ISO認証の基礎知識(初めて取り組むかた向け)

ISOとは?

ISOとは「International Organization for Standardization(国際標準化機構)」の頭文字をとったものです。日本を含む各国の標準化団体(原則各国1組織で現在は160団体以上)で構成されている非政府組織です。

ギリシャ語で平等や均質をあらわす「isos」が語源であると言われているためIOSではなくISOになったという説もあります(!?)

分野ごとに各国に標準化団体が存在し、本部はスイスのジュネーブにあります。

ISOは、1947年に発足しました。発足の目的は、「国家間の製品やサービスの交換を助けて標準化活動の発展を促進し、知的・科学的・技術的・経済的活動における国家間協力を発展させること」とされています。

各分野ごとに各国に標準化団体が存在し、本部はスイスのジュネーブにあります

標準化とは?

標準化とは、製品やサービスなどの標準を決める活動であり、標準には基準や平均といった意味があります。

製品やサービスの標準を定めた規格の中でも、国際的に定められた規格がISO規格です。

国際規格(国の垣根をまたいだ規格)と国単位の規格(その国の中だけの標準規格)

ISO規格とはどうやって定められる?

ISOの規格は、日本のJIS(日本産業規格)やイギリスのBS 規格などの国独自の規格がベースとなって、定められることが多いです。

なお、ISOとして発行されるまでには、参加団体による複数回の審議を経る必要があります。そのため、労働安全マネジメントなど、それぞれの事情に引きずられてなかなかISO規格にならないという例もあります。

自分の国の規格が基になってISO規格になれば、すごく有利だよね(儲かるかも・・・)

世の中にはISOが溢れている?

普段生活していると気付かないことが多いですが、世の中には身近にたくさんのISOが溢れています。

クレジットカードのサイズ(ISO/IEC7810)、紙のサイズ(ISO216)、非常口のピクトグラム(ISO7010)、お茶の淹れ方(ISO3103)

なぜISO規格が必要?

もし、国ごとの独自規格だけでISO規格(国際規格)が無かったら・・・

使うほうも不便だし、製造するほうも大変。非常口のデザインが違ったら危険・・・

映画「タイタニック」のワンシーンで、タイタニック号が沈没寸前のところで異国の人が英単語辞書を片手に出口を探している姿が印象的でした。おそらくその人は、出口が判らないままタイタニック号と運命を共にしたことでしょう。もし、その当時にISO規格で統一された避難口の案内があれば、英単語辞書を見なくても避難経路が判りますから、命が助かったかもしれません。

モノや手順以外にもマネジメントシステムのISOがある

モノのサイズや仕様・手順以外にも、マネジメントシステムのISOが複数存在します。

マネジメントシステムとは、組織が方針や目標を定め、それを達成するために活動をしたり、ルールを定めたりすることです。ISO規格には、マネジメントシステムの基本的なルールなどが規定されています。

ISOのマネジメントシステムの種類はたくさんあります。次の図の木のように品質のISO「ISO9001」を幹として、その周りにジャンル毎のいろいろなISO規格が存在します。

品質のISO「ISO9001」を幹として、その周りにジャンル毎のいろいろなISO規格が存在

マネジメントシステムとは?

マネジメントシステムとは、一言で言えば、組織を管理するための仕組みです。ただし、継続的に仕組みそのものを改善し、パフォーマンスの向上を目指すという点が単純な管理の仕組みとは違います。

普通の管理の仕組み⇒ただ繰り返すだけ。マネジメントシステム⇒継続的に昇っていく(改善する)

継続的改善のためのPDCAサイクル

継続的改善のために、多くのISOマネジメントシステムには、「PDCAサイクル」という概念が取り入れられています。

  • P : Plan(計画〉
  • D : Do(実施・実行)
  • C : Check(評価)
  • A : Act(改善、Checkの結果を受けての対応)
    • このPDCAサイクルを繰り返すことで改善を実現

