毎年2月になると、審査機関によるISOの審査が行われます。ISOは取得してからも、審査が毎年行われます。ISOの有効期限は3年間で、取得の翌年と2年後に受けるのが定期審査(維持審査ともいう)で、取得から3年後に受ける大きな審査が更新審査となります。定期審査では、前回の審査以降の運用状況が確認されます。更新審査では、3年間分の運用状況が確認されます。当社では、下記の3つのISOを取得していますので、年3回ほど審査があります。
■個人情報保護マネジメントシステム(プライバシーマーク)
・登録番号:10823236
・規格番号:JIS Q 15001:2017
・初回登録日:2009年5月
・審査機関:一般財団法人 日本情報経済社会推進協会(JIPDEC)
■品質マネジメントシステム(QMS ISO9001)
・登録番号:Q2460
・規格番号:JIS Q9001:2015
・初回登録日:2013年4月
・審査機関:エイエスアール株式会社(ASR)
■情報セキュリティマネジメントシステム(ISMS ISO27001)
・登録番号:J0373
・規格番号:JIS Q27001:2014(ISO/IEC27001:2013)
・初回登録日:2019年4月
・審査機関:エイエスアール株式会社(ASR)
審査の冒頭にトップマネジメントインタビューというものがあり、そこで毎回ISOを取得した背景を尋ねられます。
プライバシーマークを取得したのは2009年で、これが最初に取得した認証でした。この時は、地方自治体の入札の資格条件に「プライバシーマークを取得していること」と記されていました。まだ、取得していなかった当社はこの入札に参加できなかったことが、苦い経験となりました。大きな機会損失。その後、体制を整え、猛ダッシュで取得の準備を進め、無事2009年に取得することができました。
その後、海上自衛隊のAEC教育用コンテンツの入札に参加するにあたって、「品質マネジメントシステム(QMS ISO9001)」の取得が必須となりました。さすがに、専門家を入れて構築していかないと手に負えない内容でしたので、千葉県産業振興センター 専門家派遣の制度を使って、専門家を破格の値段で派遣していただきました。破格というと語弊がありますので、簡単に説明すると千葉県産業振興センターが専門家費用の一部を負担してくれるというありがたい制度です。QMSの取得に向け、専門家の先生と認証取得まで最短期間で行いました。もう2度と機会損失をしたくないという強い気持ちがあったので、必死でした。この時は、入札までに認証取得が間に合い、機会を損失することはなく、無事入札案件を落札することができました。
そして、情報セキュリティマネジメントシステム(ISMS ISO27001)の取得に関しても、これまた入札案件が絡んでおり、この資格を持っていなかったために入札には参加できませんでした。またしてもやられた感が満載。(涙)
気を取り直して、この認証はこれからクラウドアプリの自社製品を開発・販売していくにあたり必要な認証であると考え、当社にとってはかなりハードルの高い認証でしたが取得することを決めました。こちらも千葉県産業振興センター 専門家派遣の制度を使って取得の準備を進めていきました。
ですが、これはむずい! ドキュメントも大量にあってエグイ!
とにかく「前に進む」という選択肢しかなかったので、覚悟を決めて、自社の体制を整え、システムを地道に作り込んでいきました。その結果、2019年に認証を取得しました。
認証を取得する最初の動機は、入札資格をクリアして機会損失を防ぐというものでした。ですが、実際に運用してみるといろいろなところにこのマネジメントシステムが効いていることがわかり、社内外ともに安心・安全が担保できていると実感しています。これからも、徹底的にスリム化したマネジメントシステムを維持していきたいと考えています。