コンプライアンスのISO

Mai

前回、コンプライアンスのガイドを作りたい、という話を書いた。ISO規格のように誰でも参照でき・・・と書いたが、実は企業コンプライアンスに関するISO規格は既にある。それがISO 19600:2014 というマネジメント規格になる。

9001や14001のようなマネジメントシステムの規格で、日本語版というかJIS版がないので日本ではとてもマイナーだが(海外の状況は知りません、もしかしたら海外でもマイナーなのかも)、一応ISO規格として発行されているものであり、かつ日本語での解説記事が全然見当たらないので、自分の勉強も兼ねて、この規格を読み込んでいって解説的なものを作っていきたいと思う。

1.ISO19600とは

ISO発行の、コンプライアンス管理体制に関する国際規格である。"ISO 19600:2014 provides guidance for establishing, developing, implementing, evaluating, maintaining and improving an effective and responsive compliance management system within an organization."とのこと。ほんまかいな。

コンプライアンスに役立つ、あるいは直接関連する規格は以前からたくさんあり、たとえばISO14001(環境)、ISO37001(贈収賄)、ISO15001(個人情報)、ISO45001(安全衛生)などが挙げられる。またISO9001でも法令要求事項を遵守しましょうという項目がある。ただこれらはいずれもコンプライアンスという切り口では包括的なものではなく、特定の分野についてのガイドということになる。ISO19600は企業(組織)のコンプライアンスに関する包括的なガイドを提供するものになる。

この規格は2014年に国際規格として発行された。前述の通りJIS版はないのだが、ISOをJIS化するかしないかの基準というのはあるのだろうか?(詳しい方いればご教示いただきたい)ちなみにJSAのウェブサイトでこの規格を買おうとすると日英対訳版で購入できるようだが、失礼ながらISOマネジメントシステム規格の和訳が読みやすかったためしがないので、たぶん微妙だろうと思う。始めから英語原文で読まれることをお勧めする。

この規格は認証用の規格としては作られておらず、ISO26000のようにアドバイス的なガイドに留まるものとして作成されている(ISOではこういった規格=組織が規格への適合を主張できるものでないものをType B、適合を主張できるものをType Aのマネジメントシステム規格と分類している)。
この点の匙加減は詳しく知らないが、メジャーなマネジメントシステム規格を見る限りは、アドバイス的なType B規格だからといってType Aよりも内容が薄いということでもないように見える。日本でメジャーなType B規格としては前述のISO26000が挙げられるかと思う。

19600の前身として、オーストラリアで1998年に作成されたAS 3806という規格があるようだ(未見)。こういう規格類はだいたい欧州発のものが多いイメージがあるのでオーストラリア発の規格というのは興味深い。実際、この規格を参照したとしている公開のコンプライアンスポリシーを検索で探すと、オーストラリアの大学や公的機関のものがヒットしやすい感じがする。英語で検索しているからかもしれないが、米国の機関のものはあまり見つけられなかった。

2.最新情報

ここまで解説していて今更だが、この規格は既に古いものになっており、より進んだ内容の規格としてISO37301:2021という規格が今年の四月に発行されている。上の方にリンクを置いたISOのサイトを直接ご覧になった方は気づかれたかもしれない("withdrawn"と書かれている)。
こちらは認証にも使えるType Aの規格であり、内部通報対応などの要素が盛り込まれている、とのこと。出たての規格ということもあり、あまりまだ解説類も出回っていないのと、この手の規格は買うと高い(JSAのサイトでは23,000円もする)。

いきなり古新聞を検討するのもどうかと思うが、19600も2014年発効ならそこまで古くないだろうと思うし、とりあえず手元にあるのでしばらくは19600の検討をこのまま進めていくことにしたい・・・
どうせ個々の記載事項はそこまで具体的でなく、それをネタにつらつらと自分の考えを書いていくのがメインになりそうなので。

3.規格の概要

ざっと見る限り、31000などのリスクマネジメント系のISO MS規格とおおよそは変わらない感じに見える。おおまかには、体制を整え、遵守すべきアイテムとリスクを特定し、リスク低減を行い・・・といったPDCAサイクルの実施による継続的改善をしましょう、というのが基本のようだ。Introduction部分でも"based on the continual improvement principle (“Plan-Do-Check-Act”)."と明言している。

Introduction部分に含まれる規格の概念図と定義までの部分は、ISOのサイトで無料で見ることができる。ここでは概念図を引用させていただく。

画像1

出典:https://www.iso.org/obp/ui/#iso:std:iso:19600:ed-1:v1:en

PDCAと自分で言っておきながら、図の部分にPDCAの文字は出てこないのは興味深い。まあ、検討と実践を繰り返してよくしていこう、というくらいの意図だろうからあまり細かいことは言わないが。

以下、メジャーなISO MSである9001や14001と比較して、この規格で比較的ユニークであろうと思われる(私がそう感じただけだが)項目を挙げる。

Compliance Policy (5.2) これは14001のenvironmental policyに比べて広範な上により具体的、詳細な内容を定めるような感じに見える。

Compliance Function (5.1) コンプライアンス部門の役割を規定しているが、トップマネジメントとかを除けば、組織内の特定の機能職制の設置やその役割を狙い撃ちで規定している規格というのはあまりないのではないか? これは私の見立てではよいことのように思う。9001対応における品質保証部門、14001対応における環境管理部門の役割の混乱は、ISO対応界隈ではよく聞くところではないかと思う。無用な混乱を避けるためには規格が明確に組織内の特定の役割がどうあるべきか立場を示す意義はあるように思われる。

Risk Assessment (4.6) コンプライアンスに関してもリスクアセスメントベースの検討が必要だと明言している。多くの会社ではあまりコンプライアンスについて詳細なリスクアセスメントを行っていないのが実態ではなかろうか。

Reporting (9.1) 活動の報告。個別のインシデントの報告とは別の話のようだ。しかるべきレポートを行うことがコンプライアンスに必要であると位置づけているのだと思う。単に「適切にコミュニケーションをしろ」としか書いていない規格よりも実践的かもしれない。

Corrective Action, Escalation (10.1) 違反への処置と違反報告。処置については大したことは言っていないが、EscalationについてはほかのISO MSで見られない項目と思う。普通の会社の実務では適切なEscalationは必須であろうが、ここにちゃんと言及しているのは実務を意識していてよいと感じる(意識して当たり前なのかもしれないが・・・言及していない規格のほうがおかしいだけで)。

以上、とりあえず規格の概略を見てきた。次は規格で決められている個々の内容を検討していきたいと思う。