特集 ISOとは何か 新入社員のためのISOガイド2006
これだけは知っておきたい“ISO用語”
一般的に、ISO規格に使用される用語は、わかりにくいといわれている。特にISO規格が製造業向け規格としてスタートしたことから、サービス業ではなじみの薄い用語が頻繁に登場する。つまり、ISO規格を理解する第一歩は用語の理解から、といっても過言ではない。本項では、ISO9001、ISO14001、ISO27001で使用される用語、マネジメントシステム規格で使用される用語、さらに審査登録において使用される代表的な用語を一挙にまとめて、各項目とも50音順に記載している。
【管理責任者】 representative
管理者の中からトップマネジメントが任命した人で、与えられた他の責任とかかわりなく以下の事項の責任と権限を有している(複数名でも可)。具体的な権限と責任項目は(1)マネジメントシステム(MS)に必要なプロセスの確立、実施及び維持、(2)MSの実施状況及び改善の有無についてトップマネジメントへの報告、(3)組織全体にわたる顧客要求事項への認識を高める、などである。
【供給者】 supplier
製品を提供する組織または人(JISQ9000:2000 3.3.6)のこと。製品の生産者、卸売業者、小売業者、納入業者、サービス提供者などのことを指し、部品やサービスの購入先と考えればいい。契約関係では「契約者」と呼ばれる。
【記録】 record
達成した結果を記述した、または実施した活動の証拠を提供する文書(JISQ9000:2000 3.7.6)のこと。記録は文書の一部であるが、通常は記録の改訂管理を行うことはないので、文書とは区別して管理される。ISO9001:2000で要求されている記録は「4.2.4記録の管理」、ISO14001:2004では「4.5.4記録の管理」にそれぞれ規定されている。
【継続的改善】 continual improvement
要求事項を満たす能力を高めるために繰り返し行われる活動(JISQ9000:2000 3.2.13)のこと。PDCAサイクルのAct(改善)にあたる。方針、目的、監査結果、データの分析、是正処置や予防処置、マネジメントレビューを通じて行う継続的な改善を行うプロセスで、次期のPlan(計画)につなげていく。
【効率】 efficiency
達成された結果と使用された資源の関係(JISQ9000:2000 3.2.15)のこと。「QMSの効率」として言い換えれば、「QMSの計画の達成程度と費やされた資源の比率」ということになるが、ISO9001ではQMSの効率性にまでは言及していない。
【是正処置】 corrective action
検出された不適合またはその他の望ましくない状況の原因を除去するための処置(JISQ9000:2000 3.6.5)のこと。是正処置は、不適合の原因を特定し、再発を防止するために取る処置で、原因を除去することが目的。また、不適合の持つ影響力を考慮して是正処置を取ることが必要。修正や予防処置とは内容が異なり、修正は防止でない単なる処置、予防処置は発生を未然に防止するための処置なのに対して、是正処置は再発を防止するために取られる処置でもある。
【トレーサビリティ】 traceability
考慮の対象となっているものの履歴、適用または所在を追跡できること(JISQ9000:2000 3.5.4)。製品あるいはサービス提供後にクレームなどが発生した場合、組織がどこまで製品あるいはサービスの内容を追跡できるかということ。製造履歴、処理の履歴、出荷後の製品の配送及び所在をたどること。
【内部監査】 internal audit
JISQ9000:2000「3.9.1監査」では、監査基準が満たされている程度を判定するために、監査証拠を収集し、それを客観的に評価するための体系的で、独立し、文書化されたプロセス、としている。内部監査は組織自らが行うため、第一者監査とも呼ばれ、(1)MS規格要求事項への適合、(2)組織が決めた要求事項への適合、(3)MSが効果的に実施され、維持されているかなどを監査することである。監査には、顧客が行う第二者監査、審査登録機関が行う第三者審査がある。なお、監査者は被監査部署から独立していることが求められている。
【文書】 document
情報及びそれを保持する媒体(JISQ9000:2000 3.7.2)のこと。例としては記録、仕様書、手順書、図面、報告書、規格などがある。文書体系は一次文書(マニュアル)、二次文書(規定類)、三次文書(手順書、作業指示書)などのピラミッド構造になる。「文書化された手順」とは、ある事柄を他の人に伝えるために、ある媒体を用いて表現し、伝達することであり、ISO9001では六つの文書化(文書管理、記録の管理、内部監査、不適合製品の管理、是正処置、予防処置)が、ISO14001:2004では運用管理のみが求められている。
