コンサルタントブログ

COLUMN

ホーム

審査直前のミーティングについて

こんにちは。コンサルタントの浅香です。

今日のブログのテーマは、審査直前におこなうコンサルとクライアントのミーティングの意味について書きたいと思います。

プライバシーマークのプロジェクトでも、ISMSのプロジェクトでも、審査の直前にクライアントとミーティングを開催することが多いです。

流れが単純なプライバシーマークを例に、審査前会議の意味について考えてみます。

一番よくおこなわれているのが、文書やタスクの最終チェックかもしれません。文書リストやタスクリストをベースに文書の作成漏れや作業漏れがないのかを確認する。

これも大事な工程です。

ところが、もう少し踏み込んだ意味を持つ必要があると考えています。

「審査における攻守の戦術を確認する」

まずはクライアントの担当者の方に審査員の視点を理解して頂きます。その上、審査員につけ込まれるスキがどこにあって、それを守るにはどう対応すれば良いのか、を確認します。

簡単な例を出します。社員から健康診断の情報を取得しているのですが、「特定の機微な個人情報」に関する「明示的な同意」をとっていない会社があったとします。恐らく審査員はそこを指摘してきます。その場合に、「労働安全衛生法に基づく取得であり、但し書きに該当します。従って、同意の取得は不要と考えます」と反論させるわけです。でも、この反論をおこなう場合は、但し書きの適用に関する社内承認の記録が必要なので、「例外事項適用申請書」のような記録を別途作成しておきます。

もう少し大きな話で言うと、複数の事業・サービスを運営している会社があった場合に、どの事業のどの部分に焦点を当てさせるのか、という作戦立て。事業切り口だと、クライアントがおこなっているどの事業領域に焦点を当てるか。機能切り口だとマーケティング、カスタマーサポート、物流等どの機能に焦点を当てるか。事業切りと機能切りを組み合わせながら、審査員を自分たちの与しやすい方向に誘導していくのです。

具体的に上記を実現するための方法について。模擬審査を実施するのが一般的な方法です。注意すべきなのは模擬審査と内部監査は少し違うという点です。

監査は、相手がどういう事業をやっていて、どういうルールで運用しているのか、を知っている前提で進めます。なのでクローズドクエスチョンが多くなります。

模擬審査は顧客の事業やルールを知らない前提で進めることになります。なので、基本的にオープンクエスチョンで進めていきます。

「御社の事業について説明してください」

「個人情報の特定・リスク分析はどのようにおこなっていますか」

こんな感じです。

こういうやり取りを進めながら、要求事項や審査基準に対する理解を深めていきます。その上で、それらが自社の事業やPMS運用とどの部分でコンフリクトするのかを意識していただきます。

審査前会議をキチンとおこなって、審査を終えたクライアントの多くは、達成感や手応えをもって審査を終えることになります。そしてその後のPDCAサイクルが円滑に回りやすくなります。

勿論、担当者の方の力量や規模によって上記のような対応を必要としないケースも多くあると思います。
 

<関連情報>
プライバシーマーク(Pマーク)に関心がある方はこちらへ
ISMS(ISO27001)に関心がある方はこちらへ

一覧へ