無知を知る

11.07.09
最近、知り合いから第三者認証といってもISOばかりじゃないぞ、もっと勉強せよといわれた。というわけで第三者認証あるいはそれに類するものを調べたら、あるわあるわ、たくさんあることを知った。本日はいかに私がもの知らずであったかという自責の念である。

ISO第三者認証制度の信頼性が低下していると、過去のJAB/ISO公開討論会とかJAB環境ISO大会で多くの方が語っている。だからそれは事実なのであろう。
ではなぜISO第三者認証制度の信頼性が低下してきたのだろうか?
前記のJAB主催の大会では、第三者認証制度は本質的に信頼性が低下するようになっているのだと語った方もいるし、審査する者に依頼する者がお金を払うから信頼性が低下するのだと語った人もいる。
確かに、審査をする者に審査を依頼する者がお金を払うから、審査をする者がおもねた審査をする結果、信頼性が低下するといわれるとそんな気になる。ちなみにISO審査についての要求事項を決めたISO17021にも、審査を受ける者が審査する者にお金を払うことが公平性・客観性の脅威になると書いてある。ISO17021は2011年に改定されたが、これに関しては以前から変わっていない。

しかし、それはほんとうだろうかと考えることは絶対に必要である。
審査を依頼する者が、審査する者にお金を払う制度というものは、ISO第三者認証制度に限らず沢山ある。そういうものすべての制度の信頼性が低下しているのかといえば、もちろんそんなことはない。
公認会計士制度というものがある。ツッコミが入る前にお断りしておくが、過去にも公認会計士が客と癒着した事件は何度も起きたし、これからも起きることは間違いない。神ならぬ人間社会では完全はありえず、不具合が起きるのはやむをえない。ネットには公認会計士制度は崩壊したなどという論を見かけたが、しかし審査をする者に審査を依頼する者がお金を払うから公認会計士制度の信頼性が低下して崩壊の危機にあるなんて思っている人は少ないだろう。

大学も認証評価制度というものがある。すべての大学は己が高等教育を行うに必要なリソースを確保しているか、大学設立の目的を達成しているか、将来に向かって目標を達成し続けることができるかを自己評価し、その評価判定を第三者である認証評価機関に審査してもらい適正か否かを確認してもらうという仕組みである。正確に言えばもっと複雑なのであるが、簡単に言えばそういうことだ。
学校教育法 第百九条
第1項(本当は第1項とは付かない)大学は、その教育研究水準の向上に資するため、文部科学大臣の定めるところにより、当該大学の教育及び研究、組織及び運営並びに施設及び設備(次項において「教育研究等」という。)の状況について自ら点検及び評価を行い、その結果を公表するものとする。
第2項 大学は、前項の措置に加え、当該大学の教育研究等の総合的な状況について、政令で定める期間ごとに、文部科学大臣の認証を受けた者(以下「認証評価機関」という。)による評価(以下「認証評価」という。)を受けるものとする。ただし、認証評価機関が存在しない場合その他特別の事由がある場合であつて、文部科学大臣の定める措置を講じているときは、この限りでない。(以下略)
認証評価機構は複数あり、そのそれらが大学を評価した結果は公開されている。
 ・独立行政法人大学評価・学位授与機構
 ・大学基準協会
 ・日本高等教育評価機構
 ・短期大学基準協会
国公私立すべての大学、短大、大学院がこの義務を負う。さて、この場合もお金は評価を受ける大学が認証評価機関に払うのだが、この制度の信頼性が低下するという説はまだ現れていないようだ。この法律ができたのは平成16年(2004年)で、まだ年月が経っていないからだろうか? ちなみに欧米ではもう1世紀もの歴史があるとのことだが、信頼性が崩壊したということはないようです。

