ISO9001取得:~製造会社の場合~

_shared_img_thumb_MIMIYAKO85_gakedeosuwari20140727_TP_Vお世話になっております。ISO総合研究所のコンサルタントの鈴木です。
いつもご愛読ありがとうございます。

 

本日は「製造会社でISO9001を取得する場合」についてお話しさせていただきます。

 

まずは、どの業界・業種でもISO9001を取得するには

 

①要求事項で求められているルールを構築する

②実際に構築したルールで運用する

③審査会社による審査を受ける

 

上記3点の流れが必要になってきます。

ひとつずつ順を追ってお話ししていきましょう。

 

①要求事項で求められているルールを構築する

 

規格要求事項に対してのルール決めをしていきます。品質マニュアルやISO規程と呼ばれるものを作成する段階ですね。

下記がISO9001での適用規格であるJISQ9001:2008 の要求事項になります。

 

0.1 一般

0.2 プロセスアプローチ

0.3 JIS Q 9004 との関係

0.4 他のマネジメントシステムとの両立性

1 適用範囲

1.1 一般

1.2 適用

2 引用規格

3 用語及び定義

4 品質マネジメントシステム

4.1 一般要求事項

4.2 文書化に関する要求事項

5 経営者の責任

5.1 経営者のコミットメント

5.2 顧客重視

5.3 品質方針

5.4 計画

5.5 責任,権限及びコミュニケーション

5.6 マネジメントレビュー

6 資源の運用管理

6.1 資源の提供

6.2 人的資源

6.3 インフラストラクチャー

6.4 作業環境·

7 製品実現

7.1 製品実現の計画

7.2 顧客関連のプロセス

7.3 設計・開発

7.4 購買

7.5 製造及びサービス提供

7.6 監視機器及び測定機器の管理

8 測定,分析及び改善

8.1 一般

8.2 監視及び測定

8.3 不適合製品の管理

8.4 データの分析

8.5 改善

 

 

上記の要求事項だけ見ると、要求事項に基づいたルールを決めるのは面倒くさい、ISO9001は取得するのが大変だと思う方も多いかと思います。

しかし、ISO9001は当たり前といえば当たり前の企業活動をルール化したものなので、

要求事項の意図している内容が理解できれば「もうすでに会社でやっている」と思われることの方が遥かに多いです。ただその現状実施している内容を文書にするだけですね。

 

例えばですが、製造会社の 製品実現の1事例を上げさせていただきます。

 

受注のプロセス:お客様から使用者や図面をもらい打合せにて依頼を受ける。それを受けて見積書を発行する。

発注プロセス:見積書の結果契約が決まったら、必要な資材や材料の発注をかける。

製造プロセス:図面や仕様書を用い、社内にて予定表や工程表を作成し顧客要求通りに製品を製造する。

検査プロセス:出荷前の最終検査を実施してお客様に製品を納品する。

 

このような仕事の一覧の流れを、どのような記録を用いて実施していくのかを文章にしていくだけですね。

 

 

②実際に構築したルールで運用する

 

実際に品質マニュアルや規程が出来上がったら、その品質マニュアルルや規程に則って実際に仕事を進めていきます。これが運用と呼ばれるものです。

ただし、すでに実施している仕事の内容を基にルールを構築するものがほとんどなので、いままで通りの仕事を実施していくだけですね。一部ISO9001を取得するために新たに実施しなければならないことはあるかもしれませんが割愛させていただきますね。

 

もちろん日々の業務の流れや使用してきた記録、様式が変わることもあるかと思います。そうなると品質マニュアルや規程と実際の運用が異なってきてしまいます。そうなった場合は、品質マニュアルや規程を修正していけばいいのです。

特に内部監査時に品質マニュアルや規程類と実際の運用が異なっているか見ていけばいいですね。

 

 

③審査会社による審査を受ける

当たり前ですが、いくらマネジメントシステムを構築・運用しても審査を受けて合格(認証)をしないと、ISO9001認証取得!と掲げることができません。

実際にそのマニュアルや規程で運用した後に審査会社による審査を受けることになります。

日本だけでも約60社ほど審査会社があるといわれますが、それらの会社もISOの審査会社として認定を受けています。ISOの審査をしていいよと、厳しい審査を受けて通っているということです。また、審査会社によって審査費用は様々です。

 

ISO9001の初回の審査では2回審査を受けることになっています。

俗にいう1段階審査と2段階審査と呼ばれているものです。

1段階審査は会社が作成した品質マニュアルや規程が要求事項の内容を満たしているか、またはその仕組みが構築されているかをチェックしていきます。

その後2段階審査で、実際にその会社で作成した品質マニュアルや規程通りに運用ができているかをチェックしていきます。

特に審査にて問題がなければその後認証が完了となります。

 

 

大まかな流れになりますが上記①~③の流れでISO9001は取得できます。

 

 

ISO9001を取得したいが、ISOはまだ面倒くさいものだと思っている。

そんなことを考えている方がいらっしゃれば、ぜひお気軽に弊社までお問い合わせください。

弊社では、お客様の「ISOやPマーク(プライバシーマーク)における社内工数を限りなく0(ゼロ)に近づける」を

ミッションとし、ISO事務局としてサポートさせていただくことで、

現在1537社を超えるお客様をお手伝いさせていただいております。

 

ISO9001:2015(QMS):2015年度規格改訂 6.1項「リスク及び機会に対応するための処置」規格解釈

 

TSU863_kakigooriumai_TP_V

 

 

こんにちは、ISO総合研究所コンサルタントの藤川健太郎です。

最近はめっきり暖かくなり、エアコンを使う事が多くなってきたのではないでしょうか?

私はよくエアコンをつけ、お腹を出したまま寝てしまう事が多いので朝腹痛で起きる事が多くなってます。泣

 

そして不幸な事に生炙りレバーを食べた際にキレイに当たってしまい相乗効果な始末です。

トホホ…。

 

さて、私のお腹の事はどうでもよいとして今回はこちらです!

