カテゴリー: BCM通信

私は、ISO9000の審査員を1995年から行っている。1994年版が出た直後であった。94年版から審査を始めた。審査では、登録認証（登録審査）、維持認証（定期審査）（注１）を通して、適合性を見ていた。不適合を見つけることが楽しみであったかもしれない。その後、2000年改訂を経験し、審査員として、考え方が変わってきた。それは、不適合を摘出することも大事だが、受審組織が審査を受けて、良かったと感じるかどうかを考え始めた。それは、要求事項に書かれた文言だけの審査からの脱皮を意味していた。いやいや文言の解釈には、受審組織、審査員により、異なるものがあった。

94年版の審査は、簡単であった。要求事項どおりであればよかった。箇条に従って審査すればよかった。文言も同じものを要求していた。しかし00年版から、受審組織の文化、風土を尊重し、言葉も受審組織の言葉を使っていこうとなった。審査方法も顧客の業務の進め方、プロセスに従って行う、プロセス審査となり、規格要求事項の箇条どおりではなくなった。このような中で、「受審組織が審査を受けて良かった」と感じるには、どうしたらよいかを考え始めた。審査方法が変わり、容易に結論は出なかった。審査員として、顧客が実施している内部監査を見ることは、手短な効果を上げるものだと考えた。

どこの受審組織も内部監査は、実施している。いや9001:87から今も9001:2015でも内部監査は、必須であり、内部監査を実施していないと審査を受けられないものである。私は、内部監査の効果は、内部監査の目的設定にあると考え、受審組織がどのように目的を設定しているかを見ていった。大きな組織では、ISO9001:2015要求事項と同じく、
a) 次の事項に適合している。
1) 品質マネジメントシステムに関して，組織自体が規定した要求事項
2) この規格の要求事項
b) 有効に実施され，維持されている。
をそのまま記述しているものが多かった。中小企業では、コンサルタントから言われて、目的を、「定期監査」と記述しているものが多かった。また監査の目的を書いていない受審組織もあった。

内部監査の目的について、何も書いていないのは、論外かもしれないが、審査を受けるにあたり、規格が要求しているから、実施しているのだと言わんばかりの受審組織があった。
内部監査の目的を「定期監査」としているのは、監査の種類を表すものであり、目的ではないと説明し、上記ISO9001:2015と同じくａ）、ｂ）が目的を示していると説明した。監査計画書で、上記ａ）、ｂ）を記述している受審組織には、適合性は、登録審査、移行審査にて、概略、クリアしているのではないか。適合していることを確認する、いや不適合を見つけることを目的にして、効果が上がるだろうか、被監査部署は、いい感じがするだろうかと疑問を投げかけた。そして、ｂ）の「有効に実施され、維持されている」とは、どんなことだろうかと議論していった。

時間の経過とともに、ものごとをなしていく、受注の獲得、設計、製造及び品質保証を通して結果を出すために、やり方（手順）、設備、人、材料、評価等４Ｍ，５Ｍは変わっていくでしょう。その変化に品質マネジメントシステムが対応しているかを見ていく必要があるのではないだろうか、と話した。また逆に他社や業界の変化から自社の立ち位置を確認し、４Ｍ，５Ｍを変更することを促し、品質マネジメントシステムをスパイラルアップしていくのも必要ではないか　と話した。これらについて、受審組織の了解を得た。

更にａ）の適合性については、9001規格要求事項及び社内で規定した要求事項等をそのまま箇条通り確認して効果が上がるだろうかと話し、プロセス審査なので、業務の流れ、ものの流れに従って確認していくと良いと話した。規定と現実の相違については、議論し、多分規定に無理があるのではないかと話し、不適合にするのではなく、手順ほかの改善につなげてはどうかと話した。更に顧客クレームや内部、外部で発生した不具合、不適合について、横展開、規定と現実を再確認し、よりよい４Ｍ、５Ｍにするよう改善を見いだす監査にしたらどうかと提案した。

このような審査をしていく中で、内部監査の目的をただ、ａ）、ｂ）と書くのではなく、更に具体的に、目的を狭小化することにより、効果が上がるのではないかと話してきた。例えば、○○のトラブルの発生により、手順、設備、人、材料、評価等をどのように見直したか（他部署の確認を含む）、それは、次の△年に耐えられるか　と書いたらどうかと話してきた。受審組織で、これを実践しているところは、内部監査で被監査部門から喜んで受けるようになり、効果が上がってきていると聞いている。更に他の審査員がこれを見習い、内部監査の目的が具体的になっていないと改善の機会に指摘するものを見いだすと、何かうれしい気持ちになる。

