「持続可能な調達」を最低限正しく理解する 17(牧野直哉)
前回に引き続き「持続可能な調達」を実践するために必要な具体的な9つの取り組みについて述べます。
5.製品、商品、サービスの安全性が最優先事項と社内で認知されている
この点は、多くの日本企業では、認識を新たにする必要があります。これまでさまざまな「偽装」によって、たくさんの企業が社会的に糾弾されてきました。
食品の産地やマンションの耐震性の偽装に始まって、昨年来検査結果を偽装していた企業が多く明るみに出ました。そして、何か偽装が行われるたびに、社内的、そしてマーケットからの低価格ニーズがその原因とされ、コストダウンのために行ったと説明が行われてきました。
食品に関して産地や品種を偽装しても、食品そのものの品質管理が行われていれば、食の安全性が問われる結果にはなりません。しかし、産地や品種を偽って販売すれば、景品表示法(不当景品類及び不当表示防止法)に違反し、法令違反になります。「持続的な調達」の実現以前に、コンプライアンスの観点でも許容できる話ではありません。そして、お客さまに約束した産地や品種を偽ったり、本来行うべき事を行わずに作業を完了させてしまったりして、社内的なコストを少なく抑えられたとしても、それはコストダウンではなく、将来にわたって算定不可能なリスクを抱えてしまいます。
「安全性」は、かつて軽視されてきた歴史があります。製造業では当たり前に「けがと弁当は自分もち」と言われていました。しかし、作業上安全性が確保された工場で生産された製品は、結果的に品質も高く、製品そのものにも安全性を確保する好ましい影響が及ぶとされて今日に至っています。昨年来の日本を代表する製造業における試験データの偽装、ねつ造といった問題は、直接的にも間接的にも、日本製品の品質を再構築する時期に来ているのです。
したがって「安全性が最優先」とは、持続可能な調達を実践する基礎的な条件整備として、全社的な取り組みが必要です。まずは、これまで培ってきた安全性確保に関するノウハウの再点検を社内でおこなって、その上で全社的な教育をおこない、安全性意識の浸透を図ります。
もう一つ、最近の偽装やねつ造といった問題は、内部告発によって明るみに出るケースが多くなっています。社内の通報窓口でも良いのですが、できれば外部の第三者を窓口(多くのケースでは弁護士)に設定して、安全性が危ぶまれる事態を察知する体制を整えます。通報窓口は、社内の自浄機能の最後の砦です。
6.公開すべき情報と、守秘すべき情報が区別して管理されている
このテーマも、近年注目度がアップしています。注目度がアップしているのは、それだけ情報管理にまつわるリスクが高まっている、いや危機的な状況である証と言えるでしょう。
対サプライヤー管理を、情報セキュリティの観点で行うためには、次のページの資料を参照します。
中小企業の情報セキュリティ対策ガイドライン
https://www.ipa.go.jp/security/keihatsu/sme/guideline/
ダウンロードできる資料は次の通りです。
中小企業の情報セキュリティ対策ガイドライン第2.1版(全58ページ、10.7MB)pdf
付録1: 情報セキュリティ5か条(全2ページ、9.12KB)pdf
付録2: 5分でできる!情報セキュリティ自社診断パンフレット(全8ページ、4.57MB)pdf
5分でできる!情報セキュリティ自社診断シート(全2ページ、656KB)pdf
情報セキュリティハンドブックひな形(全11ページ、299KB)PowerPoint
付録3: わが社の情報セキュリティポリシー(全1ページ、696KB)pdf
<ツールA>リスク分析シート(全5シート、76.4KB)excel
<ツールB>情報セキュリティポリシーサンプル(全50ページ、161KB)
上記のなかで、付録2、3の「5分でできる!情報セキュリティ自社診断」は、情報セキュリティに関する取り組みが網羅されていますのでおすすめです。そして、この診断は、まず自分でやってみましょう。100点満点で完璧!70~99点では、一部不十分と判断される非常に厳しい内容です。内容をご覧頂くとわかりますが、個人レベルで対処できる内容が多くあります。
また、調達・購買部門では「サプライチェーンセキュリティ」といった考え方も理解しておく必要があります。サプライチェーンセキュリティについては、このページの解説が非常に秀悦です。
サプライチェーン攻撃とは
http://singtel.co.jp/blog/20180312.html
自社内でいくら情報セキュリティを確保したとしても、サプライチェーン上にある企業を入り口にネットワーク経由で悪意を持った第三者に侵入を許す可能性があります。したがって、調達・購買部門では、自社のサーバーから情報を引き出す権限をもったサプライヤーには、厳格な情報セキュリティ管理を求める必要があります。管理が行われているかどうかを、実行状況を含めて確認する必要があるのです。
(つづく)