている基本方針もあります。マネジメントサイクルに組み込まれたものですが、経営のツールとして活用されていることが理解できます。
情報セキュリティ基本方針は所謂企業の「年度方針」と考えた方がぴったり来る。セキュリティだけが独立して企業内に展開されるのでなく、経営理念、経営方針が展開される中で、その一環として捉えられる必要があるのは、言うまでも無いこと。普遍的であれば、それは理念の中に反映されるべきかも知れない。
マネジメントレビューは基本方針の達成度を確認する場と考えたほうが分かり易い。
.*.
年度方針サイクル(当年4月-翌年3月)
4月:キックオフ 新方針スタート(新体制)
4〜5月:新方針に基づくリスクアセスメント・リスク対応計画
6〜12月:リスク対応
9月:中間レビュー
1月:内部監査
2月:マネジメントレビュー。次年度課題確定。
3月:次年度予算確定(方針・実施項目・方法論・コスト)
.*.
ウイルス対策ソフトの定義ファイルの日付を確認します
シマンテック、トレンドマイクロ、マカフィーが有名どころですが、他にもたくさんのウイルス対策ソフトがあるが、定義ファイルを独立して更新するやり方が一般的なようだ。都度、ツール会社のサーバーから都度あるいは定期的にダウンロードする。パソコンが重くなる訳でもないだろうが、最近は定義ファイルをクラウド上において利用するタイプも出ている。
どこのクライアントでも情報システム部門がツールをインストールして基本設定をやるので、殆どの社員はウイルス対策ソフトは正常に動作していると信じきっている。ところが、定義ファイルが参照するサーバーのアドレス、定期的にウイルスチェックするタイミング、PC起動時の自動スタートなど初期設定さえすれば殆どの場合問題はない筈だ。
しかし、正常に定義ファイルの更新が行われない事例にはよく遭遇する。何かをインストールするときに、一時的にウイルス対策ソフトを停止させて、停止解除を忘れるケース。サーバーのアドレス設定のミス。
ウイルス対策ソフトが正しい状態かどうかを点検する仕組みがない。
正常でないと分かったときのインシデント報告が行われない。
安全に復旧させるための対応手順が明確でない。
.*.
自動販売機の設置場所
セキュリティに対する注意は殆ど常識の時代でも、いまだに居室内に自動販売を設置する会社が後を絶たない。オフィスのレイアウト設計は、多くの場合、総務部門に委ねられているが、彼らの頭には、兎に角、一人当たりのスペースの維持とか、物を詰め込むことしかない。何を入れればよいかを静的なイメージで検討するが、時間変化とイベントに基づいたシミュレーションは弱い。ましてやセキュリティ面の検討を加えることは殆どない。
もっとも、出来上がった図面をセキュリティ担当にチェックさせるが、殆どの場合は後の祭り。ゾーニング変更に触るチェックが最後では全く意味が無い。ある大企業が新オフィスに移転したときも残念ながらオフィスのど真ん中に共有ゾーンとして色々なベンディングマシンを設備してしまった。ISMSに取り組んでいる会社でもこのザマなのだ。
.*.
2011年08月05日
オフィスの清掃は誰の仕事か?
清掃業者に委託している。オフィスが入居しているビル管理会社が清掃業者を指定することが多い。入居して会社はいくつもあってそれぞれが勝手に清掃会社と契約するとビル管理会社として煩雑になるので自分で決めてしまうことになる。それは時としてビル管理の関連会社になっているので事業採算にも有益なのだ。
入居している会社から見ると、自分でコントロールできない清掃業者であり、好ましくないがビル管理会社を信頼して受け入れることになる。その場合、セキュリティ面でどのような対策をとるかがポイント。
当然、居室内に入って色々目に入ることになるから、見たもの見たことは口外しない旨のNDAに準じた契約を行う。
オフィスに入る清掃員は予め固有名詞で抑える。勝手に誰でもオフィス内に入れることはしない。止むを得ない事情があれば、都度事前に承認を得る。
可能なら、個人ごとに誓約書を取る。
入室用のキーは予め渡すことはしない。結構、多くの企業が清掃用として1〜2枚のカードキーを渡している。カードキーが勝手に解析されたりスキミングされるリスクを回避したい。
オフィス内に社員が居ない早朝または夜の清掃は避ける。必ず監視の目があるところで清掃を行う。
もっとも、クリアデスクが本当に徹底できる場合は話は逆になる。社員が勤務中は書類を見られたり、モニターを見られたりするリスクの方が問題になる。最後に退社する人がクリアデスクを完成させ、掃除は早朝。早出当番が居て、立会いを行うのが一つのあるべき姿。
もう一つは、清掃の外部委託を止めてしまう企業も多い。社員が日時を決めて一斉に清掃を行う。このメリットは大きい。1つは、単純が外部委託のコストを軽減できる。2つは、セキュリティ上の懸念・リスク対応に煩わされない。3つは、オフィスの書類の管理、整理整頓も同時に実現する。
自ら清掃を行うのは、内勤が多いオフィスは当然として、外出が多い営業などの部門ではさらに有効と思われる。外回りが多い職種の人はオフィスの整理が難しいので管理者が予め時間を決めるのは返ってやりやすい訳だそうだ。
※
A.10.2.1 清掃業者との契約には機密保持の内容を入れる。監査権を入れる。
A.10.2.2 定期的な監査は内部監査の一環として実施。
A.10.2は本来は情報システムに関連するサービスを外部委託する場合に適用する管理策だが、オフィス内の清掃もオフィス内の情報にアクセスするリスクがあるため、やや突出気味ながらこの項目を適用することも妥当なのだろう。
2011年08月02日
ISMSでも「三十六計逃げるに如かず」は本当に有効か?
