内部監査の目的

私は、ISO9000の審査員を1995年から行っている。1994年版が出た直後であった。94年版から審査を始めた。審査では、登録認証(登録審査)、維持認証(定期審査)(注1)を通して、適合性を見ていた。不適合を見つけることが楽しみであったかもしれない。その後、2000年改訂を経験し、審査員として、考え方が変わってきた。それは、不適合を摘出することも大事だが、受審組織が審査を受けて、良かったと感じるかどうかを考え始めた。それは、要求事項に書かれた文言だけの審査からの脱皮を意味していた。いやいや文言の解釈には、受審組織、審査員により、異なるものがあった。

94年版の審査は、簡単であった。要求事項どおりであればよかった。箇条に従って審査すればよかった。文言も同じものを要求していた。しかし00年版から、受審組織の文化、風土を尊重し、言葉も受審組織の言葉を使っていこうとなった。審査方法も顧客の業務の進め方、プロセスに従って行う、プロセス審査となり、規格要求事項の箇条どおりではなくなった。このような中で、「受審組織が審査を受けて良かった」と感じるには、どうしたらよいかを考え始めた。審査方法が変わり、容易に結論は出なかった。審査員として、顧客が実施している内部監査を見ることは、手短な効果を上げるものだと考えた。

どこの受審組織も内部監査は、実施している。いや9001:87から今も9001:2015でも内部監査は、必須であり、内部監査を実施していないと審査を受けられないものである。私は、内部監査の効果は、内部監査の目的設定にあると考え、受審組織がどのように目的を設定しているかを見ていった。大きな組織では、ISO9001:2015要求事項と同じく、
a) 次の事項に適合している。
1) 品質マネジメントシステムに関して,組織自体が規定した要求事項
2) この規格の要求事項
b) 有効に実施され,維持されている。
をそのまま記述しているものが多かった。中小企業では、コンサルタントから言われて、目的を、「定期監査」と記述しているものが多かった。また監査の目的を書いていない受審組織もあった。

内部監査の目的について、何も書いていないのは、論外かもしれないが、審査を受けるにあたり、規格が要求しているから、実施しているのだと言わんばかりの受審組織があった。
内部監査の目的を「定期監査」としているのは、監査の種類を表すものであり、目的ではないと説明し、上記ISO9001:2015と同じくa)、b)が目的を示していると説明した。監査計画書で、上記a)、b)を記述している受審組織には、適合性は、登録審査、移行審査にて、概略、クリアしているのではないか。適合していることを確認する、いや不適合を見つけることを目的にして、効果が上がるだろうか、被監査部署は、いい感じがするだろうかと疑問を投げかけた。そして、b)の「有効に実施され、維持されている」とは、どんなことだろうかと議論していった。

時間の経過とともに、ものごとをなしていく、受注の獲得、設計、製造及び品質保証を通して結果を出すために、やり方(手順)、設備、人、材料、評価等4M,5Mは変わっていくでしょう。その変化に品質マネジメントシステムが対応しているかを見ていく必要があるのではないだろうか、と話した。また逆に他社や業界の変化から自社の立ち位置を確認し、4M,5Mを変更することを促し、品質マネジメントシステムをスパイラルアップしていくのも必要ではないか と話した。これらについて、受審組織の了解を得た。

更にa)の適合性については、9001規格要求事項及び社内で規定した要求事項等をそのまま箇条通り確認して効果が上がるだろうかと話し、プロセス審査なので、業務の流れ、ものの流れに従って確認していくと良いと話した。規定と現実の相違については、議論し、多分規定に無理があるのではないかと話し、不適合にするのではなく、手順ほかの改善につなげてはどうかと話した。更に顧客クレームや内部、外部で発生した不具合、不適合について、横展開、規定と現実を再確認し、よりよい4M、5Mにするよう改善を見いだす監査にしたらどうかと提案した。

