ISO規格と認証
21.09.06

最近はISO認証にたいして動きがないので、認証機関のパンフレットとか大学の先生が書いたISO認証の解説とか、目についたものを読み漁っている。
正直言って、なるほどとか、ためになったとか、知らなかったなんてものはない。反面、えっと驚くようなことが多々あった。

特に驚いたのは、某高専の先生がISO教育をしているという記事を読んだが、その先生はISO規格と認証が一体のものと考えているようだ。
認証機関のパンフレットとかウェブサイトに書いてあるものでも、ISOMS規格と認証の説明があるのだが、それだけを読むとISOMS規格と認証は一体のものとしか読めないものがいくつも見られる。
なお、認証機関名、URL、記事が書いてあった雑誌などをあげると支障があるので、ここでは具体名は出さない。


1992年頃、私が初めてISO認証をすることになったとき、私もISO規格と認証の関係がわからなかった。当時は今と違い情報が少ない。ISOの月刊誌もないし、解説した書籍もない。審査員研修や一般人対象のISO講習の広告など見たことがない。インターネットもないから途方に暮れた。

ISOコンサルなんて、私がISO認証を2回終えてから現れた。というか私の勤め先とほとんど同時に認証した会社の人がISOコンサルのはしりだった(笑)。あのときは独立してISOコンサルになるってすごいと思ったが、10数年後2000年代半ばになればコンサルの仕事がなくなった。まあ私より年上だったから定年になったと思えば損得はなかったのかもしれん。

1990年代初頭は情報がなにもない時代だったが、だからこそ情報収集のために、認証活動をしている会社を訪問したりISO認証機関を聞き歩いたりした。おかげでいろいろな知識が身に付いたのかもしれない。
現在ではISO認証の本もパンフレットもネットにもISOの情報は大量にあるから、情報を集める苦労はしないで済む。担当者は幸せだ。

だが、ISOMS規格と認証の関係をしっかり理解していないと、その先は怪しいことになる。いえ私が言っていることは、理解するほどのことではなく、書けばほんの数行のことだ。
本日はそれを語る。


そもそもISO9000sは第三者認証制度のための存在ではなかった。もちろんISO14001も認証のためのものではなかった。いや正確に言えば今もそうだ。
第三者認証がなくてもISOMS規格は存在できるが、ISOMS規格がなければ第三者認証制度は困ったことになるだろう。
最近のISO担当者というか私のようなISO第一世代以外の人は、そんなことを知らないのかもしれない。
ところでISOMS規格がなければ我々は困るだろうか?
あまり影響がないのが事実だろう。ISO9001が制定される前から品質保証協定があり、品質保証要求事項もあった。
ISO9001がないとき、品質保証要求事項はどのように決めたのかとなると、私は作成に関わったことがないから分からない。想像であるが、防衛庁とか米軍と取引があった企業が要求されたものを、そこが調達する品目に応じてアレンジしたのではないだろうか。更に下請けがそれをアレンジしてという流れだったと推測する。最初に作り上げたのはやはりすごいことだ。
では第三者認証がなければ我々は困るだろうか?
まったく影響がないというのが本当のところだろう。そして無駄なことをせずに品質保証に励み、環境保全に励んだほうが人類に貢献するように思う。


品質保証は第二次大戦で英米軍がドイツ爆撃をしたとき、不発弾が多いことが問題になり、その対策として考えられた。

B17爆撃機
B17爆撃機
これを描くのに30分もかかってしまったよ

昔の戦争映画で、ドイツ爆撃に飛ぶ爆撃機の機長が「爆弾の20%が不発弾だ」と文句を言うと、司令官が「じゃあ25%多く積んでいけ」と語るシーンがあった。それを見て私はものすごく前向きな考えだと感心した。
でもそんな発想では品質保証屋にはなれない。品質保証屋はおおらかでは勤まらない。ケチケチ、コセコセと、なぜ不発弾ができるのか? どうしたら減らせるかと考えなければならない。
実際には爆弾を25%増し積みしたのではなく、不発弾を減らすためにいろいろな工夫がされて、その方法が爆弾に限らず軍が調達するものに広く使われるようになった。それが品質保証である。