ISMS審査の世界でも「
三十六計逃げるに如かず」は有効なようだ。もぬけの殻になったオフィスに事務局とコンサルと審査員が呆然と立ち尽くす。下手な受け答えをすると、余計な宿題をもらうだけだ。面倒だから、外出できる人はするように。ということは、部門の責任者も来客アリとかで消えていく。そんな会社は後を絶たない。自分たちが何をやっているのか分かっていな。自分だけは大丈夫と信じている。自分のミスで会社を危機に追い込むなんて毛頭考えていない。もしそうなったらその時の事だと居直っている。
審査の日に部門長が消えたら、残念だけど、その部門長が自分は無能ですと宣言したようなもの。能力が無いからスケジュール調整も出来ない。お客を掴んでいないから応対の幅も無い。だから、審査の日に逃げ回るマネジャーを見つけたら、黙って降格でよい。
乱暴な物言いに聞こえるけど、デミング賞で指導会で逃げたら、その人は二度と出席できない。そういうのは、昔は常識。
ISMSも初回審査はそういう緊張感があっただろうが時間が回るとだんだんいい加減になる。実は、こういう数年経過したときこそが本当の本音が顔を出すころなのだ。初回はトップが入れ込んでいるから部門長も合わせざるを得ない。時間が経って緊張感も緩んだころに本心が顔を出す。
コンサルも同じ。初回はベテランだけど、だんだん新人の研修の場に変わってくる。
トップとか社長とかが、基本方針で良いこと書いても、マネジメントレビューで良い格好をしても、結局、現場の長がぱらぱら脱走するような状態では、全く意味がなくなってしまう。そういう実態を知ろうともしないことも読まれているのだろう。
もちろん、たまたまの止むを得ない不都合も存在するが、数人にそういう状況が生まれたら既にそのクライアントのISMSは終わっているね。というのが大方の声。
ましてや1年以内に事故を起こしているような組織での脱走劇はもっと悲惨なことがおきる前触れでしょう。
2011年08月01日
所見傾向から何が分かるか? -2-
(1)常に多いのが、文書・記録ファイル類の管理。資産台帳との整合性は少し油断しても途切れてしまう。ハードコピーに限らない。A.7の辺りは常習犯。
(2)結果、リスクアセスも抜け漏れになるから、4.2.1d)の辺りも常習犯になる。4.2.1d)は資産価値の正しい評価でも引っかかるので所見頻度はかなり高い。
(3)ヒューマンエラーが出やすいのは記録類の運用。4.3.3の辺りが多くなるのも割りと普通のことらしい。
(4)殆どのクライアントではISMSの運用が始まっているので、運用の管理策A.10も当然多くなる。
.*.
慢トラ(慢性トラブル)と言うのを聞くと思うが、上記の(1)(3)が継続して出ている場合はヒューマンエラーだから止む無しで済ますところあるが、要注意。仕組みが空回りしている可能性が高い。
仕組み(基準・手順)の不十分さ。上滑りの教育。節穴の内部監査。これらが手伝うと(1)(3)は減少しない。昔の国鉄時代に競合脱線とか言うのが流行ったが正にそれです。
所見傾向から何が分かるか?