このような審査をしていく中で、内部監査の目的をただ、a)、b)と書くのではなく、更に具体的に、目的を狭小化することにより、効果が上がるのではないかと話してきた。例えば、○○のトラブルの発生により、手順、設備、人、材料、評価等をどのように見直したか(他部署の確認を含む)、それは、次の△年に耐えられるか と書いたらどうかと話してきた。受審組織で、これを実践しているところは、内部監査で被監査部門から喜んで受けるようになり、効果が上がってきていると聞いている。更に他の審査員がこれを見習い、内部監査の目的が具体的になっていないと改善の機会に指摘するものを見いだすと、何かうれしい気持ちになる。

注1:更新審査、再認証審査は、その後に始まった。

藤井 敏雄

是正処置はこう使う

長年、審査活動を通して感じてきたことであるが、これまで多くの企業においてこの是正処置という改善活動が上手に活用してこなかったため、残念ながら、業績向上に結びついていないのが実状である。

データが古いが、JABのアンケート調査(2007年)でも「不適合の是正処置が表面的なものに終わっている」と多くの企業自身が不満をもっていることが報告されている。これは、真の原因が特定されていないため、再発防止策にならず、また同じような問題が発生してしまうという悪循環を繰り返してきた。

これには、2つの大きな原因があると考えられる。

一つは、製品という成果物に不具合が発生し、その不具合の真の原因を特定する場合、その成果物が材料(Material)、手順(Method)、機械(Machine)、作業者(Man)など4Mの関わりあいを持ちながら造られてくる。

仮にその成果物に不具合があれば、原因を究明していくときには当然その4Mに起因した要因系にその原因がないかどうかを「なぜなぜ分析」などにより辿っていくことになる。

その結果、真の原因らしきものが4つの要因系から複数出てきて当然である。複数の再発防止策を講ずることにより不具合問題を恒久的に改善することが可能になる。

しかし、実際には、4Mの内の作業者(Man)の要因系しか考慮せずに、ヒューマンエラーが唯一の原因であるかのように片づけてしまう企業があまりにも多いことである。

もう一つの原因は、この4Mの要因系それぞれにおいて、分析が不十分なために真の原因を捉えきれていないためである。

それは、一つの要因系に着目して、なぜなぜ分析を行う場合、例えば、二次分析の段階で、得られた分析結果が即、対策に結びつくような原因が炙り出されていない場合には、その得られた仮の原因を結果系に置き換えて、更に、何故、そのような結果になったかの原因を追究していかなければならないが、中途半端で終わっているケースである。

対策に結びつくような原因が炙り出されるところまでなぜなぜ分析を三次、四次と展開し、見えてきたらそこで分析を打ち切ればよい。

そうすれば、自ずと対策が見えてくるはずである。

是正処置とは、顕在化した故障や不具合に対して事後的に応急処置と恒久対策を施して同じ原因によるエラーを二度と発生さないよう処理する活動である。

いわゆる再発防止対策が効果的に歯止めとしての役割を担っている状態を維持・管理する仕組みや手順を標準化(必要であれば文書化)することになる。

そして、その仕組みや手順が定着したと判断できるところまで見届けて初めてその効果を確認したことになる。

このようにプロセス、仕組みが定着することにより、それを拠りどころとして、次なる改善活動が初めて可能となる。

こうして是正処置の積み重ねにより業績向上が期待できるはずである。

「審査の話」:手順について【ISO9001】

審査が終わって、報告書を作成するにあたり、管理責任者の確認を毎回、行っている。確認が終わって、管理責任者の審査に対する疑問や品質マネジメントシステム(QMS)に関する疑問等を聞くことにしている。

いくつかの顧客では、次のような疑問があった。
「QMSを軽くしたい、どのようにしたらいいか」と聞かれる。
「“軽くする”とは、どんなことですか。」
「QMSの手順が重い、手順、規定が多すぎる」と前回及び前々回の審査員から言われているのです」
「そうですか、それでどうしているのですか」
「社内で検討しているのですが、どの規定をなくしたらよいのか、どの規定を簡略化したらよいのか、わからないのです。」
「審査員が指摘したのであれば、審査員に聞いてみればよいのではないですか。」
「審査員に聞いたのですが、審査員はコンサルをしてはいけないことになっている、皆さんで検討して下さい、と言われているのです。」
「無責任な審査員ですね」