東京都は新しいもの好きで、昔から独自の東京都公害防止管理者制度を作ったり、ディーゼル車の排気ガス規制を始めたりして、私たち環境担当者を困らせている。
最近はCO2排出量規制なるものを立ち上げた。
この制度で一番肝心要なのはなんだろうか?
なんて考えることもない。CO2を検証する仕組みである。CO2の検証は東京都の検証主任者の講習会に参加して試験合格した人が行うのである。
都内にある一定規模以上の企業は検証を受けなくてはならず、そしてもちろん検証にかかる費用は、検証を受ける企業が検証主任者に払う。
「審査する者に依頼する者がお金を払うから信頼性が低下するのだと語る人」が正しいなら、東京都のCO2検証制度はほどなく信頼性が低下して崩壊の危機に至ることになる。この制度は始まったばかりだが、まだそのようなことを心配している人はいない。
みなが心配しているのは、いくらCO2排出量を計算しても、それが正しいかを検証しても、CO2排出量が減らないのではないかということである。

今私はパソコンに向かってキーボードを叩いている。目の前にあるパソコンの前面にはUSBのポートが4つ並んでいる。そのひとつにはプリンタ、ひとつにはデジカメの転送コード、もうひとつには外付けハードディスクのUSBコネクタが差し込んである。
お断りしておきますが、私が描いた絵です パソコンと周辺機器の接続方式は過去からいろいろと変わった。大昔8ビットパソコンで遊んでいたときはオーディオテープレコーダーにRCA-PINジャックでつないでいたように思う。その後私が現場でNC機械を使っていた頃はRS232Cであったし、Window3.1の頃はSCSIであった。USBが現れたときはSCSIより遅くて、こんなスピードでは使えんなんて思いましたが、どんどん転送スピードが速くなり、いまやUSB以外使うことはありません。その便利さたるや、昔のRS232Cに比べたら月とすっぽん、便利このうえない。
USBのすごいところは、キーボードであろうと、マウスであろうと、プリンタであろうと、オーディオであろうと、機器のカテゴリーを問わず1種類で済むことがある。いやそれどころか卓上扇風機の電源もとれるし携帯電話の充電もできるのだ。そして、パソコンを立ち上げていて抜き差しできるのがすごい。更に雑貨屋で売っているUSBメモリーでもつながるというのがまたすごい。私はUSBコネクタの機器で接続できないとか相性が悪いという経験は一度もない。
正確にいえば、一度だけ買ってきたワイアレスマウスが動作不安定なことがあった。どうにもならずネットでのパソコンの師であるKK様にお伺いした。KK様は物も見ずにアットいうまに原因を突き止めた。そのワイアレスマウスのUSBコネクタに指しこむレシーバーが両面から押さえ込む形状ではなく片面から押すタイプなので接触が不安定であるというのだ。まさしくそのとおりであった。対策としてはコネクタ部分に紙を挟んでがたをなくして解決した。しかしこのように囲むのではなく片側しかないUSB端子はそもそもが規格不適合ではないのだろうか?
このように私たちが気にもせずに使っているUSB機器であるが、どれを接続しても問題なく使えるのだろうか? それが不思議に思う。
わが師、外資社員様にお伺いしたところUSB機器が互換性をもって使えることを確認する第三者検証制度があるとおっしゃる。USB機器を製造している会社がUSB接続の検証サービス会社というところに依頼して規格を満たしていることを確認してもらい、それに合格した機器のみがUSBロゴを付けることが出来るのだそうです。
もちろんそのような試験費用は検証を受ける会社が検証サービス会社に払うのです。
しかし、USBの検証の信頼性が低下して相性が合わないことが多くなったんだよね、なんてことを聞いたことがありません。ということは「審査する者に依頼する者がお金を払うから信頼性が低下するのだ」という主張は一般的には言えないように思います。

ながながと駄文を書いたが、ここまできて「審査する者に依頼する者がお金を払うから信頼性が低下するのだ」という説は完全に間違いであろうという気がする。また、「第三者認証制度は信頼性が低下するようになっているのだ」という論も間違いであろうと思う。