過去の所見の規格番号を並べて、その傾向から何か分かることがあるだろうか。所謂、傾向分析、傾向と対策と言うやつだ。普通、更新審査は過去を意識して振り返るので、傾向分析のタイミングに当たる。
最初の更新審査では以下の3回分。
1)初回審査(文書審査・初動審査・本審査)
2)継続審査1(サーベイランス1)
3)継続審査2(サーベイランス2)
2回目の更新審査では更に以下が加わり6回分。
4)更新審査1回目
5)継続審査1(サーベイランス1)
6)継続審査2(サーベイランス2)
審査機関によっては更新審査のタイミングで担当審査員を変えるようにしているところもある。
所見の出方は組織(経営者、担当者、管理システム、企業風土など)の特性と審査員特性(所属する審査機関、業務経験、審査経験、基本的な力量など)に依存する。審査員特性を抑えるには特定の審査員が長く担当することを避ける必要がある。
過去既に1ウェーブ(更新審査から次の更新審査までの3年間をウェーブと呼ぶかどうかは知らないが便宜的に<1Wave=3Years>としておく)担当していた審査員が継続または復帰して担当するのは、誰にとっても好ましくないが、実際は結構見かける。癒着といっても良い。これは、コンサルも基本的には同じだが、コンサルの場合は初期構築だけで実質は引き上げてしまい、長年サポートすることは無い。長居は無用。なのだ。とか。
傾向分析を3年分で済ますのは、クライアントから見れば適切でない。審査員の特性を跳ね返せないから。審査員の半分は必ず変更して、3年以上担当する審査員が出ないようにすることが肝心。そういう心がけの組織(クライアント)も居ない訳ではない。毎年全員変更では付加が多くデメリットも出てきてしまう。
.*.
TQCではさんざん統計的手法を頭に入れていた筈なのに、ISMSを担当した瞬間、統計が何処かへ飛んでいってしまう。頭が切り替わってしまうようだ。コンサルや審査員も傾向分析は簡単ではないようだ。一番健全なのはクライアント・コンサル・アセッサーが一つのテーブルに向かって、データを共有しながら、「ああでもない、こうでもない」とワイワイガヤガヤをやることだ。このための僅か1時間がなかなか作れない。
せめて3年に1回1時間を審査終了後に作るのは悪い話ではない筈だが?なかなか!
.*.
2011年07月31日
組織を再編したら不適合にされてしまった?
この手の話は何度も出てくる。
ある企業の某事業所で、既存の部門からメンバーを募ってプロジェクトを立ち上げた。そのプロジェクトは新たな一つの部門として位置づけた。外部(関連会社)からもメンバーを入れた。
それが審査の直前に実施された。審査より事業優先。当然ですね。
歳は取っているが審査員では青二才の爺がやってきて、新組織として内部監査は実施したかと聞く。適用範囲は全社だから、組織変更前の部門では内部監査は当然済ましている。しかし、新部門としては内部監査は実施していない。リスクアセスメントの切り分けなどもまだ途中だ。
すると、この青二才は何を言い始めたか。新たな部門の拡大だから、今回の審査の範囲に含めることは出来ない。無理に適用範囲に入れると言うなら、不適合を出しますよ。とやった。
話の筋が悪い。組織の再編自体が適用範囲に含む含まないの問題は有り得ない。既存の適用範囲と比べて何が違うかを基本的に見てみる必要がある。サイト(端的に言えば住所)が追加されているかどうか。これは問題ない。同じ事業所ビル内だから。事業上の特徴の変化点の有無。新しいプロジェクトが従来のスコープ(事業概要)の範疇に収まるかどうか。これが全く新しい事業エリアでセキュリティ上の特徴も異なってくる場合は拡大審査が必要になる。既存事業と同列で新たなセキュリティの側面が加わらなければ適用範囲の変化なしと判断できる。
事業の変遷、組織の変遷は小規模なものはどの企業でもどの組織でも日常茶飯事。その都度、審査でもあるまい。全くひどい話になった。組織のトップは納得していないが審査員と争う無謀は避けたいのか黙って幕を下ろしたらしい。
組織の事業戦略の一環として組織再編などはいつでも自由に出来る経営者のフリーハンド領域のもの。それが本来。審査が事業戦略に優先していいはずもないし、新組織の内部監査が遅れているからといっていきなり不適合と言う話にはならない。もっとも、組織変更後何日以内と決め事があれば別だが。
<何が問題か>
何をもって適用範囲の拡大としたのかが不明確。特にセキュリティの側面で何が新たに留意されなければいけないのか。このことが審査員から説明されていない。
新規の部門も適用範囲に含めると言うなら不適合を出しますよと迫った審査員の態度。客観的に事実に基づく態度ではない。加えて、不適合出しますよって不適合出すことは伝家の宝刀なの?。日ごろの審査態度が窺い知れて嫌だね。
最大の問題は、全社が適合範囲だったものに、適用範囲外の穴が開いてしまったこと。ある意味、由々しきことです。審査の事前言うべき内容に該当していたのかどうかも怪しい。クライアントが100%責めを負う状況でもなさそうだ。
兎にも角にも。新部署が適用範囲から締め出されたことは最低最悪の判断。審査事故レベルらしい。
大人の知恵が何処かで働いたのか、何事も無く時が過ぎているようだ。目出度し目出度し。
.*.
