うそ800始末28.認証の必要性
20.06.15

うそ800始末と題してもうだいぶ語ってきたけど、そもそもなんで認証するのってのを、はっきりしなくちゃどうにも進まない。
ということで改めて、なぜ認証するのかということを考えた。
なぜ認証するのかと考えると、認証だけでなくなぜ認定するのかという疑問もわいてくる。それは歴史あるものではなく、たかだかこの四半世紀に作られた仕組みである。それはなんのためだったのか? 単に金儲けのためか、あるいはと考えると謎は深まる。

おっと、暇な老人が暇つぶしに考えたことです。読んでから金返せなんて言わないで。そもそも木戸銭ももらっていませんし……


ISO認証を受けた会社で基準を超えた排水を流したとか、排ガスの測定値が法規制値を超えていたのを書き直したとか、そういったことが問題になったのは10年ほど前だ。
工場排水 そのとき、なぜISO14001を認証している企業でそういった事故や違法を行うのかと問題視された。
そしてISO審査で違法を見つけられなかったのは審査員や認証機関が無力だったからではない、企業が嘘をついたからだと言ったのは誰だっただろう?(忘れてませんよ)
なぜそのとき、ISO認証とは事故を防いだり犯罪を見逃さないものではないと返さなかったのか、それは大きな疑問だ。しかしそれをはっきりさせなかったために、そこからどんどんと泥沼にはまり今ももがき続けている。
ISO認証制度の人たちが、ISO認証制度の意味を知らなかったのか? それともそういう解釈をした方が将来的にあるいはビジネス上良策と考えたのか? あるいは何も考えなかったのか? そういうことを研究すると面白いかもしれない……などと私は思ってはいない。そんなこと考えるまでもなく、愚かな人間がいたものだとしか思えない。
だが認証とは何かを考える必要性はあるだろう。少なくてもISO認証制度にかかわっている人たちは。

ISO認証の起りは品質保証のISO9001であり、客に供給する製品やサービスの品質保証(注1)であった。幸いとっかかりは大成功といってよいだろう。なにしろ鳴かず飛ばずだったのが、EU統合という神風が吹き、一躍商売に必須のものとなった。それをきっかけに世界中に認証は広まっていった。

その大流行にあやかり環境管理のISO14001が追加になった。ISO14001では環境に関する法律の把握と対応は項目の一つになっているが、認証する組織が提供する商品やサービスに関わる法律とは関係ないものだった。というのは初期的には主に工場が認証を受けるものであり、そこでは製品にかかわる法規制は微々たるものだった。
その後時代の流れで製品やサービスについても環境保護のための法規制が強まり、廃棄物となったときや使用時の省エネなどが追加となってきた。

二番手のISO14001もベストセラーとなり多くの認証をゲットした。そしてその結果 認証の種類は増える一方だ。JAB認定のものだけでも多数現れた。

JABはこのほかにも検査機関や校正機関の認定を行っている。認定された認証機関は審査/認証を提供する。認定された会社/機関は、なにものかを試験や検査してその評価結果を提供するサービスを提供する。
認定された認証機関による認証組織を適合組織と呼ぶそうだ(注2)。認定されていない認証機関による認証組織は適合していない組織と呼ぶのだろうか
認定された試験機関は、依頼されたもの(DNAとか血液とか電子部品とか)を適正に試験評価するとみなされたことであり、認定された校正業者とは依頼された計測器をトレーサビリティを確保して正しく校正する仕組みがあるとみなされたことである。そういったものは提供するサービスは法規制と密接に結びついている。
食品マネジメントシステムも種々農林省所轄の法規制に関わっているし、情報セキュリティもアセットマネジメントも同様だ。こういうサービスを提供する業では提供するサービスそのものの遵守が超重要となっている。

