QMSのよくある疑問に答えます

QMSことISO9000審査員資格受験のために研修を受け、情報を集め…その最中によく見かけた質問にお答えしてみようと思います。
唸れ我が研鑽の成果！

Q1.QMS（ISO 9000・9001）とISMS（ISO 27001）はどう違うの？
A1.規格の対象となる組織活動が異なります。
QMS（ISO 9000・9001）は「生産活動に関するプロセスと品質」の規格です。人材育成、購買、開発製造、販売、クレーム管理などの各業務に対して、問題が起こったときに原因の発生までさかのぼれるようにする（トレーサビリティ）観点から、「誰が何を行い、誰がそれを承認するか・何を以てその証跡とするか(=プロセス）」のルールを明文化し組織として管理運用しましょうというものです。

ISMS（ISO 27001）は「組織の情報セキュリティ」についての規格です。人材育成、購買、開発製造、販売、クレーム管理などの各業務のうち、アクセス権管理のような情報セキュリティが絡んでくる部分に対し、情報の機密性（＝権限のない者に使用させない・開示しない）・完全性（＝最新かつ正確な情報を提供する）・可用性（=権限を持つ者がその情報をいつでも利用できる状態になっている）の観点から、ルールを明文化し組織として管理運用しましょうというものです。

実際には、組織活動の大枠に関する全社規定をQMSに則って作り、うち情報セキュリティに関わる部分をISMSに則って詳細化するといったような運用も行われています。

余談ですが、ISMSにはISO 27017とISO 27018という２つの補完規格があります。
ISO 27017はクラウドサービスを提供する事業者がメインターゲットのセキュリティについての規格です。クラウドサービスを利用する事業者が取得することも可能です。
ISO 27018はISO 27017の対象事業者の中でも個人情報を扱うクラウドサービスの提供事業者を対象とした規格です。

Q2.QMSを取得すると、書類は全て紙で保存しなきゃいけないのでしょう？
A2.誤解です（140デシベル）！
QMS(JIS Q 9001:2015)では「プロセスの運用を支援するための文書化した情報を維持する事」並びに「プロセスが計画どおりに実施されたと確信するための文書化した情報を保持する事」としています。「文書を必ず紙で保存しろ」とは一言もありません。つまり、組織にとってそれが必要ならば、組織内の文書管理に関する規則を改訂し、管理方法を紙から電子媒体に切り替える事もできるのです。
どの文書を電子化しどの文書を紙運用にしておくかの判断は、関連法規並びに他に取得している認証（ISO14000やISMS、Pマークなど）との兼ね合いですね。
実際、筆者がかつて所属していた企業も、2000年代半ばのオフィス移転を機に、文書管理を紙媒体から原則電子媒体に切り替えました。

Q3.でもQMS（ISO 9001)って形骸化して時代遅れなのでしょう？
A3.誤解です（140デシベル再び）！
QMSに限らず、ISOの各規格は概念として普遍的かつ汎用的に作られています。また、時勢の変化や技術の進歩に合わせ、定期的に見直しが行われています。

では、なぜ「形骸化する」と言われるのでしょうか。これは、仕組みを運用開始してから年月が過ぎ、仕組みが想定している企業活動と実際の企業活動の間にズレが生じたけれど仕組みの見直しをしていないケースと考えられます。業務繁忙期が仕組みを運用開始した頃と変わったけれど、社内規定の見直しを行わなかったので内部監査の実施が業務繁忙期と重なり、監査指摘対応が後回しになり続けるなどです。

忘れられがちなのですが、QMSに限らず、ISMSもPマークも仕組みを作り認証を取得するのは手段であって目的ではありません。

導入した仕組みを定期的にチェックし、企業活動の実態とズレが出てきていたら仕組みも運用も見直すべきところは見直し…のPDCAサイクルを回し続け、顧客満足度向上につなげ、企業活動（事業）を継続させる…認証取得はある意味PlanでありCheckです。

ならばDoとActionに必要なのは…？

それは組織を構成するメンバー一人々々が「この結果につなげるために、この作業が必要だ」と認識し作業する…動機付けであると筆者は考えます。

Q4.システム開発に関わってくるISOシリーズは他にどんなものがありますか？
A4.一例をあげますと、このあたりです。
ISO 12207：ソフトウェアライフサイクルプロセスを定めた規格
ISO 27032：サイバーセキュリティガイドライン
ISO 27033：情報技術ネットワークに関するセキュリティマネジメントシステム
ISO 27034：アプリケーションセキュリティに関する管理策
ISO 20246：ソフトウェア及びシステム開発における作業生産物のレビューのプロセスに関する規格
ISO 29119：ソフトウェアテスト規格

このうち、ISO 29119はJSTQBという団体がテスト技術者資格試験を主催しています。

今回はこのあたりで。

次回配信は4月7日（木）を予定しております。お楽しみに！

プロフィール

柴山智子

品質管理・保証分野で経験を積み、2020年にキャリッジリターンに入社。座右の銘は「情けは人のためならず」、好きな技術はMicrosoft PowerPlatformとサイボウズkintoneなお茶と日本酒をこよなく愛する40代。
JRCAに2022年3月にＱMS審査員補、2023年5月にISMS審査員補として登録受理されました。
更なる研鑽を積むためにQMS・ISMSのお仕事募集中です。

最新の投稿

この著者の記事一覧

• フィロソフィ2022年11月10日どちらがお得？
• フィロソフィ2022年3月24日QMSのよくある疑問に答えます
• 未分類2022年3月10日次回配信は3月17日（木）です。
• フィロソフィ2021年5月27日ノーコード/ローコードアプリ開発にまつわるあれこれ・前編