注１：更新審査、再認証審査は、その後に始まった。

藤井　敏雄

審査が終わって、報告書を作成するにあたり、管理責任者の確認を毎回、行っている。確認が終わって、管理責任者の審査に対する疑問や品質マネジメントシステム（ＱＭＳ）に関する疑問等を聞くことにしている。

いくつかの顧客では、次のような疑問があった。
「ＱＭＳを軽くしたい、どのようにしたらいいか」と聞かれる。
「“軽くする”とは、どんなことですか。」
「ＱＭＳの手順が重い、手順、規定が多すぎる」と前回及び前々回の審査員から言われているのです」
「そうですか、それでどうしているのですか」
「社内で検討しているのですが、どの規定をなくしたらよいのか、どの規定を簡略化したらよいのか、わからないのです。」
「審査員が指摘したのであれば、審査員に聞いてみればよいのではないですか。」
「審査員に聞いたのですが、審査員はコンサルをしてはいけないことになっている、皆さんで検討して下さい、と言われているのです。」
「無責任な審査員ですね」

このような会話のあとに、次のように話した。
１．手順、規定類は、組織の文化、風土に従って、作成されたものであり、審査員が、重い・軽いとは、いえないものである。もし手順、規定類に不適合があり、改善事項があれば、具体的に指摘すればよいのではないか。
２．手順は、ISO9000:2015では、次のように定義している。
手順（procedure）：活動又はプロセス（3.4.1）を実行するために規定された方法。
注記　手順は、文書にすることもあれば、しないこともある。

活動又はプロセスを実行するために規定された方法であり、それは、下記のようなものがある。
a)文書で書かれた規定類
b)プロセスフロー
c)活動するための計画書及び活動結果を記録する様式類
d)コンピュータシステム
e)手順を教育するためのテキスト類
f)ＯＪＴの結果、又は組織内の慣習

これらを考慮して、組織ではどのような手段が、要員に対して教育し、理解させ、実行しやすいかを考えて、手順の文書化の程度を決めていけばよいのではないか、と話すことにしている。
文書のみでは、わかりぬくい面があれば、見える化で、プロセスフローでもよい。計画書・記録の様式であってもよいのではないか。ある組織では、コンピュータシステムに従い実施すれば、適切な結果を出せる仕組みを構築しているものがあり、当然活動の結果もコンピュータシステムに自動的に入力されるシステムを構築している例がある。教育を受け、習熟したもののみがラインで作業している場合、教育テキストが規定・手順となっている。
このように考えて、文書化した規定類だけでなく、柔軟に手順について、規定を上記の中から、組織に適したものを選んでいけばよいのではないか。

前回、土地条件図を使って地盤を調べるという方法をご紹介しました。
これは非常に有用な方法なのですが、一部地盤までは掲載されていないと思われる地域もあるようです。
そのような地域では使用することができませんし、使うのは面倒という方もいらっしゃるでしょう。

では他に方法がないのかというと、そうでもありません。
非常に簡単な方法で、ある程度知ることが出来ます。

そのやり方とは・・・地名をチェックすることです。
あまりご存じないかもしれませんが、実は地名は地域災害と密接に関わっていることが少なくありません。
市町村合併等でカッコいい名称に変更していたりすると分からなくなってしまいますが、そうでない地域は、地名をみればある程度推測が出来ます。
特に、水害と関係のある地域は、昔の方がそれを連想できる地名にしていることが多いのです。

水、川、沢、沼、池、谷・・・等々、水にまつわる地名がつけられている地域は、多くが水害も気をつけたほうが良い地域です。
水を連想させる橋なども要注意ですね。
近くにありませんか？
そういう地名。
近くに川（例：鶴川）があったり、池を埋め立てた場所だったり（例：池袋）、そういう場所は、比較的地盤が弱いことが多いです。

他にも、柿のように、欠きの当て字という形でつけられていることもあります。
※柿の場合、本当に柿がよく取れるため柿となっている場合もあります。
吉もそうですね。
葦の当て字にされていることがあります（例：吉原）。

最近はコンクリートで埋められていて分からなくなってしまいましたが、地面の土や岩の種類や植物の植生からもある程度知ることが可能です。
例えば、昔は柳といえば、川沿いに植えられていたものです。
これは、柳が水をより必要とする植物であるためといわれています。
だから、柳の下に蛙がいたりするわけです。