ISO9001:2015(QMS)(アイエスオーキュウセンイチ)の規格改訂シリーズということで今回のテーマは「ISO9001:2015(QMS):2015年度規格改訂 6.1項「リスク及び機会に対応するための処置」規格解釈」

 

まず今回の規格改定においての特徴としてマネジメントシステム規格の整合化があります。

2012年以降に改定された規格については、整合化をはかるために構造が統一されることになりました。どの規格を見ても同じ項番にあるなどです。これをハイレベルストラクチャーと呼び、複数規格の認証取得をしている場合には、統合しやすくなっています。

 

 

6.1.1 ISO9001:2015(QMS)(アイエスオーキュウセンイチ)の計画に際して、4.1の課題及び4.2の要求事項を考慮し、次の事項への対応に必要なリスク及び機会を決定する。

1)QMSがその意図した結果を達成し得ることを保証する。

2)望ましい影響を向上させる

3)望ましくない影響を防止又は低減する

4)改善を達成する

 

6.1.2 リスク及び機会に対応するために、次に示す事項を含む計画を策定する。

1)リスク及び機会への対応の処置

2)これら処置のQMS(キューエムエス)プロセスへの統合及び実施の方法、並びに処置の有効性の評価の方法

リスク及び機会への対応の処置は、製品/サービスの適合性に対する潜在的影響に見合うものとする。

 

注記1

リスクへの取組みの選択肢には,リスクを回避すること,ある機会を追求するためにそのリスクを取ること,リスク源を除去すること,起こりやすさ若しくは結果を変えること,リスクを共有すること,又は情報に基づいた意思決定によってリスクを保有することが含まれ得る。

注記2

機会は,新たな慣行の採用,新製品の発売,新市場の開拓,新たな顧客への取組み,パートナーシップの構築,新たな技術の使用,及び組織のニーズ又は顧客のニーズに取り組むためのその他の望ましくかつ実行可能な可能性につながり得る。

 

 

今回のISO9001:2015(アイエスオーキュウセンイチ:QMS)の規格改訂の一番の追加要求になります。リスク及び機会に対応するために処置をしろと要求しています。

ではリスクと機会とは何かというと、リスクは、不確かさの影響。リスクについてはイメージが沸きやすいかもしれません。

・製品の欠陥や社員の流動などの組織内部のリスク
・取引先の倒産や供給先の不祥事などの外部のリスク
・災害や景気の浮き沈みなどの社会のリスク

組織は常にさまざまなリスクにさらされています。

今回、リスクが要求事項に組み込まれたのも、これらのリスクによって顧客満足が満たせなくなるという事実を無視できなくなっているからです。

『リスク』とは『変化』のことです。
時代が変われば、これまでは問題なかったことも、大きなリスクになることがあります。

例えば、現在の社員の平均年齢を把握していますか?
現在は50歳だとしたら、このまま何もしなければ20年後には誰もいなくなります。
もちろん、20年の間に新しいスタッフが入ったりするでしょう。
しかし、今までのように雇用できるでしょうか?

これも変化の一つです。

 

一方、『機会』とは何でしょうか。
組織は真面目に製品を作って売り、内的外的にも取り立てて大きな問題はない、つまり表だったリスクはないとします。

それでも時代は変動し、顧客の望むものは刻々と変化していきます。
その時代のニーズに気付かずに顧客の『望まないもの』を提供するのは大きな機会の損失となります。

『機会』は『リスク』のように表面に表れにくいので、つい見過ごしがちです。
改正版の要求事項では、機会についても何らかの対処をすることを求めています。

そもそも、製品には「顧客が望むもの」と「顧客が望まないもの」の二つがあります。
マネジメントとは、顧客が「望むもの」と「望まないもの」を区別して、「望まないもの」を排除し、「望むもの」を適切なタイミングで提供することで顧客満足を高めていこうというものです。

望まないものを提供してしまうことが「リスク」の一部だと考え、望むものを提供することが「機会」の一部と考えるべきだと思います。

 

この二つに対応する処置を決めた計画を立てておけと要求しています。

よく見ると、文書化した情報の記載がないので、ここに文書・記録の要求はないので、審査レベルで言えば、リスク機会の対応する処置の計画は、口頭で話せればよいということです。

またこの情報が求められている要求項番としては9.3.2のマネジメントレビューのインプットです。組織の代表者への報告事項として求められており、ここで文書化した情報の保持が求められるので事実上、マネジメントレビュー記録に記載が残る形になります。

 

現在、規格改訂セミナーや実際に改定作業を行っている方もいるでしょう。

是非、ISO総合研究所のコンサルタントにご相談ください。

2013年度規格改訂 ISO27001:2013(ISMS)の継続的改善ってなんですか?

_shared_img_thumb_AL204_uwamedukai20140830153709_TP_V

 

 

 

いつもご愛読いただきありがとうございます。

ISO総合研究所コンサルタントの佐藤です。

 

そろそろ梅雨の季節ですね。

 

雨がザーザーな時期です。

洗濯物は外で干せないし、外に出かければクツは濡れてぐしゃぐしゃになってしまいます。

私の主観で言ってしまうと梅雨が好きな人、楽しんでいる人はあまりいないんじゃないかなーと思っています。

ちなみに私もそこまで梅雨は好きじゃありません(笑)

天然パーマなので梅雨の時期はいつも髪の毛がすごいことになっていることが多かったことが原因ですが(笑)

 

 

それでも子供の頃は雨の日を楽しんでいたように感じます。

新しい雨具を買った時は、雨具を早く使ってみたくて雨が降って欲しいとすら思ってましたし、雨が降ってる中でもお構いなしに無邪気に友達を走り回っていたりと、子供なりに楽しんでいました。

 

 

大人になるにつれて雨を楽しめなくなってきましたが、それも寂しいので雨を楽しめる方法を探してみようと思います。

なにかアイデアがありましたら、ぜひお知らせください(笑)

 

 

 

それはさておき、今回はISO27001:2013(ISMS)の「10.2 継続的改善」について書かせていただきます。

 

 

この継続的改善ですが、なんとなくイメージできるのは字のごとく継続的に改善していくことなんだろうなーということですね。

では、規格自体ではなんといっているのでしょうか?

 

 

10.2 継続的改善

組織は,ISMSの適切性、妥当性及び有効性を継続的に改善しなければならない。

(JIS Q 27001:2014 10.2 継続的改善 より引用)

 

 

ふむふむ、ISMSの適切性妥当性及び有効性を継続的に改善すればいいんですね!!

 

ふわっとしすぎです。ふわふわ時間ですね。

相変わらずISO(アイエスオー)の規格の条文は分かりづらいですね。

もしかしたら理解できない私の頭が残念なだけかもしれませんが・・・(笑)

 

 

それでは、規格が言っている継続的改善とはどういう意味なのでしょう。

ISO27000:2013(ISMS)で定義されている継続的改善は下記となります。

 

 

 

2.15 継続的改善

パフォーマンス(2.59)を向上するために繰り返し行われる活動。

(JIS Q 27001:2014 2 用語及び定義 より引用)

 

 

 

新たにパフォーマンスなんて言葉も出てきてしまいました。

ついでに一緒に調べてみましょう。

 

 

 

2.59 パフォーマンス

測定可能な結果。

(JIS Q 27001:2014 2 用語及び定義 より引用)

 

 

なるほどなるほど・・・

上記を組み合わせてみると、「継続的改善」とは、

 

 

『測定可能な結果を向上するために繰り返し行われる活動』

 

 

となるようです。

つまり、ISO27001:2013(ISMS)が言っている継続的改善とは、

 

 

「組織は,ISMSの適切性、妥当性及び有効性について、測定可能な結果を向上するために繰り返し行われる活動しなければならない。」

 