審査の日は道路のごみ掃除まで?
いやはや徹底している。無様なことは絶対にしないぞとばかりに、審査の日は会社の入り口まで歩いてくる道の周辺はごみ一つ落ちていないようにせよ!とのお達し。全員、1時間前に出社して文字通り会社の内外の最後の掃除。
コンサルではこのようには行かない。緊張感もみなぎってくる。
書類は全てバインダー&ボックスに入れて会議室の壁際に並べられる。資料を求められたら間髪おかず提示できるように並べ方まで予め決めてある。
kここまで来るとコンサルは殆ど出番が無い。何せ責任者の役割は持っていないから。純粋にコンサルとして同席することになる。
2011年07月29日
審査をうまく進めるポイントは「お茶と弁当」?
お茶は自販機、お昼は好きなお店でどうぞ。なんてやると、審査員は気合が入る。気配りも何もない会社は”どうせ”問題が転がっているものだ。
かと言って女子社員とかケータリングサービスでお茶だコーヒーだと次々とサービスするのは、煩雑で嫌がられる。お茶をこぼしたりすることもあるから尚更だ。
料亭を予約しての大げさなランチに同行するのも嫌がられる。時間が浪費される。審査員は忙しい。
一番好まれるのは、ペットボトルでの給茶。朝1本渡して少なくとも午前中は済ます。午後又1本で十分でしょう。お昼は弁当。時間の無駄が無いので歓迎される。しかし、安い弁当は揚げ物ばかりで塩分が濃いだけでNG。量は多くないけどクオリティは高い、そういう弁当が好まれる。食事だけ同席して雑談。食事が終わったらさっと引き上げるのが良い。ということらしい。
.*.
笑える初心者コンサルの情報資産価値2
資産価値が高い:3
資産価値が低い:1
資産価値は中間:2
機密性1なら誰に見られての構わないもの。
完全性1なら破れても改ざんされても構わないもの。
可用性1なら取り出せなくても構わないもの。
では、C:I:A=1:1:1のものは何でしょう? 3つの側面で価値が最低のものですから、例えば、新聞に挟み込んで届けられ、まったく関心が無くてゴミ箱に直行したような類の普通の紙ごみがCIAオール1に相当しそうです。
重要な情報資産をリストすることをやっている筈なのに1:1:1の資産が入り込んでしまう。何かの勘違いでしょう。
ところが、そのコンサルが言ったのは、「ここではごみもリストするんです」だって。ご勝手にどうぞと言うことらしいが、これ審査員の作り話かも。究極の資産価値1:1:1は、内部監査で出掛けたり短期コンサルで出掛けたりしても、結構目に付くらしい。
最初は誰でも初心者だからね。
.*.
日増しに元気なJQA
JQAは日本品質協会のこと。
日増しに元気とは、ISMS全体としては既にピークになっているにも拘らずJQAだけは毎月のように審査実績を伸ばしている。もともとQMSは大きなカスタマーベースを持っていたのだから、トップに立とうとしていること自体はそんなに不自然」なことではない。
.*.
成功要因の1つは提携戦略。1人1人の契約審査員でなく、何人かの審査員を抱える審査集団(企業)と契約する形で、ピーク対応を図った。一定量の審査員を確保できないと、審査ニーズに対応できないのが、需要が一時期に集中するこの業界の常識で、JQAは管理コストを掛けないで提携で乗り切った。
文書審査を軽減させるためにはIT企業と文書審査用のITインフラを実現した。もっともアイデアはIT企業の提案らしい。他の審査機関が結論を先延ばししているうちにJQAはマンパワー平準化のツールと見て飛びついた訳だ。
工数さえ確保できれば、QMSのカスタマーベースを活用して一気に顧客拡大が図れる。QMSの審査にISMSの審査を重ねることは本来無謀なやり方だが、プロセスベース統合審査?というのかどうか、兎に角、他の審査機関がやり始めたから、理屈はさておいて、黙って流れに乗ればよかった。
JQAが最も恐れていたシナリオはISMSの特殊性を主張されて、特別な対応が必要になることだ。そうなると、既存のQMSのカスタマーベースをうまく活用できなくなる。ところが、無謀にも競合相手が統合審査を主張するのだから、話は簡単。自分のQMSのお客様に、次回はISMSも一緒にやりましょう、で済んでしまう。まあ、そんな極端は無いにしても大きな流れはそういうこと。
(1)工程能力の確保
(2)大きなカスタマーベース
(3)攻略シナリオの確立(統合審査?)
