幸松です。

弊社は情報セキュリティをサービスとして展開している企業です。
中でもISMS(ISO27001/ISMS)認証取得支援とプライバシーマーク認証取得支援をメインの業務としております。

ISOをプライバシーマークもマネジメントシステムと言われるモノは全て経営改善ツールであると私は考えています。
なので、セキュリティ的にも業務的にも全く意味のない対策等は弊社から提案することは絶対にありません。

ですが、最近私が困っているのがプライバシーマーク認証取得を支援させて頂くお客様に対して、プライバシーマークの審査を実施した後に、審査員の方から「記録をとった事を確認する記録」を取得する事が求められる事が何件か連続でありました。

中でも分かり易い例として、サーバールームへの入退室を確認するために、入室簿を作っています。そして、月に1度、システム管理者が入室簿の運用がしっかりなされているかを確認します。
そういった運用をしている会社に対して、「月に1回、システム管理者が確認したことを確認する記録」を作りなさいと！！

「いやいや、確認した際にサインをして確認済としているんですが」と主張されたのですが、「別途に確認簿作らないとだめです。」と指摘されました。

「確認をしたことの確認」・・・・・・こんな事を言い出すとどこまでやればいいのか分からなくなります。業務効率は下がるし、本当にマークを取得するためだけの活動になってしまいます。

認証取得なので、マークを取得するためだけの活動も中には実施しなければならない事もあるかも分かりませんが、やはり、そういった事は出来るだけしないようにしていきたいです。
マークを取得するためだけの活動は、社内での仕組みを形骸化させてしまいます。また、実施している企業にとってみても「こんな認証は、意味がない」と判断してしまいかねません。

経営改善ツールなので、取得する企業にとって、意味のある行動にならないといけません。
マネジメントシステムを導入する事により会社のレベルが少しでも向上するようにしていきましょう。