ISO9001やISO14001ではシステム(仕組み)が重要視されたというか、仕組みがあればOKだったが、品質が良くなったかとか、環境指標が良くなったかははっきり言って審査の対象外だ。パフォーマンスが大事だとかアウトプットマターズが…と言われたのは、仕組みだけの認証が多かったから、それだけじゃダメなんだということである。パフォーマンスを審査していれば出てこない言葉だ。だがISO9001も14001もパフォーマンスを要求していない。要求事項にない。序文にちゃんと書いてある。それはそれでよい。
しかし法律に関わるものは、まず第一義に遵法はしっかりしているかである。仕組みがあろうがなかろうが、パフォーマンスがダメならダメなのだ。

ISO14001で排水が故障その他の原因で規制基準を超えたとか、犯罪行為でデータを書き換えたとしても、それはISO14001の対象外ですと言っておかしくない。ISO14001とはそれだけのものなのかと言われたら、そうですと言っておかしくない。
ISO9001でも顧客との契約になければトレーサビリティを取らなくてもよいし、管理項目や管理指標を認証組織が決定しても良い。
しかし法規制に関わるものはそういった認証組織の恣意は許されない。
いやいや、法規制があるものは行政の監督下にあり、指導に沿って業務を行う。ならば法規制があるものについて認証サービスを提供する試験機関は認定が必要かという疑問が出てくる。
もちろん法規制が整備されているのは日本のような先進国だけだという言い方もあるだろう。法規制のない国では、自主的な活動を進めるには該当するマネジメントシステム規格が必要であり、その業を行う組織を審査して認定する機能は重要なのだという意見もあるだろう。

具体例を挙げるとISO14001が現れた時、日本では典型7公害に対する規制基準は整備されているからISO14001は不要だと語った人は多かった。特に1970年頃から公害防止や省エネに関わってきた人たちにそういう意見は多かった。1990年代半ばには公害防止の第一世代がまだ現役にいたのだ。
四半世紀の実績を振り返れば、その言葉は真実だったように思う。もちろん公害以外の新しい環境規制や環境保護という積極的活動については従来の公害防止組織だけでは不足ではある。だが公害防止とか廃棄物の遵法という観点からは、ISO14001などより過去からの法による組織や活動のほうがはるかに大なる効果をもたらしてきたのは事実である。

では法規制が整備されている国では、法律だけでなくISOマネジメントシステム規格とそれに基づく第三者認証制度が必要なのだろうか?
そして国によって事情は違うが、同じ規格を認証していれば同等とみなすことはできるのだろうか?

新型コロナウイルス流行のとき、韓国は早々と流行を抑え込んだ。それで世界一の防疫先進国だと誇った。もっともいったん下火になったものの、すぐまた韓国では大流行となり、 コロナはマスクで防ぎましょう 新聞やネットでは世界一の防疫先進国だと自慢したのは誰だなんて犯人探しもあったようだ。
ともかく韓国がいっときでも流行を抑え込んだのは、個人情報が国や自治体で利用し放題というバックボーンがあったからだ。今はスマホや携帯電話は常時どこにいるかを基地局に報告していて、電話がかかってくると所在に一番近い基地局からそのスマホに電話がかかる。それを活用してスマホの持ち主が今どこにいるか、過去どういう移動をしたかを把握されているということだ。

グーグルでタイムラインというのをご存じだろう。自分が一日どこにいったのか、交通機関、出発到着と滞在時間などが表示される。過去いつまでかとなると、私の場合をいうと、アンドロイドスマホを持った2016年からの行動記録を今でも見ることができるから、最低5年間はデータを保管しているのは間違いない。それ以前はiPhoneだったからタイムラインの使い方が分からなかった。
韓国では、ああいった情報を行政が自由に閲覧できるということだ。プライバシー丸裸である。浮気どころか息抜きもできない。