このような会話のあとに、次のように話した。
1.手順、規定類は、組織の文化、風土に従って、作成されたものであり、審査員が、重い・軽いとは、いえないものである。もし手順、規定類に不適合があり、改善事項があれば、具体的に指摘すればよいのではないか。
2.手順は、ISO9000:2015では、次のように定義している。
手順(procedure):活動又はプロセス(3.4.1)を実行するために規定された方法。
注記 手順は、文書にすることもあれば、しないこともある。

活動又はプロセスを実行するために規定された方法であり、それは、下記のようなものがある。
a)文書で書かれた規定類
b)プロセスフロー
c)活動するための計画書及び活動結果を記録する様式類
d)コンピュータシステム
e)手順を教育するためのテキスト類
f)OJTの結果、又は組織内の慣習

これらを考慮して、組織ではどのような手段が、要員に対して教育し、理解させ、実行しやすいかを考えて、手順の文書化の程度を決めていけばよいのではないか、と話すことにしている。
文書のみでは、わかりぬくい面があれば、見える化で、プロセスフローでもよい。計画書・記録の様式であってもよいのではないか。ある組織では、コンピュータシステムに従い実施すれば、適切な結果を出せる仕組みを構築しているものがあり、当然活動の結果もコンピュータシステムに自動的に入力されるシステムを構築している例がある。教育を受け、習熟したもののみがラインで作業している場合、教育テキストが規定・手順となっている。
このように考えて、文書化した規定類だけでなく、柔軟に手順について、規定を上記の中から、組織に適したものを選んでいけばよいのではないか。

土地条件図を使わなくても地盤の強弱はわかる!?

前回、土地条件図を使って地盤を調べるという方法をご紹介しました。
これは非常に有用な方法なのですが、一部地盤までは掲載されていないと思われる地域もあるようです。
そのような地域では使用することができませんし、使うのは面倒という方もいらっしゃるでしょう。

では他に方法がないのかというと、そうでもありません。
非常に簡単な方法で、ある程度知ることが出来ます。

そのやり方とは・・・地名をチェックすることです。
あまりご存じないかもしれませんが、実は地名は地域災害と密接に関わっていることが少なくありません。
市町村合併等でカッコいい名称に変更していたりすると分からなくなってしまいますが、そうでない地域は、地名をみればある程度推測が出来ます。
特に、水害と関係のある地域は、昔の方がそれを連想できる地名にしていることが多いのです。

水、川、沢、沼、池、谷・・・等々、水にまつわる地名がつけられている地域は、多くが水害も気をつけたほうが良い地域です。
水を連想させる橋なども要注意ですね。
近くにありませんか?
そういう地名。
近くに川(例:鶴川)があったり、池を埋め立てた場所だったり(例:池袋)、そういう場所は、比較的地盤が弱いことが多いです。

他にも、柿のように、欠きの当て字という形でつけられていることもあります。
※柿の場合、本当に柿がよく取れるため柿となっている場合もあります。
吉もそうですね。
葦の当て字にされていることがあります(例:吉原)。

最近はコンクリートで埋められていて分からなくなってしまいましたが、地面の土や岩の種類や植物の植生からもある程度知ることが可能です。
例えば、昔は柳といえば、川沿いに植えられていたものです。
これは、柳が水をより必要とする植物であるためといわれています。
だから、柳の下に蛙がいたりするわけです。

地名では分からなくなったところでも、神社である程度分かることもあります。
東工大の桑子先生の研究で、東日本大震災の際、国津神系の神様を祀っている神社は、天津神系の神様を祀っている神社より被害が少なかった(というよりほとんどなかった)という論文があります。
国津神(特にスサノオ:治水工事をする集団が祀っていたといわれている)を祀ってある神社が近くにある場所は、比較的安全だといえるようです。
このようなところからも、ある程度推測が可能です。

