１０年ぶりの改正

先代の規格文書JISQ15001:2006は、結局10年を超える長期にわたり使用されてきました。JIS規格は５年に一度の見直しが基本なのですが、2011年の改正は見送られています（末尾に付録がつきました）。もしかしたら次の改正は10年後かもしれません。

「このタイミングでプライバシーマークの担当者になってしまった・・・」とお嘆きの方も少なくないと思います。貧乏くじを引いてしまったな、と。

しかし、今回の規格改正対応は「10年に一度の変革のチャンス」ととらえるべきだとバルクは考えています。その担当者であるあなたは、大変革の主人公なのです。

機会があれば、先輩担当者に訊ねてみてください。貴社のPMSは、JIS規格改正という避けられない状況が無ければ変更する必要が無いほど完成度が高いのか？ もちろん中には「その通り」と即答が返ってくる企業もあるでしょう。でも多くの場合は「いや、変えたいところは沢山あったのだけれど、手間を考えると手が出せなかった」というお答えがあると思います。

バルクは、既存のお得意様ではない多くのプライバシーマーク付与事業者様から「自社のPMSを見直したい」というご相談をいただきます。営業やコンサルタントが訪問し、文書体系の考え方が古い、企業の現状にルールがマッチしていない、意味なくオーバースペックになっている、等々についてご支援を提案し、ご担当者様のご理解をいただいて見直し作業に着手します。
たいていは、ご担当者様にご満足いただける内容の新文書や新ルールが完成するのですが、次の段階で、ご担当者様がそれらを社内に周知し運用を始めなければなりません。その際よくあるのが「今までプライバシーマークの審査をクリアできているのに、何故変えなければならないのか」という社内からの疑問です。その疑問に応えるためご担当者様は新旧対比資料のような重たい資料を作らなければなりません。特に大企業では「自社PMS変更のメリット」と「そのための作業負荷」のバランスが悪く、その状況を見越して「とりあえず変更しない」と判断した歴代のご担当者様が多いと思われます。

ご担当者様からご相談があったとき、バルクのコンサルタントが気にするのは、「文書改訂するとき、貴社の社内手続きはどんなですか？」という点です。「社長が捺印するだけ」という企業で、ご担当者様が社長様から全面的に信頼されているなら、頻繁な改訂も可能という前提に立ちます。「取締役会決議が必要」なら、いつの取締役会に照準を合わせるか、どんな資料が必要なのかを確認のうえ、総合的な判断により「今はやめた方がいい」とお伝えすることも少なくありません。
実際、今回の規格改正が見え出して以来、多くの企業様に対して「特別な状況が無ければ2018年まで待ちましょう」とお話しする場面がたくさんありました。

その2018年がやってきたのです。

事前にご相談いただいていたご担当者様には、「規格自体が改正されたのだから、新旧対比表は省略、単純に全面改訂」という理屈が社内で通るかどうか、確認していただいています。というよりも、後から文句が出ないよう、決裁者に対して事前予告してもらっています。 社内ルールの変更が必要な場合、「JIS規格が改正されたもので」と言えば古参の従業者様にも納得してもらえるかもしれません。

新規取得時になんとなく選び、そのままなんとなくお付き合いしているコンサルティング会社を見直すチャンスかもしれません。（この1文は諸刃の剣ですね。バルクも見直されないようにしなくては）

バルクが提供しているのはコンサルティングサービスであり、規格文書の朗読ではありません。企業様が社会に向けて、あるいはご担当者様が社内に向けて「実現したいこと」を実現するお手伝いをしています。そのためには「根回し」とか「打算」とか「審査員判断待ち」とか、考慮すべきポイントがたくさんあります。
PMSのいろいろな要素についての検討は次回以降にするとして、初回となる今回は、そんなお話しでした。