地名では分からなくなったところでも、神社である程度分かることもあります。
東工大の桑子先生の研究で、東日本大震災の際、国津神系の神様を祀っている神社は、天津神系の神様を祀っている神社より被害が少なかった（というよりほとんどなかった）という論文があります。
国津神（特にスサノオ：治水工事をする集団が祀っていたといわれている）を祀ってある神社が近くにある場所は、比較的安全だといえるようです。
このようなところからも、ある程度推測が可能です。

このように、ちょっとしたことでも知っていれば、出先での災害チェックに役に立つかもしれません。
ちょっと気にしてもらえれば幸いです。

昨日、平成29年5月30日、改正個人情報保護法が施行されました。
主な改正点は以下の通りです。

１．定義の明確化
顔認識データなどが個人情報にあたることが明確化されるなど、定義が明確化しました。
また、要配慮個人情報（人種、信条、病歴等）については、原則として本人の同意を得る必要があるなど、より個人情報の保護がなされるようになっています。

２．適切な規律の下で個人情報等の有用性を確保
一定のルールを設け、個人を識別することができないように加工して、これを活用することができることになりました。

３．個人情報の流通の適正さを確保
オプトアウト規定による第三者提供に一定の手続きを要求する、トレーサビリティを確保するなど、名簿屋対策を法律化しています。

４．個人情報保護委員会の創設
内閣府の外局として個人情報保護委員会（https://www.ppc.go.jp/）を創設し、立入調査等の権限を付与しています。

５．個人情報の取扱いのグローバル化
法令等により認められた方法や国、本人の同意があった場合、外国への第三者提供が可能となりました。
また、日本の居住者等の個人情報を取得した外国の個人情報取扱事業者も本法の適用を受けることとなりました。

６．請求権
本人による開示、訂正、利用の停止等の求めは、裁判所に提起できるようになりました。

事業者として特に重要なのは、5000件以下でも本法が適用され、個人情報取扱事業者として責任を負うことでしょう。
うちは個人情報はないから・・・というわけにはいきません。
従業員のマイナンバーや取引先の名刺（メールアドレス）などもあり、その管理は非常に重要になってきます。

管理者の選任やマネジメントシステムの導入も必要となってくるでしょう。
その意味では、プライバシーマークに近くなった感じがします。

事業者にとって、個人情報は情報は非常に有用でもあります。
しっかり管理して、さらなる事業の発展を期待したいところです。

本改正については、経済産業省のパンフレットが分かりやすくてお勧めです。
ぜひ一度ご覧になることをお勧めします。

個人情報の取扱いのルールが改正されます
http://www.meti.go.jp/policy/it_policy/privacy/downloadfiles/01kaiseikojinjohopamphlet.pdf

最近になって、ようやっとBCPやBCMという言葉が普通にビジネス用語として散見されるようになってきました。
英国規格協会は、BCMを「組織を脅かす潜在的なインパクトを認識し、利害関係者の利益、名声、ブランド及び価値創造活動を守るため、復旧力及び対応力を構築するための有効な対応を行うフレームワーク、包括的なマネジメントプロセス。」と定義しています。これは簡単にいうと、リスクを管理して、地震等の問題が発生したとき（リスクが顕在化したとき）に最小限の被害で食い止めるとともに、目標時間内にある程度復旧して事業（業務）を継続させる仕組みです。

わが国では主に地震対策をBCMと考えていることが多いようですが、リスクには地震だけではなく、落雷、雪害等の自然災害やパンデミック、テロ等様々なものがあります。
ですから、BCMは地震だけではなく、総合的にリスク対策を行う必要性があるわけです。

例えば、最近話題にあがっているランサムウェアもその一つです。
実は今年に入って急に増えたというわけではなく、昨年くらいから急激に増加しているリスクです。
ちなみに、今年の春の情報セキュリティマネジメント試験の午後問題に出題されており、独立行政法人情報処理推進機構（IPA）も注目していたことがうかがわれます。

ランサムウェアはマルウェアの一種で、以下の特徴を有しています。
・メールに添付されたファイルや記載されたURLへのクリックで感染する
・感染した端末のファイルを勝手に暗号化することによって使用できなくする
・元に戻すことと引き換えに「身代金」を要求する

また、「身代金」についても以下のような特徴があります
・「身代金」は通常ビットコインのような匿名性の高い電子マネーでの決済となる
・「身代金」は法外な金額というよりはこのくらいなら・・・と思わせる額を提示する
・支払いには期限を設け、正常な判断を失わせようとする
・支払後は復号キーが送られ、暗号化されたファイルが再び使用できるようになることが多い