このように、ちょっとしたことでも知っていれば、出先での災害チェックに役に立つかもしれません。
ちょっと気にしてもらえれば幸いです。

地盤の強弱を調べる方法

6月に入り、いよいよ梅雨のシーズンになりました。
東京も平年並みの6月7日頃に入梅したようで、不安定な天候となっています。
今年の梅雨はどうなるのでしょうか。
空梅雨にならなければ良いですが・・・

その逆に大雨で河川が氾濫したり、土石流で家が倒壊したりするのも困りものです。
今から充分に備えておく必要があります。
水に対して、思いの外打てる手が少ないですが、土嚢袋の準備や長靴の用意はしておいた方が良いでしょう。

とろこで、河川の氾濫等で被害を受けやすいところというのは、どのように調べたら良いでしょうか。
基本的には、地盤を調べたいですよね。
川のすぐそばは当然ですが、現在の土地を見ただけでは分からない、意外なところも被害を受ける場合があります。
特に地すべりなどは、その傾向が強いように思います。
こういうのは、地盤を調べると分かることが多いです。

このような場合、真っ先に思いつくのは古地図ではないでしょうか。
ブラタモリでもよく出てくるアレですね。
確かに古地図は大変参考になるものです。
しかし、なかなか手に入りづらいですし、読むのもなかなか手間です。

そこでお勧めしたいのが、国土地理院の土地条件図です。
何かテレビショッピングみたいですが、国土交通省に置かれている機関なので、サイトは無料で閲覧できます。
安心して閲覧してください。

土地条件図
http://www.gsi.go.jp/kikaku/

こちらのサイトに入り、
・土地条件図の閲覧
という文言をクリックして、調べたい市町村を入力すれば、地図が出てきます。

地図の中で、表示用凡例を見ながら分類を確認すれば、水害にあい易いかどうか、判断がつくでしょう。
例えば、河川のそばで土を盛っていて、などという地域は、水害に対して、他の地域より神経を使う必要があります。

表示用凡例
http://cyberjapan.jp/legend/lcm25k_2012/lc_legend.html

この土地条件図は、地震の際、被害にあい易いかにも使うことが出来ます。
地震の揺れやすさや耐性などは、地盤の強さと非常に密接な関係があります。
水が出やすいところは、地震の際も被害が大きくなりやすいので、注意する必要があるでしょう。

土地条件図は、無料で簡単に地盤を調べることができるので、大変便利です。
皆様も、ぜひ一度ご確認ください。
不動産の購入を検討されている方も、その地域を調べてみることをお勧めします。

改正個人情報保護法が施行されました

昨日、平成29年5月30日、改正個人情報保護法が施行されました。
主な改正点は以下の通りです。

1.定義の明確化
顔認識データなどが個人情報にあたることが明確化されるなど、定義が明確化しました。
また、要配慮個人情報(人種、信条、病歴等)については、原則として本人の同意を得る必要があるなど、より個人情報の保護がなされるようになっています。

2.適切な規律の下で個人情報等の有用性を確保
一定のルールを設け、個人を識別することができないように加工して、これを活用することができることになりました。

3.個人情報の流通の適正さを確保
オプトアウト規定による第三者提供に一定の手続きを要求する、トレーサビリティを確保するなど、名簿屋対策を法律化しています。

4.個人情報保護委員会の創設
内閣府の外局として個人情報保護委員会(https://www.ppc.go.jp/)を創設し、立入調査等の権限を付与しています。

5.個人情報の取扱いのグローバル化
法令等により認められた方法や国、本人の同意があった場合、外国への第三者提供が可能となりました。
また、日本の居住者等の個人情報を取得した外国の個人情報取扱事業者も本法の適用を受けることとなりました。

6.請求権
本人による開示、訂正、利用の停止等の求めは、裁判所に提起できるようになりました。

事業者として特に重要なのは、5000件以下でも本法が適用され、個人情報取扱事業者として責任を負うことでしょう。
うちは個人情報はないから・・・というわけにはいきません。
従業員のマイナンバーや取引先の名刺(メールアドレス)などもあり、その管理は非常に重要になってきます。