.*.
この辺は興味深いところだが、きな臭くもある。一人ひとりのコンサルや審査員は直接関係無いことだが、また彼らは会社の戦略を立てる訳でもないから関心はやや薄いようだが、自分の業界の浮き沈みを決める本当の要因はなかなか掴めないで居る。
.*.
納得と説得
営業の世界では常識的な話なのに。わざわざ、それを説明する人が居る。自己と他己。説得は他己で、納得は自己。
審査員の中には、クライアントが納得していない所見は書かないとする人が居る。規格と実態を説明して、相手が得心して初めて所見にするとか。得心・納得に至らなければ審査員としての力量が不足しているからとして口頭コメントで済ましてしまう。
こうした態度が正しいかどうか分からない。ひとつの見識であるかもしれない。
もっとも、説明(説得?)はエスカレーションして最後は経営者にまで行ってしまうので、担当者レベルと安易に妥協することにはならない。経営者の受容するリスクと言うことになるだろうか。
.*.
何を言っているのかわからない。
相手または自分が賢い人なら、納得も説得も同時実現的なもので問題ない。
愚かな場合は悲劇。説得できないし、納得できない。
納得が無ければ改善に繋がらないから無用な所見は入れない。
コンプライアンスはどうか。納得していなくても警察は捕まえに来るよ。
無理やり納得させられたと感じたら失敗だろうし。
.*.
一番大切なのは信頼関係ですね。コンサルでも審査員でも、事務局でも只の受信者でも。パートナーとしての信頼関係がないと何をやってもうまく行きません。
「友の会」って?
審査機関単位に友の会が催される。やらないところもあるようだ。クライアントが居ないとやりようが無い。懇親会・交流会。審査機関とコンサルファームとクライアントと。どうすれば次の認証も通るのか。新しい条件は無いのか。この審査機関は何にこだわるのか。規格解釈。軽微と重大の境界線。不適合と観察事項の境界線。気になるところはあるから、お付き合いと情報収集のために誘われれば出掛ける。まあ、いい営業の場にされてしまうことは分かっているが。
次から次に規格を繰り出してくるのはやめて欲しいね。ISO認証なんて、どうせマネジメント枠組みに過ぎないのだから、そう色々規格を用意することは自己矛盾〜自己否定なのかと思う。
.*.
友の会なんて所詮癒着の場を醸成するものでしかないと言う声もある。第3者認証制度のなかで健全な癒着?を作り上げて円満に維持して行こうとするものかな。
.*.
.*.
<第三者認証制度をどのように理解するか>
審査はマネジメントの枠組みとその実施状況を見る。枠組みが機能しているかどうか。
経営者は、経営目標・事業目標を達成するための枠組みの一部としてISMSをとらえ、有用かどうかを判断する。有用性を否定できるなら止めればいいこと。ところが、その判断は感覚的、定性的でしかない。とても難しいことなのだ。経営目標を展開してセキュリティ目標にすることは。
(例)
「リピートユーザー」⇒「顧客信頼」⇒「セキュリティ安心感」
「コスト体質」⇒「セキュリティコスト見える化」⇒「ミニマム化」
この辺の情報交換の場になるのがベスト。枝葉末節に近い規格解釈とか管理上のノウハウとか事例紹介は月並みで、つまらない。本旨から外れていて馬鹿げていると思う向きもあるだろう。
ISO第三者認証制度審査における付加価値とは?
多くの審査機関では長年の間ずっと付加価値審査/付加価値サービスで他社との差別化を図ると言ってきた。でも、実際に何が付加価値審査なのか、付加価値サービスなのか、明確に記されたものは見たことが無い。考え方の相違だろうが、審査機関は恐れ多いことを平気で口にしているに過ぎない。付加価値などと言って、領域を踏み出すこと、あるいは、はみ出すこと自体が問題かと。
建設的とか、事業への貢献とか、改善につながることとか、やる気を醸成するとか、云々。もし、審査員がこの領域に踏み出してきたら、それこそ全く余計なお世話。そんな判断を審査員の分際で出来るものか。単なる自己満足に過ぎないでしょう。ビジネスアセスはこちらの仕事。だから、審査員は傲慢に見える。
付加価値審査?
相変わらず分かりにくい用語。リトマス試験紙なら赤か青。付加価値リトマス試験はどうなるのか。温度や濃度も調べるのか。余計なお世話でしょう。付加価値審査に否定的な考えの人も居る。規格どおりにやるのが審査。付加価値とする部分は返って審査を歪めるだけだと。
付加価値を理解するために、付加価値サービスと基本サービスを対比させる人もいるが、やはり分かりにくい。オプションなの?それも無料のオプション?付録?サービス品と同じ?クライアントのサプライズにつながれば儲けもの?
