ISO 9001 や 14001 とちょっと違う部分として、 JIS Q 15001:1999 には、 「代表者」、「事業者」との記述がいくつかありますが、 部門単位の導入やグループ会社間であっても、 これは都合で勝手に読み替えてはいけないと思います。 部や課の単位での JIS Q 15001 の適用を考えたとしても、 「代表者」、「事業者」をそれぞれ 「事業部長」、「事業部」などと読み替えることはできません。

　 「監査責任者」は“責任者”となってますが、 「管理者」は“責任者”にはなってません。 複数の管理者が居る場合、管理上、階層構造をとる必要がありますが、 「管理責任者」は全体を把握するなどの、管理手法としての要求が大きいかと思います。 そもそも「管理者」は「4.4 実施及び運用」に記述されており、 どちらかというと 部署や部門単位 など現場レベルでの「管理者」になるでしょう。 部署や部門毎の管理者は、 この部長職、課長職など、既存の職制とリンクさせるのは構わないと思いますが、 役割と責任が規程などで明確になっていたり、それが社内で周知徹底されるなど、 補足的な措置は必要になるでしょう。

　一方、「監査責任者」が“責任者”となっているのは、 監査自体が部署間のクロス監査であったり、 はたまた外部に委託する場合のも想定されているのではないかと思います。 「監査責任者」は、監査全体をコントロールすることと、 代表者に責任を持って報告することが最低限の役割であるかと思います。

　JIS Q 15001:1999 の解説 3.6 にあるような、体外的な責任以外にも、 社内においても、代表者に物申す立場を考えると、 それぞれの責任者は役員クラスが想定されるかと思います。 独立性や相互牽制を考えると、 必然的に「管理責任者」と「監査責任者」は別々にしなければならないでしょう。 なお、アメリカでは、CTO や CFO と並んで、 CPO(Chief Privacy Officer：個人情報保護担当役員)と呼ばれる役職が定着しつつあるようです。

　監査責任者が外部の人間でもいいか、というような質問がたまにありますが、 拘束力や常勤性を考えると、社内の人間が適任なのは明らかです。 しかし、小さな会社だと中々こうもいかない場合もあるかと思いますが、 非常勤の社外取締役や監査役などにお願いするスタイルもあるかと思います。 外部にお願いするしかない場合、 外注管理 が発生するので、 責任を持って外注管理をする方が必要で、 この方が実質的な社内の責任者になるでしょう。

　また、苦情処理の責任者の独立性も考えると、 代表者以外に、社内に３人の役員クラスの責任者が必要になるかもしれません。 小さな事業者ですと、なかなかこの様なきれいな形にはできないかもしれませんが、 それはリスクを伴うことも合わせて考えないといけないでしょう。