以上のような、なかなかやっかいなリスクです。
払えないわけではない額の「身代金」を支払うと元に戻る（かもしれない）というのが曲者です。

ランサムウェアは広く浅く金銭を得るために、支払いがあるとファイルが開放される可能性が高いです。
しかし、そのために個人や会社の情報を相手に渡すことになるので、標的型攻撃のようなより手の込んだ攻撃をしてくる可能性があります。

また、このような攻撃をしてくる相手は、反社会的な組織であることが多く、テロ等の資金源となっていることが推測されます。
緊急性があるとしても、簡単に支払うのは考えものです。

上場企業の中でも支払ったという報道がなされていたようですが、反社会的組織への支払いだとなった場合、そのような組織への資金供与という問題も出てくる可能性がありますし、パナマ文書のように、あとで公表されることも考慮しなければなりません。
もっと慎重な対応が望まれます。

リスク管理は日頃からの対策が重要です。
これは地震でもマルウェアでも変わりません。

例えば今回のようなコンピュータウィルスの場合、
・OSやアプリケーション（特にマルウェア対策アプリ）のアップデートを怠らない
・不用意に実行ファイルをクリックしない
・メールのあて先や文章がおかしくないか確認する
・こまめにバックアップする
・可能であれば対策システムを導入、運用する
という予防策を講じ、もし不幸にしてかかってしまった場合は、
・「身代金」を要求されても支払わない
・まずは落ち着き、しかるべきところに相談する
ということを徹底すべきでしょう。

なお、ランサムウェアに関しては、ID Ransomwareというサイトがあり、こちらにサンプルを送るとウィルスの種類等を特定してくれます。
解除ツールがあればそれも表示してくれるようなので、それがあれば「身代金」を支払わなくてもファイルを復号できるかもしれません。

サイト名：ID Ransomware
https://id-ransomware.malwarehunterteam.com/?lang=ja_JP

ISO9001:2015版への移行が始まってから、約１年半が経過する。
移行審査は、ようやく始まった感がする。
その中で、2015版では、品質マニュアルは、要求事項ではなくなった。しかし14001（環境マネジメントシステム）や27001（情報セキュリティマネジメントシステム）と同じく要求事項ではないが、審査機関では、品質マニュアルを暗に求めている。コンサルタントや雑誌なども品質マニュアルを作成することを推奨している。

私は、６組織の移行審査を実施した（2017年4月現在）。
規格要求事項と同じく4.1から10.3まで、そのまま書いているものが、５組織あった。
１社のみ、品質マニュアルに、文書管理やマネジメントレビュー、内部監査等の手順を書いたものがあった。

過去多くの組織は、規格の要求事項4.1から8.5.3までをそのまま書いている品質マニュアルが多かった。
今なお、それを踏襲しているようだ。
なお、後者は、品質マニュアルは作成していなかったが、審査機関から品質マニュアル又は品質マニュアル相当を再三、求められ、手順をいくつかまとめたものを品質マニュアルとして提出したと聞いた。

過去、ISO9001:2008での審査時、品質マニュアルは、どのように作成するとよいかを尋ねた。
当組織は、規格の要求事項4.1から8.5.3までをそのまま書いていた。まず最初に品質マニュアルは、読まれているかと聞いた。
すると、管理責任者以外は、読んでいないのではないかとあった。
誰のために作成しているのですかと嫌味かもしれないが、聞いてみた。
多少時間をおいて、審査機関、審査員のために作成しているのかもしれないとあった。

いや、審査員は、何回も審査に行き、規格要求事項は、頭の中にあり、そらんじているぐらいだ。
従って、皆さんが、どんな規定、手順書を作っているかを知りたい。
それも文書・記録の一覧表があり、それでわかる。審査員は、審査対象組織に対しては、専門性を付与されており、どんな文書・記録がなければならないかもわかっている。
そして、皆さんの業務がどのように進められているかもおおよそ知っている。

しかしこれらを再確認したい。それは、ISO9001:2008で、品質マニュアルに対する要求事項ｂ）品質マネジメントシステムについて確立された“文書化された手順”又はそれらを参照できる情報、ｃ）品質マネジメントシステムのプロセス間の相互関係に関する記述　ではないかと話した。
そして、認証登録するうえで、ａ）品質マネジメントシステムの適用範囲，除外がある場合には，除外の詳細、及び除外を正当とする理由（１.２参照）　が必要なんですと話した。

2015版では、品質マニュアルは、要求事項ではなくなった。
それは、審査員は組織の業務内容を熟知し、文書・記録等がどうあらねばならないかを知っているからであろう。