 

となります。

ISO27001:2013(ISMS)では、継続的に改善するものは測定可能なものでないといけないということですね。

でもまだまだ分かりづらいですね(笑)

 

 

 

では、細かく見ていきましょう。

まず、適切性という言葉からです。

つまり、ISO27001:2013(ISMS)がそれぞれの組織、会社の方針や目的にそった状態になっているか、適切か?というものです。

 

ISO27001:2013(ISMS)を構築しても、組織の方針や目的に当てはまっていなければ意味がありません。

 

 

例えば、10人規模の組織で1000人規模のマネジメントシステムを構築し運用していては、その組織に適していないマネジメントシステムと言えます。

 

 

次は妥当性についてです。

 

 

妥当性については、ISO27001:2013(ISMS)の要求事項を組織のマネジメントシステムが満たしているかなどがあげられます。

 

 

極端ですが、内部監査やマネジメントレビューのルールがない、文書化した情報を保持していないなどです。

 

 

それでは、最後に有効性についてです。

 

 

 

有効性とは、計画した活動が実行され、計画した結果がどれくらい達成したか、ということです。

 

 

例えば、情報セキュリティ目的を達成するために計画した行動目標がどれくらい達成できたのか、

情報セキュリティリスクアセスメントの結果、リスクへの対応を行うと決めた活動がどれくらい達成できたのか、

ということになります。

 

 

また、「10.1 不適合及び是正処置」で実施するような、不適合が減少するようなことなども有効性の改善に当たります。

 

 

上記の適切性、妥当性、有効性をそれぞれの視点でISO27001:2013(ISMS)の改善を行っていくことが継続的改善となります。

 

 

 

どうでしたでしょうか?

ISO27001:2013(ISMS)の10.2 継続的改善についてご理解いただけましたでしょうか。

 

 

いろいろ書きすぎて分かりづらくなっているかもしれません(笑)

佐藤流に簡単に言ってしまうと、継続的改善とは、

 

 

 

『継続的に組織(会社など)の仕組みを良くしてくために行っていく活動』

 

 

 

ということでしょうか。

簡単に書きすぎかもですね(笑)

 

 

継続的改善以外にも、ISO27001:2013(ISMS)について不明な点がございましたら、弊社コンサルタントにお気軽にお問い合わせください。

佐藤以上に適切な説明をしてくれる人間が多数いますので!!(笑)

 

 

 

それでは、最後までご覧いただきありがとうございました。

梅雨に負けないように頑張りましょう!!

ISO27001:2013(ISMS):2013年度規格改訂 7.4項「コミュニケーション」規格解釈

 

 

 

_shared_img_thumb_YOTA82_nanigaokotta15122053_TP_V

こんにちは。

ISO総合研究所コンサルタントの栗林です。

今回はISO27001:2013(ISMS):2013年度規格改訂 7.4項「コミュニケーション」についてです。

先ずは規格を見てみましょう。

7.4 コミュニケーション 

組織は,次の事項を含め,ISMS(ISO27001:2013)に関連する内部及び外部のコミュニケーションを実施する必要性を決定しなければならない。

a)コミュニケーションの内容(何を伝達するか。

b)コミュニケーションの実施時期

c)コミュニケーションの対象者

d)コミュニケーションの実施者

e)コミュニケーションの実施プロセス

ISO(アイエスオー)ではISO9001:2015(QMS)でもISO14001:2015(EMS)でもISO27001:2013(ISMS)でも”コミュニケーション”という言葉が登場します。

ISO9001:2015(QMS)では5.5.3、ISO14001:2015(EMS)では4.4.3項、ISO27001:2013(ISMS)では7.4項に登場します。

コミュニケーションときくと、ISO(アイエスオー)とは関係ないところでも

普段使われる単語の一つです。
ISO(アイエスオー)では違うことをさしているのではないかと考えがちですが、
基本的には普段使っているコミュニケーションと変わりません。

細かいことを言うと、ISO9001:2015(QMS)とISO14001:2015(EMS)のコミュニケーションでは
言われていることが少し異なります。
ですが、基本的な考え方は同じです。
社内の従業員同士、従業員と社長、事務員と現場の方、
営業と顧客、近隣住民の方、近隣の工場の方などなど…。
お仕事や周辺環境などによってコミュニケーションをとれる対象や、
とらなくてはいけない対象は変わってきます。
(ISO9001:2015(QMS)とISO14001:2015(EMS)でも要求されている対象がかわります)

これらの必要なコミュニケーションの手段を決めておいて、
適切に行いましょうというのが目的です。
ですので、10社ISO(アイエスオー)のISO9001:2015(QMS)やISO14001:2015(EMS)を運営管理していれば、
10社違う手段を用いているともいえます。
実施している内容を見れば、共通してやっていることも多々ありますが、
すべて同じことをしているというのは稀です。
様々な影響によりやり方もやらなくちゃいけないこともかわるということも、
その一つの要因です。

やらなくてはいけないことは必要な情報を共有する場を作る
ということです。
その必要な情報についても様々あるので一概にはいえませんが、
シンプルに言えば、社内外でのコミュニケーションを上手く取る
仕組みを決めておきましょうといったところでしょうか。

 

違う内容をもう一つ。

ISO(アイエスオー)の新規認証にかかる期間は、一般的には6ヶ月と言われます。

多くの会社で運用されているISO(アイエスオー)やPマーク(プライバシーマーク)の仕組は、非常に不合理なものです。

 

例えば、ISO9001:2015(QMS)では、10年前の大量生産・大量消費時代のころのしくみが、多品種小ロットが主流になった現在でもそのまま使われています。

 

ISO14001:2015(EMS)では、80年代の環境への負荷を考えずあらゆるものを「垂れ流していた時代」につくった環境影響評価等のしくみが、現在では様々な環境対策が整備されているにもかかわらず、まったく手を付けられずに残っている事実があります。

 

ISO27001:2013(ISMS)では、3ケ月あれば新しい情報ツールが出るこの時代に、10年前の情報リスク対策が、何も見直されずに継続して運用されています。

 

Pマーク(プライバシーマーク)でも、従業員が1万人クラスの超大手企業が10年前の構築したしくみを100人未満の企業がそのまま流用しています。

 

このような事実があります。

 

そして、恐ろしい事に、このような前時代的なしくみを新規認証にあたって、あらたに社内構築するところもあるのです。

 

それに対し、私たちはすでに会社の中にあるしくみを使って無理の無いようにISO(アイエスオー)の認証・運用をするスタンスです。

 