管理者の選任やマネジメントシステムの導入も必要となってくるでしょう。
その意味では、プライバシーマークに近くなった感じがします。

事業者にとって、個人情報は情報は非常に有用でもあります。
しっかり管理して、さらなる事業の発展を期待したいところです。

本改正については、経済産業省のパンフレットが分かりやすくてお勧めです。
ぜひ一度ご覧になることをお勧めします。

個人情報の取扱いのルールが改正されます
http://www.meti.go.jp/policy/it_policy/privacy/downloadfiles/01kaiseikojinjohopamphlet.pdf

ランサムウェアについて

最近になって、ようやっとBCPやBCMという言葉が普通にビジネス用語として散見されるようになってきました。
英国規格協会は、BCMを「組織を脅かす潜在的なインパクトを認識し、利害関係者の利益、名声、ブランド及び価値創造活動を守るため、復旧力及び対応力を構築するための有効な対応を行うフレームワーク、包括的なマネジメントプロセス。」と定義しています。これは簡単にいうと、リスクを管理して、地震等の問題が発生したとき(リスクが顕在化したとき)に最小限の被害で食い止めるとともに、目標時間内にある程度復旧して事業(業務)を継続させる仕組みです。

わが国では主に地震対策をBCMと考えていることが多いようですが、リスクには地震だけではなく、落雷、雪害等の自然災害やパンデミック、テロ等様々なものがあります。
ですから、BCMは地震だけではなく、総合的にリスク対策を行う必要性があるわけです。

例えば、最近話題にあがっているランサムウェアもその一つです。
実は今年に入って急に増えたというわけではなく、昨年くらいから急激に増加しているリスクです。
ちなみに、今年の春の情報セキュリティマネジメント試験の午後問題に出題されており、独立行政法人情報処理推進機構(IPA)も注目していたことがうかがわれます。

ランサムウェアはマルウェアの一種で、以下の特徴を有しています。
・メールに添付されたファイルや記載されたURLへのクリックで感染する
・感染した端末のファイルを勝手に暗号化することによって使用できなくする
・元に戻すことと引き換えに「身代金」を要求する

また、「身代金」についても以下のような特徴があります
・「身代金」は通常ビットコインのような匿名性の高い電子マネーでの決済となる
・「身代金」は法外な金額というよりはこのくらいなら・・・と思わせる額を提示する
・支払いには期限を設け、正常な判断を失わせようとする
・支払後は復号キーが送られ、暗号化されたファイルが再び使用できるようになることが多い

以上のような、なかなかやっかいなリスクです。
払えないわけではない額の「身代金」を支払うと元に戻る(かもしれない)というのが曲者です。

ランサムウェアは広く浅く金銭を得るために、支払いがあるとファイルが開放される可能性が高いです。
しかし、そのために個人や会社の情報を相手に渡すことになるので、標的型攻撃のようなより手の込んだ攻撃をしてくる可能性があります。

また、このような攻撃をしてくる相手は、反社会的な組織であることが多く、テロ等の資金源となっていることが推測されます。
緊急性があるとしても、簡単に支払うのは考えものです。

上場企業の中でも支払ったという報道がなされていたようですが、反社会的組織への支払いだとなった場合、そのような組織への資金供与という問題も出てくる可能性がありますし、パナマ文書のように、あとで公表されることも考慮しなければなりません。
もっと慎重な対応が望まれます。

リスク管理は日頃からの対策が重要です。
これは地震でもマルウェアでも変わりません。

例えば今回のようなコンピュータウィルスの場合、
・OSやアプリケーション(特にマルウェア対策アプリ)のアップデートを怠らない
・不用意に実行ファイルをクリックしない
・メールのあて先や文章がおかしくないか確認する
・こまめにバックアップする
・可能であれば対策システムを導入、運用する
という予防策を講じ、もし不幸にしてかかってしまった場合は、
・「身代金」を要求されても支払わない
・まずは落ち着き、しかるべきところに相談する
ということを徹底すべきでしょう。

