第49号：事業目標とCMMI

このあいだプライバシーマークの更新審査を受けました。といっても昨年のことになりますが。いろいろたくさんの指摘をいただきました。いろいろと考えさせられるきっかけになりましたので、指摘のひとつを皆様にご紹介します。


リスクの認識、分析及び対策について「情報資産リスク」で、リスク分析を行っているが、個人情報の流れを十分に把握されておらず、リスク分析が不十分である、“漏洩”“破壊”等、リスクが具体的でない、講じることとした対応策が規程に反映されていることが適切に管理されていない、具体的な残存リスクが管理されていない等、不備がある。特定された個人情報毎に（取扱いの流れが同じものはグルーピング可）、個人情報の取扱いの流れ（取得・入力、移送・通信、利用・加工、外部委託・提供、保管・バックアップ、返却・消去・廃棄、等々）に沿って具体的なリスクを明確に洗い出し、そのリスクへの具体的な対応策及び残存リスクを明確にし、講じることとした対応策が規程（項番単位）に反映されていることを管理すること。


こんな感じです。何がいいたいのかといいますと、要求事項に書かれていないことが指摘されているということです。要求事項ではなく解説にはこのようなことが記述されてはいますが、解説は要求されていないので参考程度に受けとめていました。しかし、解説に書かれているとおりに実装していないと、解説どおりでないと指摘を受けました。こんなのありなのでしょうか？　読者の中にもプライバシーマークの認定を受けている企業があると思いますが、ほかのところもこんな審査なのでしょうか？

上記の指摘に対して、まあ要求事項には載ってないけど、リスクの分析は、個人情報の取扱いの流れ（取得・入力、移送・通信、利用・加工、外部委託・提供、保管・バックアップ、返却・消去・廃棄、等々）に沿ってやったほうがよいであろうと、すべての個人情報に対しリスク分析をやり直し、対策、対策に関連する規程、残存リスクを明確にしました。だいたい3ヶ月ぐらいかかって他の指摘事項にも対応し、改善報告書を送りました。

そうするとそれから1ヶ月ぐらいたった日に再指摘事項が送られてきました。先ほどの指摘に対しては、「特定された個人情報毎にリスク分析、対策、残存リスク等が明確にされ、対策を規定した規定名が管理されている。しかし、対応策が項番単位に管理されていない。項番単位に管理すること」というぐあいに再指摘をいただきました。

項番単位って！　規程名ではダメで、項番単位だったらよいということ？　プライバシーマークの要求事項である JIS Q 15001には、規程名ではダメで項番単位に管理せよなんて書かれていない。規程名の代わりに番号を書いたところで、当社の個人情報の置かれている状況には何の変化もありません。まったく無駄な労力となんともいえない感情が発生するだけです。規程名の代わりに項番を書くことは、当社の事業目標の達成には、何の貢献もしません。むしろ余計な工数が生じる分と機会損失とその作業をする人のモチベーションを粉砕する分だけ、障壁です。JISQ15001には、こんな細かいことは書かれていませんが、審査がそんなふうに行われている。これでいいのか日本工業規格！　国が滅ぶぞ。

前置きが長かったですが、やはり事業目標の達成にいかに貢献するのかということが大事だと思うわけですよ。CMMIも。

アプレイザルとかで、CMMIの記述そのままの個性のない組織方針とか、ISO9001と同じ構成の品質マニュアルとか、見かけるとちょっと残念な気持ちになります。ああCMMIモデルに書いてあるので作っているのだな。サブプラクティスとそっくりの手順書があるけど、どう見てもプロジェクトの実際の活動と違うぞ。なんでこんな些細なことにＤＡＲを使っているのだろう。とか思うわけですよ。

CMMIの本に書いてあるので無理やり手順を作ったり記録を作ったりするのは、よくないと思います。やはりその組織の事業目標やプロジェクトの目標の達成に貢献するようにプラクティスを実装しないといけません。

『開発のためのCMMI』1.2 版には「事業目標」という言葉が118ヶ所も記述されています。もともとCMMIは、事業目標の達成を意識して作られているわけです。ここをはずすとCMMIを使う価値なんてないといってもいいぐらいです。もっとも分かりやすいのは連続表現です。組織の事業目標に最も合致し、組織の中でリスクのある領域を軽減するように、改善の順序を選定することについて、明示的に自由を与えています。

事業目標と関連のあるプラクティスをあげてみます。

「プロセスに対して、顧客ニーズおよび事業目標に基づいて、品質およびプロセス実績を取り上げる定量的な目標を確立し保守する。」

「組織の関係する事業目標を実現するために、プロセスの継続的な改善を確実なものにする。」

上の２つはプラクティスそのものです。

サブプラクティスの１コ目に出てきます。「基準は、要件、シナリオ、事業事例の仮定、事業目標、またはその他の文書化された出所から追跡可能でなければならない。」

「プロジェクトにとって適切な作業環境は、事業目標およびプロジェクト目標を支持するように、人員がそれぞれの職務を効果的に遂行するために必要な設備、ツール、および機器のインフラストラクチャを含む。」

「『組織改革と展開』プロセス領域では、組織の事業目標に照らして定量化することができるように、組織のプロセスおよび技術に対する改善策の展開を管理するための計画策定が行われる。」

「共通集合の中の尺度は、「組織の標準プロセスの集合」に基づいて選択される。期待される事業目標を支援するために、プロセス実績に対する可視性を提供する能力のある尺度を選定する。」

「組織の事業目標、ニーズ、および制約が、組織のプロセスに対するニーズと目標を決定する。」

「組織の事業目標と対比して、「組織の標準プロセスの集合」および関連する組織プロセス資産の有効性および合目的性の定期的なレビューを実施する。」

組織的分析用のプロセスまたはサブプロセスの選択に使用されることのある基準の例のひとつ。「サブプロセスと主要な事業目標との関係」

「品質およびプロセス実績に関する組織の事業目標のうち、尺度を用いて取り組む必要のあるものを明らかにする。」

組織の「品質およびプロセス実績の目標」が備えるべき属性のひとつ。「組織の事業目標に基づく」
サブプラクティス１。「品質およびプロセス実績に関連する組織の事業目標をレビューする。」
組織の「品質およびプロセス実績の定量的目標」が改訂される必要がある場合の例のひとつ。「組織の事業目標が変更された場合」

「組織の戦略的事業目標およびプロセス改善計画を分析して、将来の潜在的なトレーニングニーズを特定する。」

知識またはスキルを獲得する最も効果的な形態を決定するために使用できる基準の例のひとつ。「事業目標」

「必要な知識およびスキルのために組織内トレーニングと外部委託されたトレーニングのいずれを選択するかは、トレーニングの専門的知識の利用可能性、プロジェクトのスケジュール、および事業目標によって決定される。」

目標の出所の例のひとつ。「事業目標」

「導出要件では、事業目標と適合している範囲で、他のライフサイクルフェーズ(例えば、生産、運用、および廃棄)の費用および実績を取り上げる。」

「組織は、組織の事業目標と首尾一貫した選択肢の一覧を絞り込むための選別基準を策定する必要がある。」

このようにCMMIではいたるところに事業目標が登場します。CMMIを利用するときは、ぜひ事業目標を考慮してプラクティスを実装していってください。事業目標が達成できないと意味ないですから。

さて、プライバシーマークの更新審査の指摘が結局どうなったのかというと、まだ現時点でも審査員とのやり取りが続いているのです。不幸でしょ。こんどの更新審査（もし更新するのであれば）で、プライバシーマークを取って何かいいことあったかと審査員に聞かれたら、ただ単に「ないです」と即答しようと思います。