インターネット社会の普及により、様々な情報を入手できるようになった反面、情報の見極めも必要になってくるのではないのかと思います。

文書は、ISO(アイエスオー)に必要だから作るものではなく、本来『業務に必要だから作る』もの。ISO(アイエスオー)のために1から文書を作るのではなく、既存のマニュアルや作業手順をなるべく活用させ『今できること』から行うことで、『文書化』は楽になります。
『○○の仕事を□□さんが担当する』というのが本来の役割分担ですが、『□□さんに担当してもらう仕事は…○○にしよう』といった流れで業務が行われている会社があります。

また、『できる社員』『経験のある△△さん』がいる会社では、その人を中心に仕事がまわっていることもあります。

このような会社では、ISO(アイエスオー)を導入することでこれまでのやり方が崩れ、仕事がやりにくくなることもあります。

現状ではうまく仕事が流れているとしても、景気等の外的要因や、派遣社員、中途入社、早期退職者の増加などの内的要因によって、組織を取り巻く状況は刻々と変わります。誰がやっても同じ仕事ができるようにするため、業務の標準化を行っていきましょう。
リーダーが掲げた目的・目標が理想に走りすぎな(現実よりかけ離れている)場合、既存業務とのギャップが生じ業務に影響が出ることもあります。

ISO(アイエスオー)で高い目標を掲げても、実際には実現不可能で、逆にやる気を失ってしまった、というケースも見られます。

目標を立てる際は、会社の技術上の選択肢、財政上の諸事情を配慮した上で、理念に沿った具体的目標を立てていきましょう。

ISO(アイエスオー)を構築した最初の年は、結果を出そうと必死になる必要はありません。『認証取得』という結果だけで充分です。肝心なのは、『継続的改善』です。C(内部監査等)やA(レビュー、改善)を続けていくことで、少しずつ効果が出ていくということを認識しておきましょう。

これからのISO(アイエスオー)との付き合い方は近年、ISO(アイエスオー)が経営寄りに変わってきている中で、使い方に違いがでてきています。
具体的に説明するとISO(アイエスオー)の認証維持する目的が90年代に流行った品質保証を目的としたものから実務を活かして負担をできるだけかけずに認証維持する考えに変わってきました。

品質保証を目的においていた時代は、すべての文書や記録に対して、本当にそれで問題がないのか保証する必要がありました。
そのため、なんでも手順書を作って、ルールで縛り、現場で使っている文書や記録を保証する文書や記録まで二重に作っており負担が大きくなっておりました。その結果、ISO(アイエスオー)用の活動が増え、資料もキングサイズのファイルが10個以上並び膨大に膨れ上がります。

負担をかけて、本来の業務が圧迫されることは経営の観点からも望ましいものではございません。
そのような現状から認証を辞退する組織も続出したため、審査機関の考え方も変化し、
近年は負担をかけず実務を活かしてマネジメントシステムを構築することを推奨している審査機関が増えてきております。

製造業界や建設業界等で根強くISO(アイエスオー)認証しているかどうかが、経営に大きく関わる組織はできるだけ負担がかからず、実務をしていれば認証維持できる審査機関を選び、ISO(アイエスオー)用に二重になっている無駄な仕組みは整理していくことがうまく付き合っていくコツになっています。

 

再度言います、ISO(アイエスオー)を取得しようとして手間が増えるという事はありません。

私たちはすでに会社の中にあるしくみを使ってムリの無いようにISO(アイエスオー)の認証・運用をするスタンスです。

ISO(アイエスオー)14001:2015年度版の「8.1 運用の計画及び管理」について

_shared_img_thumb_max16011528-2_TP_V

 

 

こんにちは!!

さて、今日はISO(アイエスオー)14001:2015年度版の「8.1 運用の計画及び管理」について解説します!

まずは要求事項を確認してみましょう!

――――――――――――――――――――――――――――――――――――――――――――――

ISO(アイエスオー)14001:2015年度版

8 運用

8.1 運用の計画及び管理

 

組織は,次に示す事項の実施によって,環境マネジメントシステム要求事項を満たすため,並びに6.1

及び6.2 で特定した取組みを実施するために必要なプロセスを確立し,実施し,管理し,かつ,維持しな

ければならない。

- プロセスに関する運用基準の設定

- その運用基準に従った,プロセスの管理の実施

 

注記 管理は,工学的な管理及び手順を含み得る。管理は,優先順位(例えば,除去,代替,管理的

な対策)に従って実施されることもあり,また,個別に又は組み合わせて用いられることもあ

る。

組織は,計画した変更を管理し,意図しない変更によって生じた結果をレビューし,必要に応じて,有

害な影響を緩和する処置をとらなければならない。

組織は,外部委託したプロセスが管理されている又は影響を及ぼされていることを確実にしなければな

らない。これらのプロセスに適用される,管理する又は影響を及ぼす方式及び程度は,環境マネジメント

システムの中で定めなければならない。

 

ライフサイクルの視点に従って,組織は,次の事項を行わなければならない。

  1. a) 必要に応じて,ライフサイクルの各段階を考慮して,製品又はサービスの設計及び開発プロセスにお

いて,環境上の要求事項が取り組まれていることを確実にするために,管理を確立する。

  1. b) 必要に応じて,製品及びサービスの調達に関する環境上の要求事項を決定する。
  2. c) 請負者を含む外部提供者に対して,関連する環境上の要求事項を伝達する。
  3. d) 製品及びサービスの輸送又は配送(提供),使用,使用後の処理及び最終処分に伴う潜在的な著しい環

境影響に関する情報を提供する必要性について考慮する。

組織は,プロセスが計画どおりに実施されたという確信をもつために必要な程度の,文書化した情報を

維持しなければならない。

規格の用語が含まれて説明されていてわかりにくいですね。

解釈のポイントは「環境目標」「順守義務」「環境側面の特定」「リスク及び機会への対応」

を通して、対策をうっていくことがみえたものに対して、誰が、いつ、何を、どこでやるのかというプロセスを決めて、

実施していこうという内容です。

具体的な事例はどういったものになるのでしょうか?

例えば、「リスク及び機会への対応」で「原材料費の高騰」という事象があったとして、これは業界全体のことでライバルも同じで、

今後の動きから「好ましくないリスク」といえそうです。これを受け、製造原価の考慮とライバルとの差別化を考え、「新素材の導入」を

決めたとして、製品が落ち着くまで不良率の発生が増えるとして、これを環境側面やリスク及び機会の観点からも課題として捉え、

会社として対策を言っていこうと決めた際に、運用の計画と管理をすることになります。

誰が、いつ、どのようにといった対策に向けたプロセスをつくる際に、同じように明確にしておく必要があるのが運用基準です。

例えば、40度を超えるとダメというような数字的な要素が一番わかりやすいですが、行動として「何をしなければならないか、

何をしてはいけないか」というのを決めるのも基準となります。

 

取り組みをする場合に、必要な活動や作業を外部にアウトソースする場合、そのプロセスが確実に実行されるような管理方法を決めたり、

影響が及ぼされるような行動を決めたりということが必要になります。

どちらにしても、行動をコントールしていけることが重要です。

 

ISO(アイエスオー)14001:2004年版との違いはインプットする内容が変わっているだけです。

運用するプロセスをつくる際には、製品がどういう流れでつくられ提供されるのか、

また引き渡した後どうなるのかといったライフサイクルの視点で影響を考えてルールを考えていきましょう。

 

いかがだったでしょうか?