また従来のａ）は、「4.3 品質マネジメントシステムの適用範囲の決定」で、審査の中で、確認することになっている。またこの内容は、変化する4,1、4.2等を踏まえて、毎回審査することになっており、その点が従来と違っている。

このように考えた時、品質マニュアルは、必要か、不必要か、又は必要ならどのように作成すべきかを検討しなければならない。
多くの審査機関が品質マニュアルを求めている。
組織は、認証を継続していく上で、断るのは、難しい。

それで、審査機関向けに作成しては、どうだろうか。審査機関は、審査計画書を作成して、審査をすることになっている。
従って、審査計画書ができ、審査するには、どんな内容があればよいのだろうか。
それは、組織は、過去の経験からわかることだろう。

文責：藤井　敏雄（認証システム見直しセミナー講師）

標題を正しく理解するには、事業継続に関する取り組みとは、すなわち、事業（あるいは業務）の中断や阻害を引き起こすインシデントに抗するための取り組みと言い換えることができる。そこで、まずはこのインシデントの概念を正しく理解しておく必要がある。ISO22300－用語「インシデント」の定義を見ると、

「中断・阻害、損失、緊急事態又は危機になり得る又はそれらを引き起こし得る状況」

とある。

ところが、日本では、インシデントの意味をこの定義を部分的にしか捉えて（下線で示す）いないため、大規模な災害や新型インフルエンザなどの感染症の流行による操業中断等をすぐ連想してしまうが、もともとの意味はより広範な対象を含む。例えば、

 

○豪雪のため飛行機の欠航が発生した

○強風のためJR特急のダイヤに乱れが発生した

○信号のトラブルのため山手線に遅れが出ている

○各地時々発生しているサーバーダウン

○銀行のATMが時々システムダウンする

これらは、主にサービス産業分野で発生するインシデントである。

 

モノづくりの現場の例では

○材料の混合比を間違えて投入したため、ロット不良が発生した

○材料のグレードを下げたため、やはり製品バラツキが大きくなり、品質低下を招いた

○検査漏れに気づかずに出荷したため、クレームが多発した

○製造工程で作業効率の悪いプロセスがあり、生産性向上のネックになっていた

 

これらの例からも分かるように、事業の中断・阻害を引き起こすインシデントには、災害・事故・インフラ障害等、さまざまな操業中断・障害・トラブル・サービス停止等に繋がる事態を対象として考える必要がある。

従って、事業継続に関する取り組みを規定し、運用管理するプロセス、すなわち、事業継続マネジメント（ＢＣＭ）は、必ずしも大規模な災害のような重大リスクに限らず、より広汎な事業（製造及びサービス提供）の中断・阻害・障害・トラブルを招き得る事態を対象に事業継続に関わるリスクを想定しないといけない。実際に、事業継続マネジメントをISO22301による用語の定義3.4で確認すると、

「組織への潜在的な脅威、及びそれが顕在化した場合に引き起こされる可能性がある事業活動への影響を特定し、主要なステークホルダの利益、組織の評判、ブランド、及び価値創造の活動を効果的な対応のための能力を備え、組織のレジリエンスを構築するための枠組みを提供する包括的なマネジメントプロセス」

と定義されている。

このように、大規模な災害のような重大リスクとか、事業の中断・阻害を引き起こすインシデントという限定的にリスクを捉えていない。すなわち、「組織への潜在的な脅威、それが顕在化した場合に引き起こされる可能性がある事業活動への影響を特定し、・・」の部分は、「組織を取り巻く脅威（リスク）が潜在的か、または顕在化したかを問わず、組織の事業活動に及ぼす影響を特定し、・・」というように組織の事業活動に影響を及ぼす脅威（リスク）はすべて対象として扱い、脅威（リスク）に対して利害関係者への利益確保、組織の評判やブランド力の向上のための効果的な対応力の強化を図ることはもとより、さまざまな脅威（リスク）に対する抵抗力（レジリエンス）を予め構築するための枠組みを提供する包括的なマネジメントプロセスである。と解釈できる。

 

一方、ISO9001規格による品質マネジメントシステムは、組織の事業活動を主に品質に着目して構築されたシステムである。このシステムは、主に平常時における事業活動を対象に意図した結果^＊が得られるよう構築されている。

そこで、次回には、「レジリエンスを強化した品質マネジメントシステムの必要性」について、その考えを述べてみたい。

＊ＱＭＳの「意図した結果」とは、ISO9001：2015年版の箇条１の適用範囲で示されている

1. 顧客要求事項及び法令・規制要求事項を満たした製品及びサービスを一貫して提供する、と
2. 顧客満足の向上、のことである。