なお、ランサムウェアに関しては、ID Ransomwareというサイトがあり、こちらにサンプルを送るとウィルスの種類等を特定してくれます。
解除ツールがあればそれも表示してくれるようなので、それがあれば「身代金」を支払わなくてもファイルを復号できるかもしれません。

サイト名:ID Ransomware
https://id-ransomware.malwarehunterteam.com/?lang=ja_JP

ISO9001:2015における品質マニュアルについて

ISO9001:2015版への移行が始まってから、約1年半が経過する。
移行審査は、ようやく始まった感がする。
その中で、2015版では、品質マニュアルは、要求事項ではなくなった。しかし14001(環境マネジメントシステム)や27001(情報セキュリティマネジメントシステム)と同じく要求事項ではないが、審査機関では、品質マニュアルを暗に求めている。コンサルタントや雑誌なども品質マニュアルを作成することを推奨している。

私は、6組織の移行審査を実施した(2017年4月現在)。
規格要求事項と同じく4.1から10.3まで、そのまま書いているものが、5組織あった。
1社のみ、品質マニュアルに、文書管理やマネジメントレビュー、内部監査等の手順を書いたものがあった。

過去多くの組織は、規格の要求事項4.1から8.5.3までをそのまま書いている品質マニュアルが多かった。
今なお、それを踏襲しているようだ。
なお、後者は、品質マニュアルは作成していなかったが、審査機関から品質マニュアル又は品質マニュアル相当を再三、求められ、手順をいくつかまとめたものを品質マニュアルとして提出したと聞いた。

過去、ISO9001:2008での審査時、品質マニュアルは、どのように作成するとよいかを尋ねた。
当組織は、規格の要求事項4.1から8.5.3までをそのまま書いていた。まず最初に品質マニュアルは、読まれているかと聞いた。
すると、管理責任者以外は、読んでいないのではないかとあった。
誰のために作成しているのですかと嫌味かもしれないが、聞いてみた。
多少時間をおいて、審査機関、審査員のために作成しているのかもしれないとあった。

いや、審査員は、何回も審査に行き、規格要求事項は、頭の中にあり、そらんじているぐらいだ。
従って、皆さんが、どんな規定、手順書を作っているかを知りたい。
それも文書・記録の一覧表があり、それでわかる。審査員は、審査対象組織に対しては、専門性を付与されており、どんな文書・記録がなければならないかもわかっている。
そして、皆さんの業務がどのように進められているかもおおよそ知っている。

しかしこれらを再確認したい。それは、ISO9001:2008で、品質マニュアルに対する要求事項b)品質マネジメントシステムについて確立された“文書化された手順”又はそれらを参照できる情報、c)品質マネジメントシステムのプロセス間の相互関係に関する記述 ではないかと話した。
そして、認証登録するうえで、a)品質マネジメントシステムの適用範囲,除外がある場合には,除外の詳細、及び除外を正当とする理由(1.2参照) が必要なんですと話した。

2015版では、品質マニュアルは、要求事項ではなくなった。
それは、審査員は組織の業務内容を熟知し、文書・記録等がどうあらねばならないかを知っているからであろう。

また従来のa)は、「4.3 品質マネジメントシステムの適用範囲の決定」で、審査の中で、確認することになっている。またこの内容は、変化する4,1、4.2等を踏まえて、毎回審査することになっており、その点が従来と違っている。

このように考えた時、品質マニュアルは、必要か、不必要か、又は必要ならどのように作成すべきかを検討しなければならない。
多くの審査機関が品質マニュアルを求めている。
組織は、認証を継続していく上で、断るのは、難しい。

それで、審査機関向けに作成しては、どうだろうか。審査機関は、審査計画書を作成して、審査をすることになっている。
従って、審査計画書ができ、審査するには、どんな内容があればよいのだろうか。
それは、組織は、過去の経験からわかることだろう。

文責:藤井 敏雄(認証システム見直しセミナー講師)

事業継続マネジメント(BCM)とは、何か?