基本サービスは顧客の支払いへの対価として当然期待するもの。付加価値は当然の期待を超えるもの。
10年前か20年前にはこんな発想があったけど、今でも生きているのかな?
自分がクライアントなら付加価値の部分はどうでもいいから基本を徹底してやりきってくれと言うでしょうね。目先を変えることに情熱注ぐような愚かしいことはしないで、やるべきことをしっかり。
規格に対して何も足さないし何も引かないでやって欲しいね。
.*.
審査計画の提出時期
審査計画にも色々ある。
そもそもどの時期にやろうか、概ね何日掛かるのか。例えば、2月下旬に3日程度で済ませたい。トップの予定を確保するため、半年前くらいには決めてしまう。認証の期限の制約があるので、半年どころか、1年前から計画可能な日程となる。レベル1計画。
社内の年次イベントとの整合も既に終えている必要がある。
日程と受診部門を組み合わせた計画。部門の都合があるから調整に手間取る。1stドラフトは3ヶ月前には欲しい。確定まで最大1ヶ月。問題なければドラフトのまま即決定。
受診部門は、ISMSサイクルを意識してしっかりまわす。ミニマム2ヶ月。その時に、EXCISE(ごめんなさい)が出る可能性がある。調整が必要です。
枠の計画は大体3ヶ月前から。もっと早くても構わないが、多分、審査チームが確定していないでしょう。
枠が決まると、同時にファシリティの手当てが確定されるので、事務局は忙しい。ここでもEXCUSEの可能性がある。
.*.
トップ或いはセキュリティの責任者が強い会社ではこんな感じで進むが、事業優先・セキュリティは二の次の組織では、もっと複雑だ。
調整に手間取るだけでなく、途中からどんどん変更が入る。社外の組織とのやり取りだから過剰な変更は失礼なものだが、金を払っている自分たちはクライアントなんだという部分ばかりを意識すると悲惨な状況になる。
1)会社全体でISMSに取り組んでいない。
2)トップの関与が希薄。こういう会社は権限委譲も不明確なケースが多い。
3)事務局の力量が不足。順送りで担当するケースに多い。
4)全体に管理能力が低い。ベンチャー系では多い。
5)アンチISMSの存在。
大変なのは社内調整。事務局泣かせの部門は必ず1つや2つあるものだ。トップの意識によって反乱部門の数は変わる。ISOに懐疑的になれば調整は手間取る。
コンサルの苦労も同様だ。
.*.
トップにやる気が無いなら手を上げて欲しくない。担当としては正直そう思うね。トップと部門の間で非生産的な苦労をするだけ。事務局のお作りISMSが出来上がる。
審査員は謙虚か傲慢か?
審査員は謙虚であれ!と言うもののお目にかかるのは傲慢な審査員ばかり?
倫理的行動を審査員は求められる。公務員も似たような倫理規定を被る。どの企業に勤めていて同じようなものだが、フェアネスのためにはその意識を強くしないといけないと言うことなんだろう。
しかし、審査員は何かと言えばISOの規格を振りかざして、自分勝手に解釈して是正を要求してくる。嫌、別に振りかざす意図も無く、自分で信じるフェアネスで規格解釈をやっても、同じ理解に立てない傍からは傲慢な振る舞いに見える。だからこそ意識して謙虚であることを求めるわけだ。
.*.
しかし、本音で言えば、審査員は本当に傲慢だと思う。オフタイムでも(まあここはそうなんだが)、審査員と会話すればちょろちょろと傲慢が顔を出すので直ぐに分かる。どちらかと言えば、嫌いな人種だね。
一番嫌なところは、顧客とか他者の人に顔を向けたときは作ったように一見謙虚なマナーもしっかりした人に見えるが、時々は慇懃無礼。さらには、相手が利害関係がないと知ると傲慢そのもの。横柄。無茶も無理も通してくる。まさに手のひらを返すような変貌だ。こういう表裏の激しい人はまったく信用できない。
.*.
一般企業で平から管理職まで務めたことがある人が審査員になっている場合は横柄・傲慢が気になることは無い。割と少ない。
社会人経験もそこそこに若くして審査員になった連中は、殆どの場合、ずれた感覚の持ち主。本人はそれに気付かない。気付くことが本質的に出来ない。一般サラリーマン社会人の経験がないのだから。どちらかといえば、ある意味ではサラリーマンを途中を挫折した失敗者・失格者なのだから。
50歳前に会社組織を離れて審査員になった人は忌避したい。少なくともリーダーとか主任の役割は外したい。
彼らは、審査という場でのパフォーマンスは得意だが、共感できるものがない。言葉の表面的なところでは話は噛み合うように錯覚するが、サラリーマンの修羅場を逃げてしまった人だから、適当にあしらって帰って頂くのがお作法というものだろう。
.*.