審査を依頼する人が審査をする人にお金を払うから、審査が甘くなってしまうということは必然ではないならば、ISO第三者認証制度において信頼性が低下しているということが、不思議に思えてくる。ということはお金の流れだけではなくもっと別なメカニズムが働いていることになる。それはなんだろうか?
認証なり監査なり検証なり、すべてある基準に対して検証するものが適合しているか否かを判定することであることは自明である。その判定基準は客観的であり、追試可能であるはずだ。
公認会計士は監査報告書を作りそれは外部の人が見ることが出来る。それは他の公認会計士(あるいは事務所)が作成したものと比較検討できる。要するに客観性がある。
大学の認証評価機構は評価結果を公開しており私たちは見ることが出来るだけでなく、別の評価機構に換えたときはそれ以前の評価が適正であったかは比較することが出来る。
USB検証機関は複数あるそうだが、検証機関によってOKと判断されたり、NGと判断されることがあっては検証サービスの意味がないのは明らかである。もちろん市場において、USBロゴがついた製品が接続できなければ即苦情になるだろう。

ではISO審査はどうだろうか?
さて、日本に存在している認証機関のISO規格の解釈が一様でないことは、過去のアンケート調査などで否定できない事実である。それすなわち判定基準が客観的でないことである。
次に追試可能性であるが、数人日の審査工数をかけて行ったISO審査報告書なるものは、LRQAなどを除き多くは10ページ以下しかない。
LRQAの審査報告書はものすごく厚い。質が高いかどうかはともかく、書いてあることが多いことは否定できない。もし問題があってもなくても、ISO審査ではどうだったのだろうということはあとでチェックすることが出来る。それはすごいことだ。他の認証機関の報告書はそのようなことさえできない。
審査報告書が2ページとか3ページしかないという認証機関もある。そこに書かれている文字数は全ページ合わせても1000文字もなく、結論として「審査結果適合であり認証を推薦する」と記載してあっても、それぞれの規格要求事項について何をみてどう判断したのかなどトレースできるようなことは記述してない。そんなからっきしの報告書を書いている認証機関に限って、内部監査報告書には、どの項目で何を見たのか証拠までトレースできるように記述しろとか言う。隗より始めよ(かいよりはじめよ)と言いたい。
ホンネはいい加減にしろということですよ
ISO審査報告書は総じてプアであり、しかもISO審査は抜き取りだから不具合を見落とすこともあると明記してある。 つまるところ、ISO審査の信頼性が低下しているのはなぜかは分からないが、信頼性を持てない理由は明白である。つまり信頼できるような客観性もなく、なにをチェックしたのかの説明もないからだ。

本日の疑問
第三者認証制度には多様なものがあることがわかった。しかし第三者認証と名乗れるものと名乗っちゃいけないものがあるような気がする。
 気がするだけか・・・



外資社員様からご指導を頂きました(11.07.10)
佐為さま
USB認証については、関連団体USBIFにも入っているので、少し補足させて頂きます。
USBの第三者認証で確認するのは、試験する製品とUSB規格との適合性(Conformance)です。
製品同士で組み合わせて、上手く動くは、「互換性(Interoperability)」と言われ、認証試験とは別の概念です。
USBインタフェースを持つ認証製品同士を組み合わせても、上手く動かないことはあります。
もちろん、認証試験の普及と合格は、互換性問題のリスクを軽減します。
しかしながら認証試験だけで、互換性問題を無くすことは出来ないのです。
例えて言えば、車の車検を受けても、故障が無くならないのと似ています。
例として、携帯電話をUSBケーブルを介して、パソコンにつないだ場合です。
携帯電話の格納された電話帳や、着メロを、PCで再生しようとしても上手く動かない場合があります。 ユーザから見れば不具合なのですが、問題はPC側の再生ソフトや携帯電話のデータフォーマットに原因があります。
USBインタフェースに限れば問題が無くても、製品が正しく動くにはファイル・フォーマットや、ソフトウエアなどの互換性など、様々な階層が正しく動作できる必要があり、どこかの階層で問題があれば製品は上手く動きません。
ですから、技術系の認証試験では、試験範囲(Test Coverage)を明確に定義して、認証試験が試験できる範囲と、試験出来ない範囲を明確にする必要があります。 この為に、出来ることと出来ないことには、自ずと謙虚になります。
(出来ないことを出来るように言ったら、周りにすぐに判ってしまいますので:笑)

外資社員様 ご指導ありがとうございます。
深いものですね・・・学ぶことがたくさんあります。


うそ800の目次にもどる