標題を正しく理解するには、事業継続に関する取り組みとは、すなわち、事業(あるいは業務)の中断や阻害を引き起こすインシデントに抗するための取り組みと言い換えることができる。そこで、まずはこのインシデントの概念を正しく理解しておく必要がある。ISO22300-用語「インシデント」の定義を見ると、

中断・阻害、損失、緊急事態又は危機になり得る又はそれらを引き起こし得る状況」

とある。

ところが、日本では、インシデントの意味をこの定義を部分的にしか捉えて(下線で示す)いないため、大規模な災害や新型インフルエンザなどの感染症の流行による操業中断等をすぐ連想してしまうが、もともとの意味はより広範な対象を含む。例えば、

 

○豪雪のため飛行機の欠航が発生した

○強風のためJR特急のダイヤに乱れが発生した

○信号のトラブルのため山手線に遅れが出ている

○各地時々発生しているサーバーダウン

○銀行のATMが時々システムダウンする

これらは、主にサービス産業分野で発生するインシデントである。

 

モノづくりの現場の例では

○材料の混合比を間違えて投入したため、ロット不良が発生した

○材料のグレードを下げたため、やはり製品バラツキが大きくなり、品質低下を招いた

○検査漏れに気づかずに出荷したため、クレームが多発した

○製造工程で作業効率の悪いプロセスがあり、生産性向上のネックになっていた

 

これらの例からも分かるように、事業の中断・阻害を引き起こすインシデントには、災害・事故・インフラ障害等、さまざまな操業中断・障害・トラブル・サービス停止等に繋がる事態を対象として考える必要がある。

従って、事業継続に関する取り組みを規定し、運用管理するプロセス、すなわち、事業継続マネジメント(BCM)は、必ずしも大規模な災害のような重大リスクに限らず、より広汎な事業(製造及びサービス提供)の中断・阻害・障害・トラブルを招き得る事態を対象に事業継続に関わるリスクを想定しないといけない。実際に、事業継続マネジメントをISO22301による用語の定義3.4で確認すると、

組織への潜在的な脅威、及びそれが顕在化した場合に引き起こされる可能性がある事業活動への影響を特定し、主要なステークホルダの利益、組織の評判、ブランド、及び価値創造の活動を効果的な対応のための能力を備え、組織のレジリエンスを構築するための枠組みを提供する包括的なマネジメントプロセス」

と定義されている。

このように、大規模な災害のような重大リスクとか、事業の中断・阻害を引き起こすインシデントという限定的にリスクを捉えていない。すなわち、「組織への潜在的な脅威、それが顕在化した場合に引き起こされる可能性がある事業活動への影響を特定し、・・」の部分は、「組織を取り巻く脅威(リスク)が潜在的か、または顕在化したかを問わず、組織の事業活動に及ぼす影響を特定し、・・」というように組織の事業活動に影響を及ぼす脅威(リスク)はすべて対象として扱い、脅威(リスク)に対して利害関係者への利益確保、組織の評判やブランド力の向上のための効果的な対応力の強化を図ることはもとより、さまざまな脅威(リスク)に対する抵抗力(レジリエンス)を予め構築するための枠組みを提供する包括的なマネジメントプロセスである。と解釈できる。

 

一方、ISO9001規格による品質マネジメントシステムは、組織の事業活動を主に品質に着目して構築されたシステムである。このシステムは、主に平常時における事業活動を対象に意図した結果が得られるよう構築されている。

そこで、次回には、「レジリエンスを強化した品質マネジメントシステムの必要性」について、その考えを述べてみたい。

*QMSの「意図した結果」とは、ISO9001:2015年版の箇条1の適用範囲で示されている

  1. 顧客要求事項及び法令・規制要求事項を満たした製品及びサービスを一貫して提供する、と
  2. 顧客満足の向上、のことである。
特定非営利活動法人日本BCM協会