今回は、リコージャパン株式会社で活躍されている北島様の審査員活動をご紹介します。北島様は、2007年に環境マネジメントシステム(以下、EMS)内部監査活動をきっかけにマネジメントシステムに携わるようになり、2016年6月には、情報セキュリティマネジメントシステム(以下、ISMS)審査員補資格を取得されました。その後、組織のマネジメントシステムの統合や、コロナ禍での内部監査対応など多くの経験を経て、現在はリコージャパン全社のISMS推進担当として活躍されています。今回は、北島様のマネジメントシステムとの出会いから、現在に至るまでのマネジメントシステムへの取り組みを振り返りながら、内部監査の重要なポイントをご紹介いただきます。
|
<きっかけはEMS内部監査への参加>
| JRCA: | 本日はお忙しいところありがとうございます。まずは、北島様がマネジメントシステムに携わるきっかけについてお話しいただけますでしょうか。 |
| 北島: | 私は、2004年にリコー九州(株)に入社しました。当時の会社は、複合機などのOA機器を中心にお客様にマッチしたオフィス環境を提案するソリューション販売を行っていました。私は入社後4年ほど、経営企画室で人事採用や総務業務を行っていたため、マネジメントシステムへの関わりは全くありませんでしたが、その頃から、リコーはグループとしてEMSに力を入れており、その時に私もリコーグループ内のEMS内部監査員の資格を取得しました。マネジメントシステムへの関わりは、この資格取得がきっかけです。 |
| JRCA: | EMSの事務局での業務をされていたのでしょうか。 |
| 北島: | 最初は人事総務グループに所属しながら、内部監査に参加する程度でした。当時は、ISO14001の認証取得や「エコアクション21」に取り組みたいというお客様の支援もビジネスとして実施していました。内部監査への参加を通じて、EMSに直接関与しない社員も、EMSの知識を広げ、お客様と会話することができるようになり、営業活動に繋げるという狙いがありました。 |
| JRCA: | EMSでの内部監査はどのように実施していたのですか。 |
| 北島: | 当時の監査は、2人で1チームの構成で実施していました。初めての監査ではベテランの監査員に同行しましたが、私自身が監査を受けたこともなく、初心者だったため、監査の独特な緊張感の中で、環境法令の話やヒアリングのペースについていくのが精一杯でした。その際、自分なりにヒアリング項目の中でも「これだけは確認しよう」ということを決めていました。この項目に関連して、たまたまですが問題となる事象を検出しました。その時は私自身、まだ事の重大さが分かりませんでしたが、その指摘を行ったことで、社内が少しざわついたことを記憶しています。 |
<ISMS内部監査員として領域を広げる>
| 北島: |
その問題となる事象の検出がきっかけかどうかは定かではありませんが、2010年にCSR推進室へ異動となりました。リコーは、グループ全体として2004年にISMSの認証を取得しています。 CSR推進室への異動当初、私の担当業務は事務局として環境法令に基づくデータの収集や報告、EMSの内部監査対応や外部審査への対応でした。その時点ではISMSとの接点はなかったのですが、その部署で一緒に働いていたベテランの先輩から「ISMSの内部監査もやってみる?」と声をかけられました。当時の監査員は年配のベテラン社員ばかりでしたが、「気負わないで、ぜひやってみるといいよ」というアドバイスをいただき、私自身も情報セキュリティの分野に挑戦してみたいという思いがありました。 |
| JRCA: | ISMSの内部監査業務はいかがでしたか。 |
| 北島: |
まずはリコーグループのISMS内部監査員の資格を取得することから始めました。リコーグループには、EMSと同様に、ISMSの内部監査員資格についてもグループで運用している研修制度がありました。初めて参加したISMSの内部監査でも不適合を検出しました。最初はそれほど重要な内容ではないと考えており、また指摘する相手がお世話になっている組織職の方だったため、気が引けました。しかし、当時の内部監査チームリーダーからしっかりと指摘すべきだと厳しく指導をいただいた記憶があります。 ISMSの監査は基本的に1人で監査を実施します。監査相手は大先輩である所長や部長ですし、時間内に確認しなければならないことはしっかりと確認しないといけないので、当初は緊張もしました。内部監査の指摘についてなかなか相手の合意を得られず苦労することもありましたが、そのような経験を通じて、私自身が監査員として成長できたと思っています。 |
| JRCA: | 2016年にJRCAでの審査員資格を取得していますが、取得したきっかけを教えていただけますか。 |