JIPDECのロゴマークが変更された
只それだけのこと。JIPDECのロゴを使っているところでは徐々に変更しないといけない。移行期間は数年ある。直ぐに問題になることもなさそうだし、仮に移行が遅れても実害は無い。
.*.
厳格に対処するとなると、これはコンプライアンスの問題になります。ロゴ使用条件がどこかで規定されていて、その契約に抵触する勘定になりますから無頓着に放置すると不適合を食らいます。ですから、ジュンジ切り替え中であることを表明することは大事です。
JIPDECが直接当該企業を提訴する可能性は先ず考えられませんが、認証機関がJIPDECから指導を受ける可能性は充分あります。
.*.
いまは「認定シンボル」というらしい?。認定番号も付記することとある。このことが今回の変更点らしい。
.*.
間の悪いことにJIPDECのロゴマークも変わっていますね。JIPDECロゴを利用することは先ず有りませんから気にする必要は有りません。と言っても本当の?オフィシャルなロゴマークがどれなのかはっきりしません。結構いい加減なのかもしれません。紺屋の白袴?
.*.
ショットガン方式=審査時の移動計画
ショットガンは散弾銃とも言うように一斉に玉が飛び散る銃だが、アメフトではパスを受けるレシーバーが一斉に多方面に走り出す作戦?。日大が得意にしていたとか。
審査のショットガンは拠点でオープニングを終えたら一斉に各サイトに移動するやりかた。短期間で多くのサイトをカバーするときに使う。実際は、オープニングだけでなくトップインタビュー(経営者インタビュー)の後でショットガン展開するのが普通。トップの以降を踏まえて、浸透度合いを一斉に確認しに行くわけで迫力がある。他所の状況を確認しての身構えすることも出来ず、適度な緊張感の中での審査が可能。
問題は、コンサルもクライアントの事務局も手勢が限られていると、対応(審査立会い)もフルに出来ないことがある。審査機関も審査員を集合させる負担がでる。
.*.
ショットガンもどきには良くお目にかかる。オープニングも経営者インタビューをスキップしていきなり各部門サイトに飛ぶケース。工数節減だけが目的になっているもので、褒められたものではない。コストと世間体だけのクライアントと見られたら返って逆効果になることが懸念される。
.*.
プログラムに反映させる移動工数
遠地で審査を行う場合、審査が開始される前の移動工数が発生するが、普通それは審査上の移動工数とは呼ばない。審査終了後も同じである。もちろ、会社としての出張だから会社の規程上は本拠地または自宅を出て、また戻るまで全部が出張になる。
審査中に複数のサイトを訪問する場合、審査機関中に移動が発生するが、普通はこれが審査における移動工数。朝9時から夕方5時までの間に発生する移動と、夕方5時以降の移動とあるが、9時-5時の審査中に食い込む移動時間は全体の審査時間の2割以内にとどめるようガイド(何処から?)されているらしい。
だからと言って、昼の移動を少なくして、夜の移動を多くすれば、審査員の体調に影響するので歓迎できない。同行する事務局や、コンサルだって大変だ。連日昼夜運転のドライバーの事故と同じことになる。夜移動を多くすれば、見かけ上は工数が小さくなるので、クライアントも営業も安易に受け入れる傾向があるようだ。
しかし、もっとひどいのは実態を無視した移動計画を組み込むケース。例えば、午前中が札幌の審査で、午後は新宿で審査。移動は昼休みを含めて2時間しか取らないような計画を作る。移動工数を十分貰っていないと審査員は苦し紛れにこういう無茶な計画を作る。実際は札幌は早々に引き上げて新宿は送れてスタートする按配だ。
審査工数・準備工数・移動工数は、審査の質と費用に直結するので、明快なガイドラインが策定されてしかるべきだが、認定機関・審査機関の都合が入り込むのか、これですと言えるような明快なガイドは見当たらないそうだ。本当?
.*.
すっきりしない審査計画・審査プログラムのレビュー
誰かが、普通は審査チームが審査プログラムを作る。それを第3者または上位者がチェックし、最後に責任者が承認する。しかし、実態は審査チーム以上に上位者も責任者も能力は無いし、変更又変更でのやり取りに追従できるわけも無い。
と言うことで、
普通は審査そのものレビューの一環としてプログラムのレビューも行うのが実態。
しかし、
認定機関はレビューの手続きを求めるらしい。審査機関としてオーソライズした審査計画であることの担保を採りたいのが理由でしょう。
それなら審査を妨害しない程度の手続きを。
何時の場合もアクセルとブレーキの加減が難しい。ということらしい。
.*.