ちなみに第二次大戦の欧州爆撃のとき、爆弾の不発率は2割くらいあったらしい。日本を空襲したのはその1年後くらいで、そのときの不発率は1割といわれる。 アインシュタイン 今でも不発弾が見つかるのは当然だ。
驚くことにアメリカ軍の魚雷は命中しても半数が爆発しなかったという話もある。これじゃ潜水艦乗りは怒ってしまうだろう。アインシュタインが魚雷の対策に関わったのは有名な話である。


品質保証によって管理する範囲は当初は工程管理が主だったが、品質を確保するためにその上流(前工程)にも下流(後工程)にも広がっていく。
なお工程管理(process control)というと、多くの会社では生産の日程計画のイメージがあるようだ。自動制御を思いつく人もいる。しかし工程管理とは生産日程とも自動制御とも関係ない。
もの(ハードに限らずソフトやサービスも含む)を作るには、複数の工程(仕事とか作業といってもよい)があるが、個々の工程において管理すべきことをしっかりと計画し、工程がそれから逸脱しないようにすることだ。
何を管理するのかとなるが、俗に5Mといわれるものだけでなく、検査・保管・教育・設備管理などまで管理対象を広がる。

注:5Mとは人(man)、機械(machine)、方法(method)、材料(material)は必ず入るが、5番目は人によってmoney、management、measureなど異なる。
なおアメリカで5Mとはman、machine、medium、mission、managementで、日本のように独立した同格のものではなく下図のように包含関係にある。
項目が我が国の5Mとは違うが、ミッションやマネジメントがあるところを見ると日本より上位概念に思える。製造現場だけでなく、事務や管理業務にも適用できそうだ。
こういうのを見ると日本は具体的なことを考えるのは得意だが、システムとか包括的という観点では発想が弱い。

アメリカの5Mの図


当然、軍が調達するときの品質保証要求事項は軍の規格であった。その後、民用においても高度な電子機器あるいは安全要求が厳しい交通機関などにおいて品質維持のために品質保証要求がされることが多くなった。

もちろん技術を要し不具合があった場合に被害甚大な製品やサービスに限られた。民営化前のNTTや国鉄、原子力発電、電取法、薬事法、そしてもちろん防衛関係などの製品に携わっていた人なら品質保証要求というものに馴染みがあるはずだ。

注:B to Cはどうだったのかと問われるかもしれない。一般消費者は企業に対して品質補償を求めても、品質保証を望むわけがない。だから企業が自ら品質保証体制の構築の必要性を感じるまで始まるわけがない。
なお、内部品質保証については、1987年版ISO9000ではわずかに「備考」において「意図された品質が達成されているという信頼感を、組織の経営者に与えるための活動は、しばしば内部品質保証と呼ばれる」と記述があるだけだ。


品質保証要求は調達する企業が作成したから、当然調達する企業によって、品質保証要求事項は範囲も厳しさも異なるのは当然だ。
計測器 計測器管理においてA社は校正間隔を1年と指定し、B社は6か月ということもあり、半田付け作業ならC社は会社で作業者認定を要求し、D社は電子機器組立技能士の資格保有者を要求することもあった。

それで要求を受けた企業は、発注先の顧客要求が異なるとき、手間を増やさないためには計測器管理ならすべてを6か月にしてしまうか、それには金がかかるならB社対応だけ6か月で校正し、他は別扱いとすることもあった。
半田付け作業が重要なコンピタンスなら従業員全員に技能検定を受験させ、それに合格した者を社内認定すればC社もD社も満足させる。
そういうことをなるべく手間も金もかけないで済ますのが品質保証屋である。

発注する企業は品質保証協定を結べば、契約を遵守していることの確認のために品質監査をしなければならず、その手間は結構かかった。
現実のB to Bにおいて企業は多くの顧客を持ち、また多くの企業から調達している。だから品質監査はたびたびあった。監査されることも、することもお互いに手間暇かかる。
私が現場にいた1970〜1980年代、客先の監査が来るぞというと整理整頓から文書記録の見直しなど大騒ぎだった。

そこでもし品質保証要求事項を統一すれば、品質監査をどこかがすれば他の顧客企業はしなくても良いという発想が現れる。
それは可能だろうか?

