ISO9001と責任及び権限について

以前、ISO9001及びISO14001を認証取得している商社の部長さんとお話しした時のことです。「ISOの認証取得したことで、かえってビジネスに悪影響がでている。例えば、お客様への提案時、競合が韓国企業であったら負ける可能性が高い。特に韓国企業の営業は迅速な見積提示、いざとなったら営業の権限でその場で価格交渉して決定してしまう。一方で我社はISOの認証後は確認印・承認印だの面倒なことが増えた・・・」

この商社の部長の言い分では、ISOの認証により、営業力が弱くなったといいたのでしょう。本当にISOが原因なのでしょうか・・・。
例えば、営業プロセスに関係する主な責任及び権限をISO9001:2008の規格では次のことを要求しています。
5.5.1項 責任及び権限「トップマネジメントは、責任及び権限が定められ、組織全体に周知されていることを確実にしなければならない。」
7.2.2項 製品に関連する要求事項のレビュー「組織は、製品に関連する要求事項をレビューしなければならない。このレビューは、組織が顧客に製品を提供することに対するコミットメントをする前に実施しなければならない。」
あくまでも、「~しなければならない」としか要求していません。ISOが具体的に5W1Hをこうしろと要求している訳ではないのです。お客様や市場のニーズ、技術革新、国際化、競業他社・・・、たえまなく外的要因は変化しています。それに対応して組織内部を変えてかなくてはいけません。

前述の商社の部長の話に戻りますが、先ほどの商社(従業員100人以上)は見積もり提出時、10万円以上は社長決済でした。見積もり提出が競合と比較して遅いのも当然ですよね。この見積もり提出プロセスに関して改善の必要があるのであれば、「責任及び権限」「営業プロセス」を実態に合わせて見直しをすればよいだけなのです。

BTCJでは、既にISO9001等の認証を取得している企業様向けに、業務改善の観点からのマネジメントシステムの見直し支援を行っています。
お気軽にお問い合わせください。

カテゴリー: ISO | コメントする

JR北海道の脱線事故と会社風土

今月19日、JR函館線で脱線事故が発生しました。22日、JR北海道 野島誠社長は記者会見で、「事故が起きるまで、現場付近のレールを補修せずに放置。更にレールの幅や高低差などを補修せずに北海道内で97か所に放置していた」ことを謝罪しました。JR北海度は2012年以降、列車の運行に支障が出る事故が頻発しています。2013年7月だけでも、特急「北斗」のディーゼルエンジンが破損・出火しながら走行、14日に快速電車「いしかりライナー」の異臭事故、15日に特急「スーパーおおぞら」の配電盤から出火、22日に特急「スーパーとかち」のエンジンから白煙・・・。

JR北海道はなぜこのような事故を繰り返し発生させてしまっているでしょうか。JR北海道は当然ながら社会の重要インフラです。安全・安心を担保しなくてはなりません。事故発生の都度、対策を行っているはずです。また監督官庁の国土交通省から業務改善命令がでており、組織として抜本的改善を行っているはずです。いままでの対策は、その場しのぎの対策にすぎなかったのでしょうか。各事故に関する対策について、詳細を確認していないので確実なことはいえません。ただし、ここまで事故が頻発している事実から推測するに、会社風土が真の原因ではないでしょうか。今月19日の脱線事故で明るみになった「レールの幅や高低差などを補修せずに北海道内で97か所に放置」という事実。JR北海道の社員・関係者は「安全・安心」についてどのような意識を持っているのでしょうか。全ての関係者ではありませんが、組織として補修を放置している事実は、会社風土に何らかの異常が発生しているのではないでしょうか。

会社風土を見直し、本来のあるべき姿に変革していくこと。この変革は簡単ではありません。そして、組織として変革するという決断がないとできません。経営者の刷新も必要かもしれません。会社の経営ビジョンの変更も重要かもしれません。お客様のニーズの再定義、従業員の意識の洗出し等も必要かもしれません。JR北海道は当然のことながら大変重要な交通機関です。利用者は選択の余地なく利用しなくてはならないことがあるのです。是非とも、JR北海道が早急に「安心・安全を担保する会社風土を醸成」することに期待します。

BTCJ社は会社風土の変革を推進する経営品質向上支援を行っています。お気軽にお問い合わせください。

カテゴリー: リスク管理 | コメントする

メール誤送信による情報漏えい事故とその対策

毎日のように新聞やTVで情報漏えい事故のニュースが報道されています。昔はここまで大騒ぎになりませんでしたが、いまは違います。例えば個人情報が含まれたデータがインターネット上に流出してしまったら大変です。個人情報保護法適用の組織であれば、経産省等の関係当局への報告義務が生じますし、場合によっては流出してしまった個人への謝罪と賠償を行う必要があります。大規模な流出事故であれば、会社へのブランドイメージ失墜につながります。しいては、会社存続の危機に直面する可能性さえあるのです。
最新の個人情報流出事故情報は → 個人情報事故一覧

