日本の組織においてISMSだとかプライバシーマークだとか言う認証システムって合わないことが多い気がする。こういった認証って所詮は「この組織はこれこれこういうことが出来てますよ」ということを証明するだけのものであるのに、多くの組織において認証取得が目的になってしまってるところがあるような。認証取得が目的となっているところは形だけで中身が伴っていないところも多いんじゃないかなぁ。だって認証取得に必要な審査って、どんなに大きい組織でも数週間かけて審査員がヒアリングして、証跡をチェックして、ちらっと現場見てで終わるんだから、そのときだけいいかっこしておけば認証とおっちゃうし(事実それをやったことが・・・)。普段どのように業務を行ってるかなんて審査員はわからないっすよというのはうがった見方しすぎかなぁ？
認証取得を目的にして、本来の目的であるセキュリティ強化やら、業務改善を忘れてない？確かに、認証取得を行うことで、ルールは整備されるだろうけど、そのルールはちゃんと守られてる？ルールどおりにやることで余計なコストはかかってない？認証取得したことで安心してない？
あくまでセキュリティ強化や、業務改善が目的で認証取得はそういったことをやった結果を第三者が証明してくれるだけのことだと思うんだけどなぁ。ぶっちゃけ、「認証取得なんて飾りです。タコな人にはそれがわからんのですよ。」という感じかな。