 

長々とご説明しましたが、ご理解いただけましたでしょうか?

もっと話が詳しく聞きたい!という方は、ぜひISO(アイエスオー)総合研究所にお問い合わせ下さい!

 

 

 

ISO27001:4.3項:情報セキュリティマネジメントシステムの適用範囲の決定

-shared-img-thumb-YOTA93_minogasanai15133536_TP_V

 

 

こんにちは。

ISO総研の栗林です。

 

Iso27001とは、国際的に定められた情報を守るための方式の基準の規格なのです。

そもそものisoが何かというと、これはInternational Organization for Standardization、

国際標準化機構と呼ばれるものの略で、世界各国、140カ国以上の国々が加盟している、

本拠地をジュネーブとする組織です。

この国際的な組織は、iso27001のほかにも、iso9001や環境マネジメントシステムと称されるiso14001など、様々な規格を創造し制定、認証している組織なのです。

 

iso27001は今やどの組織・どんな業種でも必要だ、とは言われてもどういうものなのか、

何をするればよいのか、よく分からないという方も多くいらっしゃるでしょう。

情報処理の発展が目まぐるしく起こった昨今では、情報処理サービス業だけに留まらず情報への安全対策は重要です。

組織が持つ様々な情報資産、監査証跡やデータファイル、手順書やシステムソフトウェア、

開発用ツールなどのソフトウェア資産、他、無形資産やサービス資産、物理的資産など、

これらのものを、影響度や様々なものを基準に、その危険性の度合いを評価します。

 

その後、その評価がリスクが高い、とされたものに、また様々な角度からセキュリティ万全となるよう、対策が講じられ、それを実行しちゃんと管理出来ていくようにするのです。

全くの危険性皆無、というところまで持っていくのには様々なコストなどもかかるため、

程よく組織に害が及ばなくさせる対策を生み出し、管理していくのがiso27001の目的です。

 

4.3

情報セキュリティマネジメントシステムの適用範囲の決定

 

組織は,ISMS の適用範囲を定めるために,その境界及び適用可能性を決定しなければならない。

 

この適用範囲を決定するとき,組織は,次の事項を考慮しなければならない。

 

  1. a) 1 に規定する外部及び内部の課題
  2. b) 2 に規定する要求事項

c) 組織が実施する活動と他の組織が実施する活動との間のインタフェース及び依存関係

 

ISMSの適用範囲は,文書化した情報として利用可能な状態にしておかなければならない

 

 

【解説】

組織は,ISMSの適用範囲を定めるためにあたって,その境界と適用可能性を決定しなさい。

この適用範囲を決定するとき,組織は,次のことを考慮しなさい。

a) 4.1 に規定する外部及び内部の課題

b) 4.2 に規定する要求事項

c) 組織が実施する活動と他の組織が実施する活動との間の接点(インタフェース)及び依存関係。

つまり、自社と他社の責任分担や守備範囲、依存関係を明確にすることを意味している。

 

【解説】

ISMSの適用範囲は、文書にして確認できる状態にしなさい。

つまり、適用範囲を文書にして明確にしておきなさいという事。

 

 

では、もう一つ規格1項「適用範囲」についてご説明していきます。

 

この規格は、組織の状況の下で、ISMSを確立し、実施し、継続的に改善するための要求事項について規定する。この規格は、組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する。この規格が規定する要求事項は、汎用的であり、形態、規模又は性質を問わず、全ての組織に適用できることを意図している。組織がこの規格への適合を宣言する場合には、箇条4~箇条10に規定するいかなる要求事項の除外も認められない。

注記 この規格の対応国際規格及びその対応の程度を表す記号を、次に示す。

 

ISO/IEC 27001:2013 , Information technology - Security techniques - Information security management systems-Requirements(IDT)

なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1 に基づき,“一致している”ことを示す。

 

ISO(アイエスオー)27001では、適用範囲を限定することができますが、適用範囲を決定するために、組織が抱えている外部の状況、内部の状況を考慮した課題を決定し、利害関係者のニーズや期待、外部委託している業務等を考慮します。適用範囲を限定する場合、適用範囲外の部門との物理的な、あるいは業務プロセス上の境界を明確にすることが特に重要になります。適用範囲は文書化し、利用可能な状態にしておく必要があります。

 

ISO(アイエスオー)は適用範囲を選ぶことができます。

例えば、20工場の拠点を持っている会社があり、各工場では違う製品、違う顧客、違った業務フローで業務が運営されています。そんな所で1つのルールを作って運用なんてできませんよね。

 

その為、ISO(アイエス―オー)では各拠点、各部署、各製品での認証が可能となります。

上記のように、適用する範囲に大きな違いがございます。

取得を検討している場合は、どちらの情報を多く会社が保持しているか、又は顧客が個人・法人どちらが多いか、どちらの認証を顧客から要求されているかにもよって変わってくるかと思います。

 

最近は、ISO(アイエスオー)9001とISO(アイエスオー)14001の2015年版への規格改正等大きな話題となっていますが、ISO(アイエスオー)27001は2年前の2013年に改正を行っている。

ISO(アイエスオー)27001の規格目次とISO(アイエスオー)9001、ISO(アイエスオー)14001の規格目次をみて頂ければ気づくかもしれないですが、大枠の流れは同じである。

その為、ISO(アイエスオー)9001、ISO(アイエスオー)14001、ISO(アイエスオー)27001の統合も今後はしやすいようになっていくかもしれませんね。

 

ISO27001:2015年度規格改訂3項 「用語及び定義」規格解釈について

_shared_img_thumb_YOTA82_nanigaokotta15122053_TP_V

 

 

いつもご愛読いただき、誠にありがとうございます。ISO総合研究所コンサルタントの小嶋です。今回はISO27001:2015年度規格改訂3項「用語及び定義」規格解釈に

ついてのテーマでお送りさせて頂きます。

 

ISO27001:2015年度規格についての用語の解説をさせて頂こうと思います。

 

3項 用語の解説

用語については正しくマネジメントシステムを理解するための基本であり、規格を読むための前提でなければなりません。そのため用語の解説を以下に記します。

 

・組織

自らの目的を達成するため、責任、権限、相互関係を伴い独自機能をもつ、個人又は集団。

組織という概念には、法人か否か、公的か私的かを問わず、自営業者、会社、法人、事務所、企業。

当局、共同経営会社、非営利団体若しくは協会、又はこれらの一部若しくは組合せが含まれる。(た

だし、これらに限定されるものではない。)

 