　マネジメントシステム文書（１）

JISQ15001改正への対応で、誰もが初めに考える作業が、ＰＭＳ文書類の改訂です。

プライバシーマーク制度が始まったのは1998年4月のことです。当初はこういった新しい制度に積極的に参加しようとする、どちらかといえば大手企業が付与事業者の中心でした。 その為、大手企業向けに作られたＰＭＳ文書類が、プライバシーマーク審査での「成功事例」として取り扱われ始めました。

社内規程文書の作り方は、組織サイズの大きさによって異なります。例えば大企業の経営層がいわゆる「現場」まで指示を出す場合、伝言を繰り返すと途中で内容が変わってしまう可能性があるので、「指示文書」の運用が必要になります。 しかし、10人程度の企業で、社長がフロアの真ん中で「はい注目！」と大きな声を出せば済む組織サイズであれば、「指示文書」の運用は逆にスピーディな指示伝達を阻害してしまいます。

例をもう一つ。大きな組織の場合、人が多すぎるので「当該案件の責任者は誰か」を明文化しないと誰も「自分ではない」と思ってしまう可能性があり危険です。これも小規模組織であれば誰の担当かが判りやすく誤解の可能性が少ないので、「当該案件の責任者は私ではない」と理解されるような明文化は避けた方が良い場合があります。

さらに別の特徴にも触れておきましょう。大手企業の場合、その文書を読む主な従業者が内部統制室や品質保証室、内部監査室といった管理専門部署の方であることが多いという点です（さすがに個人情報保護だけを扱う専門部署はほぼ見かけませんが）。

こういった読者を想定する場合、規程文書の熟読を期待できるので、全体像の把握‐日を分けた通読‐文書構造の分析と理解　といったステップを踏みやすい構成が望ましいといえます。その結果、多くの付与事業者とバルクも含めた多くのコンサルティング会社が採用したのは、基本規程と要素規則群（教育規則、監査規則、安全規則など）からなる比較的厚手の文書類でした。

なにせ担当者はこれら文書類を理解することが優先度の高い仕事なので、分冊してある方が読みやすいのです。しかも分冊化によって階層構造が明確になり、全体像の把握と要素ごとの理解がしやすいというメリットがありました。

さて、上記メリットは、2018年現在のあなたの会社で、優先的に求められていることですか？

今日、プライバシーマーク付与事業者の中心は明らかに中小規模の企業です。また大規模企業の管理専門部署はより多くの別件を同時処理するようになり、個人情報保護に割く時間は減っています。

当然使いやすい社内規程文書の作り方は変わっているのです。

初めに厚手の分冊規程でかたちづくられた「成功事例」ですが、その後「ここまで薄くしても大丈夫」という成功事例が経験豊富なコンサルティング会社に蓄積されていきます。「薄さ」は、新しい担当者像（実務部門に在籍し、通常業務の隙間に管理的な仕事をする）にマッチします。文書類の総ページ数と「とっつきやすさ」が反比例するという事は、あまりに単純ですが極めて重要な事実です（薄ければいい、という訳ではないというハナシは別の機会に）。

前回も触れましたが、初期に構築した文書類を基本そのままに使い続けている付与事業者は少なくないようです。先々代のJISQ15001で使われていた「情報主体（=本人）」という言葉を含む文書を現役で使用している企業を今でも見ることがあります。社内文書である以上、言葉の定義は原則自由なのでＮＧではないのですが、「変えられないのかな　いつまで使うのかな」と思ってしまいます。

しかし、あなたの会社にとって「とっつきやすさ」は本当に不要ですか。担当者異動のサイクルは短くなっていませんか。同時進行しなければならない業務は増えていませんか。プライバシーマークの審査員に薄笑いされる古い用語は残っていませんか。

旧態依然とした分厚い規程文書類のお世話が担当者の仕事ですか。そのお世話は、あなたの会社の安全性向上に効果がありますか。

社内規程文書類がどうあるべきかは、その会社の文化に大きく影響されます。その意味では、あなたの会社の文書類がどのような状況であっても、アタマから否定するものではありません。

しかし、本当に今のままでいいのですか？

10年に一度のチャンスですよ。