今回は、個人情報や機密情報が流出しやすい、メール誤送信事故とその対策について、検討してみたいと思います。一般的にメール誤送信は2種類あることをお忘れなく。
一つ目、メールアドレス先の間違い設定したことにより、違う相手先に送ってしまうこと。
二つ目、メールアドレス先は正しいが、ファイルを間違って添付しまって送ってしまうこと。
いずれにしても、個人情報や機密情報がメールを介して情報漏えいをさせてしまうと、正しく送るべき相手先、と、間違って送ってしまった相手先のいずれにも謝罪と削除依頼を行う必要があります。また、この誤送信に関して、すぐ気づけば良いのですが、転送、CC、bcc、全員返信・・・ 時間が経過すればするほど、漏れた情報が拡散してしまいます。そうなってしまったらもう処理が複雑で大変です。

では、効果的なメール誤送信対策はなんでしょうか。最近はメール誤送信対策機能が充実したソフトがありますので、費用対効果を検討して導入するのもよいかもしれません。ただ、そのような機能があっても、リスクは完全になくなりません。以前、メール誤送信の傾向を分析をしたことがあります。サンプル数が20程度なので統計的に有効ではありませんが、傾向は分かりました。まず、分かったのはメール誤送信発生の時間帯です。事故発生は夕方~夜間か始業時間~約1時間。そして、事故を発生したプロジェクトは問題を抱えているか売上等が急成長している。
ここでいえるのは、誤送信事故は通常業務時ではなく、抱えている業務になんらかの負担や異常が発生している時であることです。

メール誤送信対策ソフトを導入しても、各人の情報セキュリティの意識を高めないと、事故発生のリスクが残存しています。重要な対策は、従業員の情報セキュリティの意識向上施策です。教育訓練や誓約書等の施策が考えられますが、特に事故事例に基づくセキュリティ教育が効果があります。過去の事故事例、ヒヤリハット、他社事例を是非活用して教育してみてください。

なお、BTCJでは情報セキュリティ事故に基づくセキュリティ教育を行っています。担当講師が過去の実体験に基づき、事故の恐ろしさと有効な対策をご説明いたします。お気軽にお問い合わせください。

カテゴリー: リスク管理 | コメントする

日和幼稚園の判決と防災マニュアルの有効性

東日本大震災で起きた大変悲しい幼稚園園児の死亡事故について、昨日判決がでました。
「東日本大震災の発生直後、宮城県石巻市の高台にある私立日和(ひより)幼稚園から海側に出発したバスに乗せられ、津波に遭った園児5人が死亡した事故で、仙台地裁は17日、園側に約1億7700万円の賠償を命じた。判決は遺族の主張をほぼ全面的に認め、園の「失態」を次々と認定した。」
今回の判決で、裁判官は「園長が地震発生後の津波に関する情報収集義務を怠り、バスを高台にある園から海側の低地へ出発させたことが津波被災を招いた」と判断、園の法的責任を認めました。河北新報社

今回の判決で明るみになった幼稚園の失態の一つである「防災マニュアル」について検討してみたいと思います。日和幼稚園は防災マニュアルが用意されていました。この手順によると「大震災発生時、幼稚園で保護者に園児を引き渡す」と定めています。しかし、この手順には従わず園児をバスに乗せて発車させてしまい、結果として尊い5名の園児が死亡してしまいました。幼稚園としては形式上この防災マニュアルを作成していましたが、本当に発生した大震災では全く機能していなかったということです。また、この防災マニュアルは園の職員に配布さえしていなかったとの情報もあります。

ほとんどの幼稚園では防災マニュアルが整備されています。ただし、このマニュアルが実態に則したものであるかの確認しているでしょうか。東日本大震災発生後、多くの幼稚園では防災対策を見直しをしているようですが、重要なのは震災を想定して防災マニュアルで定めた手順が正しいかどうかテストしてみることです(実際やってみる)。 現在、自治体や団体等で模範的な防災マニュアルのサンプルを提供していますので、是非この機会に防災マニュアルを見直してみてはいかがでしょうか。
ご参考:東京都私立幼稚園連合会

BTCJ社では、防災マニュアル、緊急事態対応マニュアル、事業継続計画等の策定支援をしております。ご質問等あればお気軽にお問い合わせください。

カテゴリー: リスク管理 | コメントする

「特別警報」と事業継続管理の重要性

台風18号が本日AM8時頃に愛知県豊橋市に上陸し本州を北上しています。TV等からの速報では、京都や滋賀県をはじめ多くの地域で洪水、停電、火災、交通機関の混乱が発生しています。また、新たに設定された警報種類の「特別警報」が京都・滋賀・福井に発令したことからも、大変大型な台風のようです。
この「特別警報」ですが「数十年に一度の大災害の恐れが想定される場合」に気象庁が発表することになります。また、この特別警報の際によくアナウンスされるのが「これまでに経験したことのないような大雨」です。2011.3.11以降よく聞くのが「想定外の・・・」「想定した範囲を超えていた・・・」。このような想定を超えるような状況を考慮して、私たちはどのような備えをしなければならないのでしょうか。頻繁に発生する天候異常及び大地震、津波、原発事故等への備えを真剣に検討する必要があると思います。