・利害関係者

ある決定事項又は活動に影響を与え得る又は影響を受ける(影響を受けると認識している)個人又は組織。

 

・要求事項

明示されている、通常暗黙のうちに了解されている又は義務として要求されている、ニーズ又は期待。

“通常暗黙のうちに了解されている”とは、組織及び利害関係者にとって、慣習又は慣行であること

を意味する。

規定要求事項とは、例えば、文書化された情報の中で、明示されている要求事項をいう。

 

・マネジメントシステム

方針及び目的やそれらの目的を達成するためのプロセスを確立するための、組織の要素。

一つのマネジメントシステムは、単一又は複数の分野を取り扱うことができる。

システムの要素には、組織の構造、役割、責任、計画、運用などが含まれる。

マネジメントシステムの適用範囲は、組織全体、組織内の固有の機能・部門、組織横断的な一つ又は

複数の機能などがある。

 

・トップマネジメント

最高位で組織を指揮し、管理する個人又は複数の個人。

トップマネジメントは、組織内で、権限を委譲し、資源を提供する力をもっている。

マネジメントシステムの適用範囲が組織の一部だけの場合は、トップマネジメントとは、組織内のそ

の一部を指揮し、管理する人をいう。

 

・有効性

計画した活動が実行され、計画した結果が達成された程度。

 

・方針

トップマネジメントによって正式に表明された、組織の意図と方向付け。

 

・目的

達成すべき結果。

目的は、戦略的、戦術的又は運用的である。

目的は、例えば、財務、安全衛生、環境の到達点(goal)のように様々な領域に関連し、様々な階層

(戦略的レベル、組織全体、プロジェクト単位、製品単位、プロセス単位)で適用できる。

目的は、例えば、意図する成果、Purpose、運用基準など、別の形で表現することもできる。

同じような意味をもつ別の用語、例えば、狙い(aim)、到達点(goal)、目標(target)で表すこともできる。

情報セキュリティマネジメントシステムの場合、組織は、特定の結果を達成するため、情報セキュリティ方針と整合のとれた情報セキュリティ目的を設定する。

 

・リスク

不確かさの影響。

影響とは、期待されていることから、好ましい方向又は好ましくない方向に乖離すること。

不確かさとは、事象、その結果又はその起こりやすさに関する、情報、理解又は知識に、部分的にで

も不備がある状態。

リスクは、起こり得る事象及び結果、又はこれらの組合せについて述べることによって、特徴を示す。

リスクは、ある事象とそれによって生じる周辺状況の変化が及ぼす結果と、その事象の発生しやすさ

との組合せとして表現される。

 

・力量

意図した結果を達成するために、知識及び技能を適用する能力。

 

 

・文書化された情報

組織が管理し、維持するよう要求されている情報、及びそれが含まれている媒体。

文書化された情報は、あらゆる形式及び媒体の形をとることができ、あらゆる情報源から得られる。

 

・プロセス

インプットをアウトプットに変換する、相互に関連する又は相互に作用する一連の活動。

 

・パフォーマンス

測定可能な結果。

パフォーマンスは、定量的又は定性的な所見のいずれにも関連する。

パフォーマンスは、活動、プロセス、製品、サービス、システム、又は組織の運営管理に関係する。

 

・外部委託する

ある組織の機能又はプロセスの一部を外部の組織が実施すること。

外部委託された機能又はプロセスはマネジメントシステムの適用範囲内にあるが、外部の組織はマネ

ジメントシステムの適用範囲の外にある。

 

・監視

システム、プロセス又は活動の状況を明確にすること。

状況を明確にするために、点検、監督、又は、注意深い観察が必要な場合もある。

 

・測定

値を決定するプロセス。

 

・監査

監査基準が満たされている程度を判定するために、監査証拠を収集し、それを客観的に評価するための体系的で、独立し、文書化されたプロセス。

監査は、内部監査(第一者)外部監査(第二者・第三者)のいずれでも、又は複合監査(複数の分野

の組合せ)もある。

 

・適合

要求事項を満たしていること。

 

・不適合

要求事項を満たしていないこと。

 

・修正

検出された不適合を除去するための処置。

 

・是正処置

不適合の原因を除去し、再発を防止するための処置。

 

・継続的改善

パフォーマンスを向上するために繰り返し行われる活動。

 

ISO27001を新規で取得しようとお考えの企業様、また、どのようにして運用したら良いかお困りの企業様がおりましたら、お気軽にご相談ください。担当者レベルで決められない可能性もあります。その場合は、代表者の見直し、マネジメントレビューなどで、代表の方と一緒になって課題解決をしていきましょう。

皆様にとってよりよい方法をご提案できればと思います。そんなお手伝いをさせていただいております。ぜひ一度ご連絡をいただければと思います。

コンサルタントが現場で作る打合せメモ:ISO9001(アイエスオー9001)

_shared_img_thumb_Green22_bag20141123111535_TP_V(1)

こんにちわ!桜の季節も終わりに近づき、

子育てに奮闘している嫁に、

「息抜きのつもりでドライブがてら桜でも見に行くかい?」と聞くと、

「テレビで見たからいいよ。」と言われて

立ち尽くしてしまったISO総合研究所コンサルタントの竹嶋です。

昔のアクティブな嫁の復活のためにしっかりサポートしていきます。

 

そしていつもご愛読ありがとうございます.

本日はISO9001(アイエスオー9001)で訪問させていただいた

お客様にのみお送りさせていただく打合せメモを公開いたします。

 

50名規模の建設業様のISO9001(アイエスオー9001)の

打合せの際に作成した打合せメモです。

 

規格要求事項順に要点だけ記載しておりますので、

なんとなく流し見いただければと思います。

 

 

・1適用範囲に関して

・建築物の設計・施工工事

 

・3用語の定義

現場の責任者は、作業所長

 

・5.3経営方針

└★経営方針を選んでもらう

 

・5.4.1目標管理

└毎年目標管理表

└現場の不適合ゼロ件(品質と環境と同じ要素)

└労災事故をゼロ件

└※これは緊急事態ともする

 

・5.4.2品質マネジメントシステムの計画

└ISO総研の基本パターン

 

・5.5.3内部コミュニケーション

すべての工事

└着工前会議

└工事のすり合わせ、引継ぎ、重要事項の確認等

工事着工前会議録 等を活用する

 

└マネジメントレビュー

└毎年1回

 

・5.6マネジメントレビュー

└ISO総研の基本パターンで

└6月

└2011年6月末

 

・6.2.2

└資格一覧

└環境の要素等の力量を含める

 

└教育計画・実績表 を用意する

└自覚教育を含める

└把握できる資格要素だけ含める

 

 

・6.3インフラストラクチャー

└以前のインフラストラクチャーを使う

 

 

・6.4

└以前の作業環境をベースにする

 

 

・7.1

└工事の計画

└実行予算書や工程表

└工程表(マスター工程表) 等

 