審査チーム以外の第三者によるチェック・承認が必要です。見做し承認でもいいでしょうが、明示的な承認がベター。調整の途中はばたばたしますから、審査開始の1週間前に明示的に行うでも良いでしょうね。それまでに調整は終わらせておく。
クライアント都合で変更は直前でも出るが、直前のイレギュラーケースは現地調整の一環と見做す。
審査レビュー(判定委員会など)の最終確認時に審査計画の妥当性も検証するから、それでよしとする考え方もある。これは駄目です。出荷検査で押さえるから設計レビューはやらないとするようなもの。
.*.
傍目から見ていても出鱈目な審査は枚挙にきりがない。
審査は、全体で必要とする工数の何%かは実際に現地に赴き、何%かは準備工数としてオフィスでの作業に当てていいらしい。嫌、当てなければいけないらしい。準備もしないで無手勝流の審査は認めないということのようだ。
何%以上で何%以下は具体的にはどのような数字になるか?
JABとかJIPDECのような認定機関からガイドが出ていても可笑しくない。
出ているんですか?
審査機関も独自に決めているに違いない。
.*.
どの程度準備するかは、審査員個人でも違うし、初めてのサイトかどうかとか、業界に知見があるかどうかとか、準備の量を左右する要素は多い。
これはコンサルも同じこと。
で結局のところ、個人任せが実態。
準備のためのチェックリストは個人で作って個人で管理。無理もない。ワークスタイル自体が人それぞれ違うのできつい箍(たが)をはめることに優位性はない。
でも。
何かあってしかるべきだ。
.*.
2011年07月28日
自己陶酔型審査は何度もやられると鼻につく
審査中に壷にはまる領域があると、ここぞとばかりに規格の説明を延々と酔ったように始める。理屈も通っているから納得できる内容だから結構ためになります。
でも、毎年繰り返されたりするとちょっとね。後はこちらでやりますからになる。うん?、出来ていないから毎年繰り返すって?。確かに。そうなるとこちらも立場が無いね。
初心はすっかり忘れて、だから規格の肝は何処かへやって、去年と同じを繰り返すだけだから、何を言われても身につかない。陶酔型は、だから言ったでしょう、で又始まってしまう。審査員を責めることも出来ないか。
*
自己陶酔型
説教型
恫喝型
事務処理型
.*.
著作権問題
アメリカではフェアユース(Fair Use)の考え方が広く理解されている。公正な利用では、無断使用でも著作権侵害に当たらない。結果、ビジネスは活発になっている。
日本は閉鎖的。例のJxxという団体は象徴的。
日本でもフェアユース的な考え方を出そうとしているが、必ずしも法的に著作権に対する権利制限が明確になった訳ではないから、以前注意を払う必要がある。以下は、法的問題小委員会検討結果で権利制限に関するもの。
A.著作物の付随的な利用。
写真屋映像に写り込んでしまう著作権物。
B.適法利用の過程における著作物利用。
コピーがバッファ上に一時的に保存される状態になること。かな?
C.著作物の表現を享受しない利用。
著作物がネットワーク上に存在(B.と同じ?)するケース、素材として利用するケース。
※
クリエイティブ・コモンズ・ライセンスという考え方・事例も出てきている。
閉鎖的でないように、著作物を積極的に流通させる発想。
・自分の名前(著作権者表示)があれば使ってくれて良い。
・非営利、お金目的で無ければOK.
・作品の改変をしなければOK.
・作り手と同じライセンスを継承するならOK.
OKとしたが、複数の要求が同時に入るケースも当然ある。OKというより要求の一つと見たほうがよさそうだ。
2011年07月23日
どうしてNドライブなんですか?
ウインドウズのファイル共有に使うネットストレージに割り当てるドライブ名は何故Nドライブなんでしょう? ネットを探しても見つからないから、特に根拠はなさそうだ。もしくは、勘違いの伝承か。
もっとも、このパソコンを並べただけのファイル共有プロトコルNETBEUIは脆弱なネットワークとされて、最近はあまり使われないとのことだが、実際はどうなんでしょう。社内限定で利用する分には問題ないのかな。
SOHOレベルではNETBEUIは使い易いのですね。
NETBEUI
.*.
著作権を脅かすフェアユースとは?
タイトルは著作権者の目線。社会の健全な発展のために編み出した考え方がフェア・ユース。
◆著作権とフェアユース
.*.