【マネジメントレビュー】 management review
トップマネジメントがMSの目標やシステム自体の適切性、妥当性及び有効性を判定するために行う活動のこと。ISO9001:2000では「5.6」項において、ISO14001:2004では「4.6」項において、それぞれインプット項目とアウトプット項目の詳細が記述されている。
【有効性】 effectiveness
計画した活動が実施され、計画した結果が達成された程度(ISO9000:2000 3.2.14)のこと。ISO9001では、QMSの有効性について継続的に改善することが求められており、上記定義と合わせれば、「QMSの計画の達成程度」を意味する。
【要求事項】 requirement
明示されている、通常暗黙のうちに了解されている、または義務として要求されているニーズもしくは期待(JISQ9000:2000 3.1.2)のこと。 ISO規格では「shall」が要求事項となる。製品要求事項、QMS要求事項、顧客要求事項、法的要求事項などがある。また、規定要求事項とは文書で示された要求事項のことをいう。
【予防処置】 preventive action
起こり得る不適合またはその他の望ましくない起こり得る状況の原因を除去するための処置(JISQ9000:2000 3.6.4)のこと。予防処置は、まだ発生していないが、発生する可能性のある不適合に対して、未然防止を目的にその原因を除去するために取られる処置。
【アウトソース】 out source
組織が自社の業務を外部委託すること。JISQ9001では参考として、“あるプロセス及びその管理を外部委託すること”と解説している。ISO9001では、アウトソースしたプロセスの管理を確実に行うことが要求されているが、この場合の管理は「7.4 購買」のプロセスで管理することが多い。
【インフラストラクチャー】 infrastructure
組織の運営のために必要な施設、設備及びサービスに関するシステム(JISQ9000:2000 3.3.3)のこと。基本的には組織内に存在する施設、設備、サービスのことを指すが、ISO9001では製品要求事項への適合のために必要な施設、設備、サービスを明確にし、提供し、維持することが要求され、電気・ガス・水道、ハードウェア・ソフトウェア、輸送・通信などが例としてあげられている。
【監視・測定】 monitoring and measurement
監視は「規制または管理を行う目的で、定期的に測定または試験する」ことを意味し、「測定」は、「対象物の程度、量を評価することまたは決定すること」を意味する。ISO9001では要求事項への適合を実証するための監視・測定として、顧客満足の監視、内部監査、プロセスの監視測定、製品の監視測定、さらに監視・測定機器の管理についても要求している。
【顧客満足】 customer satisfaction
顧客の要求事項が満たされている程度に関する顧客の受けとめ方(JISQ9000:2000 3.1.4)のこと。ISO9001は、品質保証だけではなく、顧客要求事項を満たすことによって顧客満足の向上を得ることを目指している。具体的な要求事項としては、顧客要求事項の明確化(7.2.1)と顧客満足の程度の監視(8.2.1)である。ただし、ISO9001で求められる顧客満足のレベルは、顧客要求事項に対して不可のない程度である。
【コミットメント】 commitment
公約、関与、公式な表明などの意味。ISO9001ではトップマネジメントがコミットメントの証拠を、法的・規制・顧客要求事項を満たすことの周知、品質方針の設定、品質目標の設定、マネジメントレビューの実施、資源の提供によって示すことを要求している。
【妥当性確認】 validation
客観的証拠を提示することによって、特定の意図された用途または適用に関する要求事項が満たされていることを確認すること(JISQ9000:2000 3.8.5)。ISO9001では、設計・開発段階、製品・サービスの提供段階において、結果として得られる製品・サービスが要求事項を満たしているかどうかを客観的証拠によって証明することが要求されている。
【適用除外】 exclusion
ISO9001:2000の要求事項について、組織に該当する活動が存在しない場合、適用を除外することが認められている。ただし、認められるのは「7章 製品実現」の要求事項のみ。除外に際しては、顧客要求事項、規制要求事項を満たす製品を提供する組織の能力、または責任が、何らの影響を及ぼすものでないことを正当に証明できなければならない。
【品質管理/品質保証】 quality control/quality assurance