    最初は必ずPから始まるわけではありませんが、最終的にはこのPDCAサイクルに収束するような仕組みとなっています。ISOのマネジメントシステムに限らず、目標を達成するための活動においては、自ずとこのサイクルに収束することになりますが、本当の第1歩はいきなり計画ではなく、現状把握のはずです。

目的あってのPDCAサイクル

PDCAサイクルは、その前提に「目的」があってまわすことで有効に機能します。まずは目的をしっかり認識しましょう。

  • 品質の改善
  • 環境影響の改善
  • 情報セキュリティの促進
  • 労働安全の改善
  • 食品安全の改善

目的はいわばゴールなので目的が無いと方向が定まりません。具体的であるにこしたことはありませんが、せめてどちらに向かえば良いのか判断できる程度には明確であることが望ましいです(例えば「売上〇円の大企業になる」は具体的ですが、「売上を伸ばして会社を大きくする」でも、売上を増やすという方向性は分かります)。目的によっては同じ論点でも評価が変わるといったことがあり得ます。

PDCAサイクルは、その前提に「目的」があってまわすことで有効に機能する

マネジメントシステム系ISO規格に書かれている要求事項とは?

ISO規格の中には、要求事項になっているものがあります。ISO9001や14001などが該当しますが、認証審査ではこの要求事項に適合しているか、この要求事項に則って構築されたマネジメントシステムが定めた通りに運用されているか問われます。

マネジメントシステム系ISO規格に書かれている要求事項

マネジメントシステム系ISO規格の種類

マネジメントシステム系ISO規格にはたくさんの種類があります。

主なISO規格の種類

ISO900114001270012200045001
テーマ品質環境情報セキュリティ食品安全労働安全衛生
  • ■ ISO13485:医療機器
  • ■ ISO16949:自動車
  • ■ ISO20000:ITサービス
  • ■ ISO50001:エネルギー 
  • ■ ISO17025:試験所・更正機関
  • ■ ISO55001:アセット
  • ■ ISO39001:交通安全
  • ■ ISO22301:事業継続
  • ■ ISO42001:AI

etc.

要求事項以外の規格もある?

審査の基準になっている要求事項以外にもISO規格は数多く存在します。むしろ要求事項以外の規格のほうが圧倒的に多いです。

例えばISO27000シリーズだと・・・

ISO/IEC27000基本用語集
27001認証のための規格要求事項
27002情報セキュリティ管理策の実践規範(管理策の実践例)
・・・・・・
27017クラウドサービスのための情報セキュリティ管理策の実践規範
・・・・・・
27701プライバシー情報マネジメントのためのISO/IEC 27001及びISO/IEC 27002への拡張―要求事項及び指針
・・・・・・

マネジメントシステム規格を取り入れた組織とは?

どの会社や組織でも、明文化されているかどうかは問わず、色々なルールがあるはずです。例えば、「朝は朝礼をする」「電話は3コール以内でとる」等々。ただ、はたから見ればその会社や組織のルールは分かりません。

ISO認証を取得している組織とは、要求事項に何らかの形で適合している組織であり、例えば、少なくとも「定期的に内部監査を実施している」ということが分かります。

組織とクレジットカードの標準化

なぜ認証制度があるのか?

いくら規格要求を取り入れてマネジメントシステムを構築・運用しても、自主宣言だけでは客観性が疑問視されるかもしれません。そこで、第三者が規格要求を遵守しているか審査をすることで客観性を持たせることができます。また、認証制度とすることで、信用を目に見える分かり易い形にすることができます。

内情が分からない場合、どちらが客観的?

ISO認証の有無だけで判断するのは危険?