会社等の組織はこのような「特別警報」が発表されるような災害に対して、どのような対策を行う必要があるのでしょうか(この備えのことを事業継続計画 BCP といいます)。例えば、緊急時の連絡網、緊急組織体制の構築、顧客対応、事業がすぐ復旧可能なプロセスの構築、協力業者との連携等の備えは大事です。ただし、その組織の事業内容、取扱い製品・サービス等によって備えも異なると思います。まず、取り組まなければならないのが、「特別警報」が発生するような災害が発生した際に、事業継続上のボトルネックは何かを調査することです。この結果を踏まえて事業継続計画BCPを策定し万全な備えを行いましょう。どは、どのように事業継続計画BCPを策定すればよいかということですが、中小企業庁が提供している中小企業策定運用支援を参考にされるのもよいと思います。今回の「特別警報」を機会に一度事業継続について検討されるのはいかがでしょうか。

なお、BTCJ社では事業継続に関するコンサルティングを行っています。事業継続計画(BCP)策定支援、事業継続管理(BCM)支援、及びISO22301(事業継続管理マネジメントシステム)認証取得支援について、お気軽にお問い合わせください。

カテゴリー: リスク管理 | コメントする

パソコン紛失と飲酒の関係

昨日、みのもんたさんの次男が窃盗の疑いで逮捕されました。容疑者は8月13日東京・港区新橋のコンビニのATM(現金自動預払機)で、他人のキャッシュカードを使って現金を引き出そうとした疑いが持たれているようです。またこのキャッシュカードは新橋の路上で酔っ払って寝ていた男性会社員のものだったようです。容疑者が悪いのは当然ですが、新橋の路上で酔っぱらって寝ている方も問題ですよね。

以前、外出時のパソコン等の紛失・盗難と飲酒の関係を調査したことがあります。サンプル数は10事例ですので、統計的には有効ではないかもしれませんが、次のような傾向が分かりました。
1.パソコン紛失・盗難の大半は、飲酒後におきている。
2.二次会以降の参加者がパソコン紛失・盗難にあっている。
3.紛失時の状況は、泥酔し路上で寝込んでいる、または電車の網棚にPCを置いて着席し寝ている。
4.電車での紛失・盗難は、最終電車か最終電車前で発生している。

この調査で分かったのは、紛失・盗難事故発生と飲酒は大変強い因果関係があるということです。そして、このような情報セキュリティ事故の予防は、「機密情報や個人情報が入っているパソコン等を所持している場合は絶対飲酒してはいけない」ということです。」
つまり、「飲んだら持つな!、持つなら飲むな!」ですね。

BTCJ株式会社では、事故事例に基づく情報セキュリティセミナーを、好評開催中です。様々な事故事例を受講者に説明し、情報セキュリティリスクを認識して頂きます。是非とも社内教育にご利用ください。※情報セキュリティ教育には事故事例の認識が一番効果あります!

カテゴリー: リスク管理 | コメントする

従業員の満足度 悪ふざけ投稿からの考察

今年の夏は、外食店、コンビニ、小売店でアルバイト従業員による悪ふざけ写真投稿が多発しましたね。これら投稿した写真は瞬く間にネットで炎上騒ぎになり、一部被害店舗は閉店・休業に追い込まれているようです。そして、実際悪ふざけしたアルバイト従業員は損害賠償請求が待っているようです。
では、このような悪ふざけ投稿を防ぐにはどうすればよいのでしょうか?参考になると思われるのが日本マクドナルド社です。全国に3280もの店舗があるにもかかわらず悪ふざけ投稿は一件もありません。他の外食店、コンビニとは何が違うのでしょうか。実はアルバイト従業員のロイヤルティ(忠誠度)が大変高いことにあるようです(アルバイト定着率が他と比較して大変高いことからもわかります)。
多くの会社では、悪ふざけ投稿を無くすために「SNSの使い方教育」「誓約書への署名」等を行っているようです。しかし、中期的スパンの取組が必要になると思いますが、正社員、派遣社員、パート、アルバイト従業員のロイヤルティを高めるような取組が重要です。
では、従業員のロイヤルティをどうやって高めればいいのでしょうか。業種、業態、男女比、従業員構成、地域等の要因で方法が異なります。よって、まずは従業員の満足度(意識度)を調査、分析を行い、課題を明確にすることがファーストステップです。ここで明確になった課題を目標に落とし込み、愚直に運用あるのみです。

なお、BTCJ株式会社では、従業員満足度向上支援を行っています。調査・分析を行う研究員はISOの主任審査員でもありますので、現場の実態にあった従業員満足向上に向けた課題を明確にすることが可能です。そして明確になった課題を効果的な目標として策定し、運用フォローを行います。
是非とも「従業員のロイヤルティ向上」「従業員の悪ふさげ投稿等による情報セキュリティリスク低減」に関するご質問等ありましたら、お気軽にお問い合わせください。

カテゴリー: リスク管理 | コメントする

BTCJ株式会社です。 ブログはじめました!

BTCJ株式会社がブログをはじめました。
ISO等の国際認証、お客様満足向上、リスク管理、そしてタイ国に関連することを投稿させて頂きます。
どうぞ、よろしくお願いします!

カテゴリー: ISO | コメントする