品質管理:品質要求事項を満たすことに焦点を合わせた品質マネジメントの一部(JISQ9000:2000 3.2.10)。品質保証:品質要求事項が満たされるという確信を与えることに焦点を合わせた品質マネジメントの一部(JISQ9000:2000 3.2.11)。つまり、品質管理は「製造時の製品の品質責任」であり、品質保証は「製造後の市販製品の品質責任」ともいえる。
【品質計画】 quality planning
品質目標を設定すること、並びにその品質目標を達成するために必要な運用プロセス及び関連する資源を規定することに焦点を合わせた品質マネジメントの一部(JISQ9000:2000 3.2.9)のこと。ISO9001では、品質目標を設定し、その目標や規格の要求事項を満たせるようにシステムを構築するための計画と、実際にそのシステムの中で個別の製品を実現していくための計画が要求されている。
【品質方針】 quality policy
トップマネジメントによって正式に表明された、品質に関する組織の全体的な意図及び方向付け(JISQ9000:2000 3.2.4)のこと。組織がQMSを構築・運用することの目的、方向付け、姿勢などをトップマネジメントが指針として表明するもの。要求事項では、規格への適合及び継続的改善に対するコミットメント、品質目標の設定及びレビューのための枠組みなどを含むことが要求されている。
【品質マネジメントシステム】 quality management system
JISQ9000:2000の定義を総合すれば、「品質に関して、組織を指揮し、管理するため、方針及び目標を定め、その目標を達成するためのシステム(JISQ9000:2000 3.2.3、3.2.2)」といえる。頭文字をとって「QMS」と略されることもある。代表的なものに「ISO9001:2000 品質マネジメントシステム-要求事項」がある。
【品質目標】 quality objective
品質に関して、追求し、目指すもの(JISQ9000:2000 3.2.5)のこと。品質方針を実現するために組織の部門、階層ごとに設定される具体的な実施計画の目標。ISO9001では、品質方針と整合性があり、判定可能な目標設定が要求されている。ただし、判定は必ずしも数値を基準としたものでなくてもよい。
【不適合製品】 nonconforming product
要求事項を満たしていない製品のこと。ISO9001では、不適合製品が誤って使用されたり、引き渡されたりすることを防ぐための識別、管理を要求している。ただし、権限を持つ者及び顧客が使用、出荷などを許可するケースもあり、これを「特別採用」という。
【プロセスアプローチ】 process approach
組織内において、プロセスを明確にし、その相互関係を把握し、運営管理することとあわせて、一連のプロセスをシステムとして適用すること(JISQ9001:2000 序文0.2)。組織の各業務や工程を「プロセス」ととらえ、プロセスへインプットされたものが変換されアウトプットされ、また次のプロセスへインプットされるという一連の流れを表す考え方。ISO9001:2000ではQMSを構築、実施し、有効性を改善していく際にこの考え方の採用を推奨している。
【環境影響】 environmental impact
有害か有益かを問わず、全体的にまたは部分的に組織の環境側面から生じる、環境に対するあらゆる変化(JISQ14001:2004 3.7)のこと。「環境側面」が環境に与える負荷の“原因”とすれば、「環境影響」は環境に与える“結果”と考えるとわかりやすい。例えば、自動車の排気ガスが「環境側面」とすれば、「環境影響」は大気汚染という図式になる。
【環境実施計画】 envioronmental programme(s)
組織の目的・目標を達成するために作成する計画で、目的・目標、実施項目、手段、期間、責任部署などを明確にし、実施活動を周知することをいう。ISO14001:1996では「環境マネジメントプログラム」と称していたが、2004年版からは使用していない。
【環境側面】 environmental aspect
環境と相互に作用する可能性のある、組織の活動または製品またはサービスの要素(JISQ14001:2004 3.6)のこと。「環境影響」の項で説明したように、組織の活動によって地球環境に与える負荷の原因のこと。環境マネジメントシステム(EMS)では環境側面を抽出して、環境影響の評価を行い、組織が管理する「著しい環境側面」を特定し、それをマネジメントするシステムということもできる。なお、「著しい環境側面」とは、組織の活動が環境に与える負荷のうち、特に大きなもの、重要なものをいう。
【環境パフォーマンス】 environmental performance