ただし、ISO認証の有無での評価は分かり易くて簡単ですが、それだけで供給者を評価するのは危険です。なぜなら、ISO認証の審査は、対象のパフォーマンスの高さ(どのくらい良い結果を出しているのか)を基準にしているのではなく、対象が規格の要求に適合しているかどうかが基準となっているからです。

当然このようなケースもあります。

認証はあるけど、クレームが多い企業。認証は無いけどノークレームの企業

認証を持っているほうが、改善活動が進んで高パフォーマンスの「可能性が高い」ということであり、あくまでも可能性が高いだけである点にご注意ください。

クレームや事故が発生しても審査が通る理由

ISOの認証は、クレームや事故が発生している組織でも審査が通ります。これは、ISOの審査が「マネジメントシステムが規格要求に沿って構築され、運用されているかどうかの適合性の審査」だからです。

例えば、規格に「〇〇を盛り込んだというルールを作り、それを運用しなさい」という要求があったとしましょう。そして、それに従って「〇〇を盛り込んだルール」をつくり、それを運用できていたとしましょう。そうすれば規格に合致していますから、審査ではOKということになります。そのルールを盛り込んで実施し、結果を分析して評価するという要求に沿って運用していたら、その結果自体が審査で評価されることはありません。

そのため、「ルールは守っていたが事故が発生した」というようなケースでも、審査では評価対象とならないのです。あくまでも、要求事項に合致していたかが評価対象なのです。

「リスク分析しなさい」「リスク対応しなさい」という要求があれば、リスク分析をして対応したら良いわけですから、リスクがたくさん存在し事故が多い企業であったとしても要求事項が満たされているため、審査が通るわけです。

ただし、あまりにも悪質な事故(と言うよりも事件?)やクレームを放置していたり、是正や改善が適切ではないと要求違反になるので、これは不適合となります。

認証があるから完璧というわけではないよ。でも、事故やクレームが発生しても適切に対応される可能性が高いということだね。

取り組み前の心構え

なぜ、認証はクレームや事故が発生しても審査が通るのでしょうか。それは、「例えクレームがあったとしても、それを進歩するための材料にできる」と、ポジティブに捉えているからです。

マネジメントシステムの中では無駄なことなどひとつもありません。全てをポジティブに捉え改善に生かすことが重要です。ルールを策定してうまくいかなければ、「うまくいかないルールを見つけることができた」というひとつのポジティブな成果なのです。したがって、目標を達成できなくても、事故を起こしてもそれだけで審査に通らない理由にはならないのです。

「失敗は成功の基」という言葉もありますが、失敗を糧として成長の機会とすることがマネジメントシステムでは求められます。

クレームや事故も糧にするゾーッ!!

【よくある不安】ISOは文書がいっぱい?

規格の種類にもよりますが、記録はかなりの量が要求されます。例えば、ISO9001なら受注の記録や検査の記録、内部監査の記録などです。逆にルールや手順についてはさほど文書化の要求がありません。極論すれば、従業者に十分な力量が備わっていれば、大量の文書化は必要ありません。(ただし、力量管理は必要ですが)

とは言え、通常全員に高い力量を求めるのは難しいので、いろいろな記録を文書化して管理するのが一般的です。

したがって、同じ規格認証を取得しても、組織によって文書の量や内容にはばらつきがあり、ISO規格もそのばらつきを認めています。

ISO9001の記録例

ISO9001が要求する記録には、次のようなものがあります。認証取得を取り組む前に、すでに作成している記録もあるかもしれません。

ISO9001の記録例。すでに作成している記録もある・・・

すでに作成している記録があり問題がなければ、それを尊重してQMSを構築していきましょう。

【よくある疑問】ISOって役に立つの?

ISO認証を取得したら役に立つのかどうか、当社でもよく訊ねられることです。

ISO認証が役立つかどうかは、認証を取得する目的によりけりです。認証を取得することだけが目的の場合は、認証を持っているだけで役に立っていると言えます。例えば、認証有無が取引条件になっているようなケースです。

逆に、取り組み動機が「特定のクレームを減らす」ことであり、認証はあくまでも副産物というケースは、そのクレームが減らないと認証が役に立っているとは言えません。この場合は、漫然と取り組んでいても「役に立つISO」にはならない可能性が高いです。取り組みの際には、あらかじめ目的をはっきりさせましょう。

目的がはっきりしないと「何のためにやっているの?」

ご相談やお見積りは、下記の電話番号、
もしくはメールフォームにて承っております。
お気軽にご相談ください。

03-3497-5070

受付時間:平日 9:00~18:00

メールフォーム