 

・7.2.1顧客要求事項の明確化

└営業プロセスの各インプット書類参照

└変更がある場合は、工事受注報告書 がある

 

・7.2.2顧客要求事項のレビュー

すべての工事

└提出 見積り金額 協議書 の内容の評価

└責任者は、各担当部長

 

 

 

・7.2.4環境側面

└ISO総研の基本パターンで

└著しい環境側面=現場での不適合発生

 

 

 

・7.3.1設計の計画 (※設計の書類も様式番号つけてよい)

└業務記録台帳

└工事監理計画及び実施記録

 

 

・7.3.2インプットのレビュー

設計のレビューは必ず部長が行う

インプットの書類

└業務目次

└インデックス3、4、5、6

 

・7.3.3設計のアウトプット

└設計図書

└※設計図面と構造計算書等

 

・7.3.4レビュー

└レビューは部長が行う

└レビューをとおして、検証と妥当性確認を行う

└レビューの結果、変更が必要な事項がある場合は、

設計打合せ簿等に記録をする

 

・7.3.5検証

図面に押印:部長

構造計算書をもって構造の検証

変更事項がある場合は、設計打合せ書へ

 

・7.3.6妥当性確認

顧客や設計業者との打合せの結果

変更事項がある場合は、設計打合せ書へ

 

・7.3.7設計の変更

設計の変更がある場合は、この手続きを最初から行う

 

・7.4.1購買先の評価

 

└新規評価

└管理本部で、取引概況書 を業者に作成させ、評価する

評価結果、活用するに値する業者に関しては、登録して確認する

└継続的な評価に関して

└通常の評価に関しては、大口に工事に関しては、個別の発注

ごとに、発注伺書や発注報告書等で評価する

└作業所長や担当部長等からの情報をもとに、調査をすることがある

 

・7.4.2購買情報の明確化

└インプット

└100万円以上は、発注伺書で妥当性を確認

└50万円~100万円は、発注報告書

└アウトプット

└発注書

└業者さんからの見積書

 

・7.4.3購買検証

└検証の結果として、納品書を受け取る

 

 

・7.5.1製品実現の計画

 

・7.5.2

└鉄筋の圧接工事

└鉄骨の溶接工事

 

└検査の記録がある

└資格者が担当している

 

・7.6測定器の管理

・測定器はアウトソーシングして、管理して

もらっている(一覧表で預けている測定器は把握させている)

・入出庫依頼書で業者に測定器を依頼し、

依頼した測定器が現場に搬入される

・伴って校正記録が管理される

 

・8.2.1内部監査

└当社のシンプルルールで実施

 

・8.2.2顧客満足

└官庁工事

└工事成績書

└NET、民間

└工事受注報告書 の既存顧客や紹介の状況

 

・8.2.3プロセスの監視

営業プロセス

見積り金額が、目安の比率になっているかが監視されされている

設計プロセス

実行予算に対しての実績状況が監視されている

購買プロセス

実行予算に対しての実績状況が監視されている

施工プロセス

実行予算に対しての実績状況が監視されている

工程の進捗が監視されている

 

・8.3不適合の記録

└ISO総研の基本のフレーム

 

 

 

□現場の仕事の流れ

 

営業

└官庁

└営業活動

└インプット

└見積書

 

└アウトプット

└質問書

└回答書

└現場説明報告書

 

└見積

└インプット

└現場説明報告書

└設計図書

└アウトプット

└見積書

└提出 見積り金額 協議書

 

└受注

└インプット

└現場説明報告書

└設計図書

└見積書

└アウトプット

└工事受注報告書

 

└民間、NET

└営業活動

└インプット

└現場説明報告書

└設計図書

└※設計打合せ簿

 

└アウトプット

└質問書

└回答書

└現場説明報告書

└※設計打合せ簿

 

└見積

└インプット

└現場説明報告書

└設計図書

└アウトプット

└見積書

└提出 見積り金額 協議書

 

└受注

└インプット

└現場説明報告書

└設計図書

└見積書

└アウトプット

└工事受注報告書

 

└※ちなみに、8番コードの仕事に関して

└営業活動

└工事受注報告書

└アウトプット

└工事受注報告書

 

└見積り

└見積書 表紙 発行依頼書

└アウトプット

└工事受注報告書

 

施工プロセス

└インプット

└現場説明報告書

└受注報告書

└設計図書

└着工前会議

└アウトプット

└工事日誌

└工事打合せ簿

└実行予算書

└工程表(マスター工程表)

└月間工定表・安全管理計画表

└施工図

 

 

検査プロセス

└インプット

└工事状況

└アウトプット

└生コンクリートや鉄骨関係の記録

=工程内の検査となる

└社内竣工(検査・再検査)報告書

=担当部長が引き渡し許可の責任となる

※様式変更もありえる

ISO27001:2013(ISMS):2013年度規格改訂 7.2項「力量」規格解釈

 

_shared_img_thumb_LALA160328260I9A9513_TP_V(1)いつもお世話になっております。

ISO総合研究所コンサルタントの濱田章弘(はまだあきひろ)と申します。

 

さて、いつも大変ご好評いただいております当ブログでございます当ブログですが、今回のテーマは、

『ISMS(ISO27001:2013)の7.2項力量』について規格解釈を交えてお話させていただきます。

まずは第1章で規格が要求していることを確認してみましょう。

 

■第1章

『ISMS(ISO27001:2013)の7.2項力量』概要

 

規格では必要な力量についてこのように記載されています。

 

7.2 力量

組織は、次の事項を行わなければならない。

a)組織の情報セキュリティパフォーマンスに影響を与える業務をその管理下で行う人(又は人々)に必要な力量を決定する。

b)適切な教育、訓練又は経験に基づいて、それらの人々が力量を備えていることを確実にする。

c)該当する場合には、必ず、必要な力量を身につけるための処置をとり、とった処置の有効性を評価する。

d)力量の証拠として、適切な文書化した情報を保持する。

※注記 適用される処置には、例えば、現在雇用している人々に対する、教育訓練の提供、指導の実施、配置転換の実施などがあり、また、力量を備えた人々の雇用、そうした人々との契約締結などもある。

 

さっぱりわからないと思いますがいかがでしょう?