組織の環境側面についてのその組織のマネジメントの測定可能な結果(JISQ14001:2004 3.10)のこと。要するに、EMSなどによって、環境負荷低減活動でどのくらいの成果を得たかということであり、測定が可能なもののこと。
【環境負荷】 environmental load
人または人の活動が環境に与える負担のことをいう。別の言い方をすれば、人の活動によって生じる、環境に加えられる影響のことであり、環境保全の支障の原因となるおそれのあるもののことを指す。
【環境法規制】 environmental regulations
組織に関連する環境上の法令、条例のこと。JISQ14001:2004では法の順守が強調されているので、最新の法規制内容をチェックすることが求められる。主な法令としては、(1)環境基本法、(2)循環型社会形成推進法、(3)水質汚濁防止法、(4)大気汚染防止法、(5)廃棄物の処理及び清掃に関する法律、(6)再資源の利用の促進に関する法律、(7)化学物質の審査及び製造等の規制に関する法律、(8)省エネ法、(9)土壌の汚染に係わる環境基準について、(10)ダイオキシン類対策特別措置法、(11)PRTR法、(12)容器包装リサイクル法などがある。
【環境方針】 environmental policy
トップマネジメントによって正式に表明された、環境パフォーマンスに関する組織の全体的な意図及び方向付け(JISQ14001:2004 3.11)のこと。トップマネジメントによって決定された、EMSを運営するための組織の方針であるが、社・内外の関係者に理解してもらうことが重要な役割になる。状況の変化を反映して定期的に見直すことが必要。
【環境マネジメントシステム】 environmental management system、EMS
組織のマネジメントシステムの一部で、環境方針を策定し、実施し、環境側面を管理するために用いられるもの(JISQ14001:2004 3.8)のこと。環境活動に対する組織の方針、目的を定めて、その目標を達成するために、組織の環境側面に関して、相互に関連する要素をP(計画)⇒D(実施)⇒C(点検)⇒A(改善)のサイクルで回して管理し、継続的に改善することによって環境マネジメントシステムそのものをレベルアップさせる。
【環境目的】 environmental objective
組織が達成を目指して自ら設定する、環境方針と整合する全般的な環境の到達点(JISQ14001:2004 3.9)のこと。環境方針を受けてそれに整合する目的を設定するわけだが、「著しい環境側面」「法的その他の要求事項」「組織の技術上の選択肢」「利害関係者の見解」「組織の財政・運用及び事業の要求事項」などを考慮して決定する。
【環境目標】 environmental target
環境目的から導かれ、その目的を達成するために目的に合わせて設定される詳細なパフォーマンス要求事項で、組織またはその一部に適用される(JISQ14001:2004 3.12)。目標は実施できる場合は測定して定量化する。また関連する部門や階層における責任者の明示、達成するための手段及び日程を含む。なお、方針、目的、目標の関係は、環境方針⇒環境目的⇒環境目標という流れになるので、理解しておくことが必要。
【初期環境レビュー】 initially environmertal review
組織が自らの活動によって生じる地球環境への影響(環境影響)がどのような項目でどの位あるかを、サイト及びサイトを取り巻く環境に関して行う調査のこと。項目は法規制の要求事項特定、サイトの生産活動・業務及び製品の環境への影響、サイトの土地履歴、利害関係者の意見などの項目で、それらをを調査する。
【利害関係者】 interested party
組織の環境パフォーマンスに関心を持つかまたはその影響を受ける人またはグループ(JISQ14001:2004 3.13)のこと。一般的には消費者・ユーザーなどの顧客、供給者、納入業者、請負業者、従業員、地域住民、関係省庁、行政機関、業界団体、株主・投資家、保険・金融機関などを指す。
【GMITS】 Guidelines for the Management of IT Security
ISO/IEC13335、TRX0036(セキュリティマネジメントに関するガイドライン)で規格化されているITセキュリティマネジメントの方法論。特にリスクマネジメントの枠組みについては、ISMS構築運用上参照すべき点が多い。ISO/IEC27000(ISMS基本及び用語)の基本ドキュメント(ベースライン)に流用されるMICTS (Management of ICT Security)は、もともとGMITSのPart1(概念及びモデル)、Part2(管理及び計画)を再編成したものである。
【機密性・完全性・可用性】 C.I.A