| 北島: | 先程お話しした、一緒に働いていたベテランの先輩社員が、定年退職するタイミングで、私の上長に「北島さんに九州全域のISMSを任せたいので、ぜひ審査員資格を取らせてあげてほしい」と推薦してくださいました。研修費用もかかりますし、当時、福岡におりましたので、東京まで行って審査員研修コースを受講するとなると、更に出張費、宿泊費がかかり、簡単ではありませんでした。しかし、リコージャパンではお客様向けにJRCAが承認している審査員研修コースが行われていましたので、幸運にも受講することができました。 |
| JRCA: | 研修はいかがでしたか。 |
| 北島: |
内部監査を行いながら、推薦いただいた先輩から規格要求事項などのレクチャーは受けていましたが、審査員研修コースを実際に受講してみると、研修の進行ペースについていくのが精一杯でした。 一方で、スタッフ職でしたので、社外の方とお話する機会はあまりなかったため、研修でのグループワークの中で業種や職種の全く異なる社外の方と会話ができ、大変新鮮でした。 研修では、規格要求事項の全てが頭に入っていないので、不安がありましたし、期間中に、ISO/IEC17021という審査機関を認定するための規格があることを知り、自分は大丈夫だろうかという緊張感もありました。また、毎日の研修が終わった後に改めて規格を見て復習を行い、研修中のロールプレイの準備もしていたので、ホテルに缶詰め状態でした。グループワークのメンバーの方々と協力しながら、審査技術や審査員としての心構えを学べたことは大変ありがたかったです。 |
| JRCA: | 審査員資格を取られる前と後で変わったことはありますか。 |
| 北島: |
規格要求事項は一通り理解していたつもりでしたが、研修を通じて、なぜこの要求事項があるのか、という規格の意図が理解できたことが大きかったです。また、「PDCAを回すことでマネジメントシステムのスパイラルアップをする」といった規格要求事項の繋がりをより俯瞰してみることもできるようになりました。 その他に、内部監査に対して自信が持てるようになりました。当時の内部監査では、年次が浅く社会人経験が少ないことで苦労した場面もありましたが、審査員資格取得を機に、更に自信がついたと思います。 また、事務局としての外部審査対応時にも審査員の方が話される裏側に規格要求事項があることが明確に分かるようになり、業務にも大きく生かすことができました。 |
| JRCA: | 福岡ではISMSの仕組みづくりも担当されていたのですね。 |
| 北島: | そうです。福岡に勤務していた当時は、情報資産管理台帳はどの単位で作るのか、リスクアセスメントをどう進めるべきか、階層ごとに責任と権限はどう持ってもらうと効率が良いか、といったことも検討していました。審査員資格を取得した後は、マネジメントシステムと業務とを一体化し、マネジメントシステムを運用してスパイラルアップをしていくことで業務改善をするという、マネジメントシステムの本来の目的に沿った活動を進めていきました。 |
<外部環境変化への対応>
| JRCA: | 実務経験や資格取得を通して、リコージャパンのマネジメントシステムの価値を高めてきたということですね。 |
| 北島: | 経験を積み重ねてくると、自分たちのISMSの仕組みの弱点が見えるようになってきますし、次のステップで実施すべきことも分かってくるようになります。 また、会社としての大きな変化が、2014年に日本国内の販売会社と保守会社を統合し、一つの会社になったことです。私が入社した頃は、マネジメントシステムは各会社で構築していましたが、このタイミングで、グループ内の他の会社とマネジメントシステムを統合することとなりました。 |
| JRCA: | 統合していく中で苦労された点はありますでしょうか。会社によっても取り組み方に差があったということでしょうか。 |
| 北島: | 各会社の考え方によってISMSの取り組み方に差がありました。内部監査でも、指摘を良い機会と考え、積極的に受けて改善を進めていけばよいという風土の会社もあれば、指摘される前に改善しておくことが重要であり、指摘されることはあまりよくないと考える風土の会社もあり、内部監査の対応にも苦労したことがありました。 しかし、各会社の風土やルールが違っていても、各会社で運用しているマネジメントシステムのベースにはISO/IEC27001の規格があります。内部監査でも、規格に基づいた監査を通じ、業務の流れに沿ってどこにリスクがあるのかを被監査者と一緒に考え、気づきをお互いに共有することを繰り返し、考え方や風土を統一しながら、リスクマネジメント実施の重要性へシフトしていきました。 |
Copyright 2021 Japanese Registration of Certificated Auditors and experts. All Rights Reserved.
JSA Webdeskのページはこちら 