ネットでは韓国にできて日本ではなぜできないという疑問が提示されるが、現状の法規制では一般人の移動情報は行政が利用できないらしい。可能なのは凶悪犯罪だけだとか聞いた。
ともかく一般人の移動情報を知ることができればどこで感染したか、誰にうつしたかということはかなり精度高く把握できるだろう。だがそれは新型コロナウイルス流行対策には有効だろうが、それは監視社会そのものだ。感染を防ぐにはプライバシーをひいては民主主義を否定するか否かということになる。今の日本はそれはダメということになっていて、韓国と同じ防疫体制はできないということになる。

似たようなことに、マイナンバーと口座を紐付けすると言われていたが、今回給付金10万円を支給するのにまだ紐付けはされていないため時間がかかるとか。そもそも紐付けするとプライバシーがあからさまになってしまうからと革新政党が反対しているとか聞く。便利な機能に反対して、給付が遅れて問題だと騒ぐとは野党のマッチポンプか?
もっとも韓国でも情報セキュリティは野放しというわけではなく、韓国の考える情報セキュリティ基準も規制もあるわけで、そこから逸脱しないマネジメントシステムはもちろんあるわけで、それは審査対象、認証対象となる。

いずれにしても法律がしっかり整備され運用されているなら、わざわざISO認証を受けるという意味はなんだろうかという疑問は消えない。もうひとつは国によって認証の意味合いが同じじゃないってことだ。とりあえずこれは置いておく。
国の制度があるならばそれに関する認証は不要ではないか。意味がなさそうだ。いやいや、ISOがなくても間に合うなら、認証以前にISOMS規格がいるのかと思う。

ちなみにJABのウェブサイトを眺めていたら、「認定辞退または認定取消しとなった試験所・校正機関」なんてページに行き当たった。たくさんの認定辞退や取消しされた試験機関とか校正機関が並んでいる。
認定を辞退したり取消しされた試験機関や校正機関が試験業務や校正業務を廃業したのかとウェブでググると、そんなことはなく辞退や取消し後の今もしっかりとビジネスをしている。
認定を受けた機関が行った認証が適合組織なら、日本には適合していない組織がゴロゴロあるのだろうか?
フシギダナーなんて鼻ホジしているのは誰だ!(松坂の口調)

そもそも認証が必要としても認定が必要という理由があるのだろうか?
認証が必要で認証機関が必要としても、それを認定する認定機関が必要という論理は正しいのか?

イギリスにおいてBS5750で審査登録が始まったのはサッチャーの考えらしい。1979年イギリス初の女性首相となったサッチャーは、 マーガレット・サッチャー 大英帝国よ今一度!と思ったかどうかは知りませんが、かって世界の工場と呼ばれたイギリスの工業を再生しようとし、そのためには品質保証をしっかりしよう、そのためには品質保証の認証制度を作ろうとしたわけです。
サッチャーさんも毀誉褒貶いろいろで、私も香港返還は彼女の大失敗と思っていますが、すごい人だったことは間違いない。蓮舫や辻元とはクラスが違うのです。辻元が前頭10枚目、蓮舫が前頭3枚目くらいとすると、サッチャーが横綱であることは間違いありません。とはいえ横綱だってミスすることもあり負けることもあるのは世の習い。ともかく品質保証の国際規格では勝ったわけだ。

イギリスで品質保証の認証制度が始まったとき、審査は民間の認証機関に任せても、認証機関はお墨付が必要と考えたのでしょうか? イギリスのDTI(貿易通商産業省)……日本なら経産省でしょうか……が認証機関を認定しました。私が最初にISO9002を認証した時の登録証はDTIのマークでした。