それは不可能だ。なぜなら前述したように計測器管理だって技能者に対する要求だって、顧客企業によって異なるからだ。
だが品質保証要求事項を一般的な品質保証要求と固有の品質保証要求に分けて、一般的な品質保証要求事項だけを標準化して、固有の部分は品質保証規格を使う企業が加除してもらうという発想になった。

そうした考えから品質保証の国家規格は先進国のほとんどにおいて制定された。
イギリスではBS5750として国家規格(JISのように国が定めるもの)として制定された。1979年のことである。

ところでその年イギリスの首相に選ばれたのがマーガレット・サッチャーである。ソ連はタカ派の彼女を嫌い「鉄の女」と呼んだが、ご本人がそれをいたく気に入り、やがて彼女の代名詞となった。
マーガレット・サッチャー サッチャーさん、只者ではない。日の沈むことのないと呼ばれた大英帝国も当時既に斜陽、このまま衰えてよいものかと産業発展のツールとして品質保証を活用しようとした。

それで国が発注する仕事を取るにはBS5750の認証を受けなければならぬと決めた。品質保証の認証制度の誕生である。
このとき認定機関はまだなく、DTI(貿易産業省)が認証機関を認定した。
ともあれその結果、イギリスでは認証がドンドンと増えていった。それも製造業だけでなくレストラン、劇場などに至るまで品質保証の認証をするようになったとさ、

その結果?
あれから40年たった今、大英帝国の現状を見れば効果はなかったようです。

注:どうでもいい話だが、イギリス駐在員が帰国したとき雑談していて、「イギリスなんて言うなよ。大英帝国とかUKと言わないと日本の外では通用しない」と言われた。
でもそれならアメリカも一緒だよね、


やがて品質保証の国際規格を作ろうとなり、BS5750を基に作られたのがISO9001で1987年に制定された。
なおWTO TBT協定というものがあり、そこでは国際規格(ISO規格)があるものは国家規格(JISなど)を作っちゃいけないと定めている。
JISに公差規格があるじゃないかと言ってくれるな。あれはISOの公差の規格を翻訳した規格だ。IT公差というだろう? あれはISOが定めたInternational Toleranceの略だ。

品質保証の国際規格であるISO9001があるからには、ISO加盟国はそれを翻訳して国家規格にしなければならず、独自に品質保証規格を制定することはできない。言い換えると今まで独自に国家規格で品質保証を定めていた国は、それをISO規格に合わせなければならない。

ご注意願いたいが、1987年版のISO9001では、利用者が要求事項を加除修整してよいと明記してあった。つまり固有の品質保証要求の追加を当然としていたわけだ。
規格ではそれをテーラリング(修整)と言った。

例:ISO9001:1987 0. 序文
これらの規格は、通常このままの形で用いることを意図しているが、時には契約の特殊性に応じて修正の必要な場合もあるかもしれない。ISO9000は(中略)上記の修整を行う場合の指針を規定する。


1993年欧州統合によりEU EU が成立した。条約では加盟国の人も物もサービスも域内は自由に行き来できるわけだが、EU内にも先進国とそうでない国、工業国も農業国もあり、自国の産業保護のために完全に自由な移動を嫌ったのだろう。自由貿易できるものはISO9001認証の工場で生産されたものという制約を加えた。

この結果、EU域内だけでなくEU相手に商売する国々(ほとんど全世界だ)では、ISO認証が必要となった。当時日本は、パソコン、プリンターやコピー機などオフィス機器、情報通信機器(テレビ会議やネットなど)を大量に欧州に輸出していた。それらの企業とその下請け部品メーカーは認証に走り出した。
本当は日本製品の排除も狙ったのではないだろうか。ところが日本企業の対応は、EU域内の企業よりも早かった。20年後のRoHSもREACHもみなジャパン・イズ・ナンバーワン、ざまあ見ろ!


ところでここで大きなエラーが生じた。いつの間にか<固有の品質保証要求>が忘れられてしまったのだ。固有の要求事項とは製品仕様とは例えば管理項目とか管理基準のことだ。
第三者認証が前提となるとテーラリングを許すわけにはいかない。だってISOMS規格の一部を修正とか削除した要求事項で認証することを認めれば、A社の認証とB社の認証の意味合いは異なる。認証の意味合い(価値?)を同じにするなら、テーラリングについての記述を廃止するしかない。2000年改定でテーラリングは消えた。
ISO9001では具体的な項目もなければ基準もない。組織が勝手に管理方法を決めれば良いのだ。
それで良いのか?