私もこの業務に携わっていなければよく分からないことでしょう。

そのため次章ではもう少し上記をかみくだいて検証してみましょう。

 

■第2章

『ISMS(ISO27001:2013)の7.2項力量』についての規格解釈

 

①『業務』『対象者』の明確化

└ISMS(ISO27001:2013)に影響がある「業務」と「その業務に携わる人」を確定させる。

 

②『必要な力量の明確化』

└次に対象になった社員に「必要な力量」を明確化する。

情報セキュリティに関する力量についてである。

怪しいメールが来たときは担当者に連絡すれば良いのか、リカバリーが出来ればよいの

か、ウイルスソフトの知識が必要なのか、担当する業務によって必要な力量は変わってよい。

③『教育・訓練又は採用など』

└力量をもった人材が社内におらず、リスクがあり、放置できない場合、対策をとる必要がある。

教育・訓練が出来ない、または育つまで待っていられない場合には、規格にあるように、外部委託・採用を含めて検討する必要がある。

④『有効性の評価』

└教育・訓練を実施するだけではだめで、有効性(役に立ったか)も見なければならない。

教育のつど評価する方法もあれば、内部監査などで判断する方法もある。

⑤『記録の作成』

└「教育・訓練」「技能」「経験」「資格」と4つあるが、これらについてそれぞれ記録を作成する必要はない。

場合によっては、一覧表のようなもので十分、効果的に記録できるはずである。

 

いかがでしょうか?

少し複雑さは和らいだと思います。

 

それでは最後にISMS(ISO27001:2013)を取得している企業がISMS(ISO27001:2013)を導入した理由、また認証取得の効果に関してお話して今回のブログを終わりたいと思います。

 

■最終章

『ISMS(ISO27001:2013)の導入理由、認証取得の効果について』

 

事例①某大手インターネット総合サービス会社

ISMS(ISO27001:2013)の導入理由:パートナー会社の情報漏えい事故をきっかけに従来から行ってきた情報セキュリティ重視の企業運営をより強化するため

認証取得の効果:グループ企業全体を認証範囲としたため、全体で取り組むことが出来た。

 

 

もし御社がISMS(ISO27001:2013)の取得、運用についてお困りでしたらどうぞお気軽に弊社ISO総合研究所までご連絡ください。

 

ISO9001:2015(QMS)の規格改訂の「5.リーダーシップ」

_shared_img_thumb_CSS85_hurikaeruyouko20131019_TP_V

 

こんにちは、いつもご愛読ありがとうございます。

ISO総合研究所コンサルタントの藤川です。

 

 

今回のテーマはISO9001:2015(QMS)の規格改訂の「5.リーダーシップ」をお話したいと思います。

 

 

ISO9001:2008(QMS)年版の規格でいう「5.1経営者のコミットメント」になります。

まずはISO9001:2008(QMS)年版の要求事項をおさらいしてみましょう。

 

5.1 経営者のコミットメント

トップマネジメントは,品質マネジメントシステムの構築及び実施,並びにその有効性を継続的に改善することに対するコミットメントの証拠を,次の事項によって示さなければならない。

  1. a) 法令・規制要求事項を満たすことは当然のこととして,顧客要求事項を満たすことの重要性を組織内に周知する。

 

  1. b) 品質方針を設定する。

 

  1. c) 品質目標が設定されることを確実にする。

 

  1. d) マネジメントレビューを実施する。

 

  1. e) 資源が使用できることを確実にする。

 

では早速、ISO9001:2015年版(QMS)の要求事項を見てみましょう。

 

 

5.1 リーダーシップ及びコミットメント

5.1.1 品質マネジメントシステムに関するリーダーシップ及びコミットメント

 

トップマネジメントは、次に示す事項によって、品質マネジメントシステムに関する

リーダーシップ及びコミットメントを実証しなければならない。

 

  1. a) 品質マネジメントシステムの有効性に責任を負う。

 

  1. b) 品質マネジメントシステムに関する品質方針及び品質目標を確立し、

それらが組織の戦略的な方向性及び組織の状況と両立することを確実にする。

 

  1. c) 品質方針が組織内に伝達され、理解され、適用されていることを確実にする。

 

  1. d) 組織の事業プロセスへの品質マネジメントシステム要求事項の統合を確実にする。

 

  1. e) プロセスアプローチに対する認識を高める。

 

  1. f) 品質マネジメントシステムに必要な資源が利用可能であることを確実にする。

有効な品質マネジメント及び品質マネジメントシステム要求事項への適合の重要性を伝達する。

 

  1. h) 品質マネジメントシステムがその意図した結果を達成することを確実にする。

 

  1. g) 有効な品質マネジメント及び品質マネジメントシステム要求事項への適合の重要性を伝達する。

 

  1. i) 品質マネジメントシステムの有効性に寄与するよう人々を雇用し、指揮し、支援する。

 

  1. j) 継続的改善を促進する。

 

  1. k) その他の関連する管理層がその責任の領域においてリーダーシップを実証するよう、管理層の役割を支援する。

 

注記 この規格で“事業”という場合、それは、組織が公的組織か民間組織か、営利組織か非営利組織かを問わず、組織の存在の目的の中核となる活動という広義の意味で解釈することができる。

 

 

経営層の品質マネジメントシステムへの関与が強く求められています。

 

具体的な役割が列挙されています。ISO9001:2008(QMS)年版よりも項目が増えています。

 

要求事項の文末にある“~を確実にする”とは、「(トップの責任の下)確実に~する体制が敷かれている」という意味で、

 

絶対にトップマネジメントが実施しなくても構いません。

ただ、それ以外の項目はトップマネジメントの役目です。

 

審査では、トップマネジメント自身の言葉で語る必要があります。

 

特にg),i),k)については、具体的にどのように実施しているかきちんと答えられるようにしておきましょう。

 

と、何だか重たいように書きましたが普段のお仕事が行なわれているので当てはまってます!

 

1)会社の方針、目標、当然ありますよね。

(お客様に感動を与える品質を目指す、品質トップ企業になる、売上10億円/年など)

 

2)部門目標、ありますよね。

(新規顧客100社増加、売上額など)

営業部、設計・開発部、製造部、品質保証部、総務部など・・・各部門にあった目標をさします。

 

3)会社の方針なしに目標立てられないですよね。

会社の方針とISOの方針を分けて考える必要はありません!

お客様の為に会社が目指すところに向かっていけるように設定してください。

ISOの方針は会社の方針と一緒で問題ありません。

 

4)ISOのためになんか仕事しませんよね。

お客様のため、会社のためですよね。

 

5)目標に対して行動を決めますよね。

(1日○○件のDMを送るなど)

 

6)目標に対しての途中経過を見ますよね。

方針と違っていたら、修正しますよね。

(営業会議での進捗報告など)

 

7)採用もしますよね。従業員さんの教育も。

(新卒・中途採用、資格支援など)

 

8)部門責任者、決められてますよね。

経営会議も行なわれますよね。

 

 

上記のことを、どうやっているかを聞いているんです。

 

 

難しくないですよね~

 

 

今回のISO9001:2015年版(QMS)に規格改訂が行なわれる”テーマ”は事業との統合化!!

 

 

普段のお仕事していれば、ISO9001:2015年版(QMS)は要求事項に当てはまるんですよ!

 

 

ISOのためにやっているようなという疑問が出てきたら、

是非、ISO総合研究のコンサルタントにご相談ください!!ニャン!!