その後、BS5750がISO9001となり、第三者認証がイギリス国境を越えて広まるときに、だれが認証機関を認定するのかということが問題になったそうです。当時、私はISOに関わっていたけれど田舎の一企業の担当者に過ぎず、認証制度なんてものははるか雲の上の人たちが作っていると思っていた程度です。そのようないきさつは全く分かりません。
2000年以降に認証機関のえらいさん方と面識を持つようになり、雑談の中でいろいろと教えてもらいました。話では多くの認証機関の話し合いで各国に認定機関を置いて、その認定機関がその国内の認証機関を認定するという仕組みが作られていったとのこと。
ある認証機関の取締役は、「認証機関が認定機関を作ったのだ。そういう歴史を知ってほしい」と力説していたのを覚えている。認定機関が認証機関に上から目線で好き勝手なことをいうのは許さんというのが本音だったようだ。

もし認定を受けない認証機関が活動したらどうかって?
現実にはそういった認証機関はたくさんあり、特段支障はないようです。
認定を受けていない認証機関があるだけでなく、認定を受けても数年後に認定を辞退したりとかなり流動的です。
試験機関や校正機関は認定を受けてないほうがはるかに多く、それでビジネス上問題もないようです。前述のように現実に認定を辞退/取消しされても、検査機関としてビジネスをしているというのは必須ではないわけです。

おっと認証機関ばかりでなく、認証を取り消されたとか認証を維持できず辞退した一般企業が、ISO認証がないゆえにビジネスができず倒産したという話を聞いたことがありません。
人手不足で労務倒産、黒字だけど資金繰りがつかず倒産したなんてのはそのへんでゴロゴロお聞きしますが、ISO認証できずとか認証を停止されたから倒産したというのを聞いたことがありません。
日本の企業で従業員が製造業20人以上、非製造6名以上の会社は54万社だそうです(注3)。しかし、ISO認証しているのはISO9001で5%、ISO14001で2.7%しかありません。つまり95%以上の会社はISO認証していないでビジネスをしているわけです。いや、ISO認証していない会社が日本を支えていると言い換えましょう。


話はぱっと変わる。
マーガレット・サッチャーが大英帝国よ再びとBS5750の認証制度を作り広めた。いっときは認証していないと官公庁の仕事が取れないといわれて、製造業だけでなく、レストラン、劇団、保育所その他ありとあらゆる業種に認証が広まった。
だが大英帝国の産業復活はなかった。
壮大といえるほどの実験を行った結果、認証制度の効用はなかったようだ。日本でのイギリスより規模は小さいが四半世紀にわたる実績は、それを追認する。

最終的というか常にたどり着くところは同じである。

認定も認証も無用なようだ。



うそ800 本日の言葉
「認証や認定で得られるものは何もないから認証も認定もいらない」ようだ。
自信が確信に変わりました(松坂大輔)
もし認定を取消された試験機関が、事業が継続できず廃業とか倒産したしていれば、上記を否定する有力な証拠になるでしょう。
あるいは認定を受けないノンジャブへISO認証を依頼する企業がなくなれば、ISO認証は社会財と呼ばれるかもしれません。そうでないと社会罪かもしれません。

ちなみに社会財という語は辞書にないけど、社会罪というのはある。社会罪とはガンジーが語ったSocial Sinsが原語らしい。
以前から思っていたのだが、社会財っていったいなんだろう?
Social heritageは社会遺産だろうし、Social propertyなんて英語の辞書にもない。最大善意に解釈するとinfrastructureのことなのだろうか? でもそれなら社会インフラは既に日本語になっているから…ISO第三者認証制度は社会財だと主張した人に聞くしかないか……




注1
品質保証とはISO規格では「品質要求事項が満たされるという確信を与えることに焦点を合わせた品質マネジメントの一部」と定義されている。
難しくて私は何度か読み返さないとわけがわからない。平たく言えば、「客が受け取る製品が大丈夫だと信頼できるようにする活動」のことである。
勘違いしないように!
決してお渡しした製品が悪かったら、交換するという意味ではない。また渡した製品が大丈夫と保障することでもない。

注2
JABウェブサイト マネジメントシステム認証機関の認定(ISO/IEC 17021)
注3
「2019年版 中小企業白書」



うそ800の目次にもどる
うそ800始末にもどる。