毎年2月になると、審査機関によるISOの審査が行われます。
ISOは取得して終わりではなく、継続的な運用が求められる仕組みです。取得後は毎年定期審査があり、3年ごとに更新審査を受ける必要があります。定期審査では直近の運用状況が、更新審査では3年間の運用全体が確認されます。
当社では現在、以下の3つの認証を取得しており、それぞれ定期的に審査を受けています。
■個人情報保護マネジメントシステム(プライバシーマーク)
・登録番号:10823236
・規格番号:JIS Q 15001:2017
・初回登録日:2009年5月
・審査機関:一般財団法人 日本情報経済社会推進協会(JIPDEC)
■品質マネジメントシステム(QMS ISO9001)
・登録番号:Q2460
・規格番号:JIS Q9001:2015
・初回登録日:2013年4月
・審査機関:エイエスアール株式会社(ASR)
■情報セキュリティマネジメントシステム(ISMS ISO27001)
・登録番号:J0373
・規格番号:JIS Q27001:2014(ISO/IEC27001:2013)
・初回登録日:2019年4月
・審査機関:エイエスアール株式会社(ASR)
ISO取得のきっかけは「入札に参加できなかった」こと
審査の冒頭にトップマネジメントインタビューがあり、毎回「ISOを取得した背景」について質問されます。
そして、毎回同じように以下の苦い経験談をお話ししています。
最初に取得したのは、2009年のプライバシーマークでした。
当時、地方自治体の入札条件に「プライバシーマーク取得」が明記されていました。しかし、当社はまだ取得しておらず、ぜひ取りたかった案件に参加することすらできませんでした。
これは非常に大きな機会損失でした。
その悔しさをバネに、社内体制を整え、短期間で一気に準備を進め、2009年に無事取得することができました。
その後、海上自衛隊の教育コンテンツ案件に参加するためには、「ISO9001(品質マネジメントシステム)」の取得が必須となりました。
このときは、自社だけで認証取得することは難しいと判断し、千葉県産業振興センターの専門家派遣制度を活用しました。専門家の支援を受けながら、最短で認証取得まで進めることができました。
「もう二度と、資格がないことで機会を失いたくない」
その強い想いで取り組んだ結果、この案件では無事に入札に参加でき、最終的に落札することができました。
それでも起きた、2度目の機会損失
しかし、その後も同じような苦い経験をします。
情報セキュリティマネジメントシステム(ISO27001)が必要な案件において、未取得だったために入札に参加できなかったのです。
正直、「またか…」という気持ちでした。
この経験から、ISMSの取得を決断しました。クラウドアプリを開発・提供していく上でも、必要不可欠な認証だと考えたためです。
ISMSの取得は、これまでの中でも特にハードルが高いものでした。
ドキュメントの量も多く、求められるレベルも高い。「これは大変だな…」と何度も感じていました。
それでも、「前に進む」という選択肢しかありませんでした。
社内体制を整え、一つひとつ仕組みを作り込み、地道に進めていった結果、2019年に無事認証を取得することができました。
本当の価値は「取得後」にあった
最初の動機は、「入札に参加するため」「機会損失を防ぐため」でした。
しかし実際に運用してみると、これらのマネジメントシステムは、単なる資格ではなく、組織を支える仕組みとして大きな意味を持っていることに気づきました。
品質、情報セキュリティ、個人情報保護。それぞれの観点で、社内外に対する安心・安全をしっかりと担保できるようになっています。一人ひとりがシステムを理解し、正しく運用するための勉強会も定期的に実施しています。
現在では、これらの仕組みを無理なく運用できるようスリム化しながら、自社に合った形で維持しています。