1993年頃、ISO認証していても、固有の要求事項の監査を行っていた。私の記憶では、その部分は顧客企業が受入検査のときの検査員が行っていたと思う。
その後ISO9001認証がだんだんと増えてくると、いつの間にかISO9001を認証していれば顧客は品質監査をしないでOKとなった。いや、そう言わないとISO9001認証のメリット(ありがたみ)がないからだろう。

認証制度側としては、一般的でない固有の部分は顧客が品質監査をするという仕組みであると、認証ビジネス上支障となると考えたのではなかろうか?
調達企業としてはわざわざ品質監査に行くのが面倒(金がかかる)で、供給企業としては高い金を出してISO審査を受けているのに、更に従来通り顧客企業の監査を受けるならISO返上したい気持ちになる。

だがそれは不十分だ。本当は必要な品質保証要求が漏れて良いのか?
私の言っていることはおかしなことではない。ISO9001の要求事項だけでは足りないよということはISO9001:1987のときから、現行の2015年版までしっかりと記載されている。

参考
ISO9001:1987 0.序文
この規格(中略)の中に規定した品質システムの要求事項は、(製品・サービスに関する)技術的規定要求事項を補うもの(とって代わるものではない)であることを強調しておく。
ISO9001:2015 0.1一般
この規格で規定する品質マネジメントシステム要求事項は、製品及びサービスに関する要求事項を補完するものである。

そんな問題が起きるのはわかっていたはずだ。だからこそISO9001:1987ではテーラリングをしなさいと規格に何度も書いていたのだ。

考え中
なぜ、「ISO認証していても顧客による品質監査は省略できない」と声を出さなかったのだろう?
役に立たない標準化されたものと、標準化されなくてもまっとうなものと比べれば、どちらが良いのかは明白だろう。
田舎者の素直な疑問である。


そしてもうひとつ大きな間違いがある。
そもそもISO9001もISO14001も(たぶんその他のマネジメントシステム規格も)、第三者認証を目的としていない。
制定の意図は、ISO9001は品質保証要求事項の標準化であったはずであり、ISO14001は組織が社会経済的ニーズとのバランスの中で環境保全及び汚染の予防を示すものであった。

だから当然その用途(適用範囲)は

    ISO17001:1996 1 適用範囲
  1. マネジメントシステムを実施し、維持し及び改善する
  2. 表明した環境方針との適合を保証する
  3. その適合を他者に示す
  4. 外部組織による審査登録を求める
  5. 規格との適合を自己決定し自己宣言する
であったのだ。

言っていることは<ISO認証はISO規格というふんどしを借りたビジネス(金儲け)>ということだ。
ISOMS規格の存在意義とか価値というの、は認証とは無関係だ。
だがISO認証制度側はその事実を積極的に説明しない。意図しているとしか思えない。

だからその結果として、冒頭に書いたようにISO規格と第三者認証は一体のものだと勘違いする人が出てきたのではないだろうか?


結論である。
ISOMS規格の目的は第三者認証ではなかった。その後、主たる用途が第三者認証になったとしても、第三者認証はISOMS規格を借用しているに過ぎない。もちろん規格としては大いに引用・活用してもらうことは本来の意図であろう。
しかしISOMS規格解説において、ISOMS規格と第三者認証はセットであるとか、一体のものであるという理解は間違いである。

またISO9001は調達先への品質保証要求事項としては不足なのである。固有の品質保証要求事項を別途定めて要求しなければならない。もちろん品質監査も必要だ。

ISOMS規格や第三者認証について解説する方は、これを忘れないでほしいと切に願う。
忘れているのではなく知らないでいるなら、覚えておいてほしい。


うそ800 本日の愚痴

何事にも資格要件がある。結婚するには18歳以上、年金もらうなら65歳から、運転するには運転免許、そしてISO認証を語るなら最低限学んでおくべきことがあるだろう。
最低限を満たさない人にISO認証を語ってほしくない。
何を学べばよいのかと問われれば、簡単だ。各ISOMS規格の序文をひたすら読むことを推奨する。

私自身、自らISO認証したり認証の指導をしていた時は、4項以降の要求事項は端から端まで読み暗記した。しかし序文は読まなかった。序文をしっかりと読むようになったのは引退してからだ。

今日は引用文献がひとつもないから書くのは早かっただろうと言ってくれるな。ISO9001とISO14001の各版を脇に置いて書いたのは本当だ。




うそ800の目次に戻る