情報セキュリティの三要素。C.I.Aは機密性(Confidential)、完全性(Integrity)、可用性(Availability)の頭文字をとったもの。 機密性とは、アクセスを認可された者だけが情報にアクセスできるようにすることであり、IDとパスワードによる個人認証などが機密性を高めるための対策となる。完全性とは、情報や情報の処理方法が正確かつ完全である(改ざんされていない)ことを保護することであり、デジタル署名などが完全性を高めるための対策となる。可用性とは、許可された利用者が必要な時に情報資産にアクセスできることであり、回線の二重化やバックアップシステムなどが可用性を高めるための対策となる。
【脅威】 threat
情報資産に損失を与える要因のこと。GMITSでは人為的脅威と環境的脅威に分類している。人為的脅威には操作ミス、不正行為、テロ行為などがある。環境的脅威には地震、台風、落雷、電磁波障害などがある。情報資産、ぜい弱性とともに情報セキュリティリスクを構成する一要素。
【残留リスク】 residual risk
管理策を実施してリスクを低減させることはできても、リスクを完全に取り除くことはできない。このリスク対応を実施した後もなお残るリスクのことをいう。
【情報資産】 information asset
情報そのものだけでなく、情報を取り扱う仕組みまでを含めた概念。書類、データだけでなく、ハードウェア、ソフトウェア、設備、ファームウェア(媒体など)、要員、文書までも包括する。ISO27001では、この含意を受けて情報資産に替えて「資産」という言葉使われることになった。何を企業の情報資産とするか(守ろうとするか)は、企業の業種や業務特性などで個別に決定する必要がある。脅威、ぜい弱性とともに情報セキュリティリスクを構成する一要素。
【情報セキュリティインシデント】 information security incident
組織内ネットワークへの不正侵入発生など、事業運営を危うくする確率及び情報セキュリティを脅かす確率が高い特定状況が発生した状態のこと。インシデントの発生の背後には、情報セキュリティ基本方針への違反の可能性、管理策の不具合の可能性、あるいはセキュリティに影響を及ぼす未知の状況などインシデントにつながる兆候である情報セキュリティ事象(イベント)が存在する。インシデントの発生を抑制するには、発生の兆候を監視し適切な対応を実施しておく必要がある。
【脆弱性】 vulnerability
脅威の発生を誘引するようなセキュリティ対策上の欠落点のことをいう。建物・設備の物理的保護欠如、ソフトウェア・ハードウェアの保守不足、不充分なパスワード管理、バックアップコピーの欠如、保護されていない通信回線、文書廃棄時の注意欠如、監督不在などがあげられる。情報資産、脅威とともに情報セキュリティリスクを構成する一要素。
【セキュリティホール】 security hole
システムのセキュリティ上の弱点。多くはソフトウェアの設計ミスなどによって生じる。公開サーバのセキュリティホールを放置しておくと、悪意のあるユーザーに攻撃され、Webサイトの情報が改ざんされたり、機密データが漏洩したり、他のコンピュータを攻撃する踏み台に利用されたり、ワームがコンピュータに感染する入口ともなりかねない。アプリケーションソフトやOSにセキュリティホールが発見された場合、修正プログラムが無償で配布されるため、ユーザ登録し、また自動アップデートなどの設定をしておくのが一般的である。
【方針】 policy
組織の全般的な情報セキュリティへの取組み(ISMSの包括的な方向性)を記した方針文書である、ISMS基本方針。事業上の要求事項や関連する法規制などに対応するため、ISMSの枠組みの中でも、特に個別的に経営陣としての方向性を明確にすべき事項を記した、情報セキュリティ基本方針(ISMS基本方針の枠内で管理される)。アクセス制御など個別のリスク管理方策の方向性を記した方針。ISMSでポリシーとされるものには、以上三つの階層がある。なお一般にセキュリティポリシーという場合、情報セキュリティ基本方針と情報セキュリティ対策基準をいう(情報セキュリティポリシーに関するガイドライン)。
【モバイルコード】 mobile code
あるコンピュータから別のコンピュータへ移動するソフトウェアで、利用者とのやり取りがほとんどない、またはまったくない状態で自動に起動し、特定の機能を実行するもの。Webサイトを訪れたユーザーに動的なコンテンツを提供したり、よく行うタスクを自動化したりするために頻繁に利用されるが、悪用されやすい。このセキュリティ対策がISO27001で追加された。
【リスク】 risk
一般的には利得や損失が発生する不確実性と定義されるが、ISMSにおいては、主に損失だけをもたらして利得の機会を得ることのない純粋リスクを指す。(これに対し、株式投資や新製品開発など、利得を得る可能性のあるものを投機リスクと呼ぶ)。ISMSで使われるリスクの概念はISO/IECガイド73リスクマネジメント用語集の「事象の発生確率と事象の結果の組み合わせ」から援用されている。ISMSでリスクを表現する場合、発生確率と結果のパラメータとして、脅威の発生確率、脅威を誘発するぜい弱性の度合い、資産の損失価値の三つを指標化して利用する場合が多い。[例]リスク=脅威の発生頻度×ぜい弱性の度合い×資産の損失価値
【リスクアセスメント】 risk assessment
リスク分析からリスク評価までのプロセス。まず、対象領域を決定し、リスク因子を特定する。次にリスクの発生頻度と損失規模を推定し、リスク全体を見積もる。最後にこの見積結果をあらかじめ規程したリスク受容基準と比較する。なお、リスクの構成要素を数値化して見積もり、リスクを数値化して表すことを定量的リスクアセスメント、構成要素とリスクを影響の大小など数値以外で表すことを定性的リスクアセスメントという。
【リスク対応】 risk treatment
リスクを変更させるための方策を、選択及び実施するプロセス。リスクを変更させる方策は、組織の方針に応じて、次の4つの選択肢から選択する。リスクに対して適切な管理策を適用する(リスク低減)、あらかじめ定めた受入レベル以下のリスクを受け入れる(リスクの受容)、リスクを構成する要素の執行や運用を停止する(リスク回避)、リスクを構成する要素を含む事業を他者にアウトソースしたり、何らかの形で保険による担保を行うといった移転や担保を実施する(リスク移転)。組織はこの選択に応じて、管理の方法を詳細化する。
【リスク評価】 risk evaluation
算定したリスクと、経営陣が受容可能なリスク水準として承認したリスク基準とを比較するプロセス。受容可能か否かはリスク評価実施時点であるため、その後資産価値やリスク因子などに変化が生じた場合にはリスク値を見直し、追加的なリスク対応が必要となる場合もある。
【リスク分析】 risk analysis
情報を系統的に使用し、リスク因子(脅威と脆弱性)を特定し、リスクを算定すること。確保すべきセキュリティレベルを設定し、必要な対策を選択して一律に適用する「ベースラインアプローチ」、経験や判断による「非形式的アプローチ」、セキュリティ要件を識別し、詳細なアセスメントを行う「詳細リスク分析」、複数のアプローチを組合わせる「組合せアプローチ」という四つのアプローチ方法がある。
【リスクマネジメント】 risk Management
リスクアセスメント、リスク対応、リスクの受容(risk acceptance)、リスクコミュニケーションからなる。すなわち、リスクマネジメントを適切に行うためにリスクアセスメントを実施して適切な対応を行って損害発生の未然防止や損害最小化を行う一連のプロセスがリスクマネジメントである。リスクの受容とはリスク対応後リスクを受け入れる意思決定のことである。リスクコミュニケーションとは、利害関係者との間でリスク情報を交換・共有することである。ISMSは、組織として、情報セキュリティリスクに対するリスクマネジメントをPDCAの枠組みで継続運用する仕組みである。
【審査】 audit
認証取得を希望する組織に対して審査登録機関が行う審査のこと。審査は認証取得時(初回審査)、定期(サーベイランス)、更新時(更新審査)に行われる。審査は組織の規模(適用範囲の従業員数により異なる。QMSの場合は組織における設計・開発の有無、EMSの場合は組織における環境負荷の程度)などによって「審査工数」が決定され、文書審査、現地審査に分けて行われる。
【審査員】 auditor
審査登録機関において受審組織の審査を行う人。審査登録機関に属して審査を行うためには、審査員としての評価を受ける必要がある。評価は審査登録機関が審査員採用に際して実施している評価と、審査員評価登録機関で実施している評価がある。ただし、後者の評価を受けても自動的に審査登録機関の審査員に採用されるわけではない。したがって審査登録機関で採用され、追加評価を受けた後にその審査登録機関の審査員となる。評価登録機関の審査員のランクとしては、審査員補・審査員・主任審査員の3段階がある。
【審査員研修機関】 auditor training body
審査員資格の取得条件である審査員研修コースを実施する機関(2006年3月13日現在のJAB認定:品質10機関、環境12機関、JIPDEC認定:14機関)。なお、審査員研修機関の認定作業については、2006年末までにJABから審査員評価登録機関(JRCA、CEAR)へ移管される予定である。
【審査員評価登録機関】 auditor evaluation certification body
品質マネジメントシステム審査員、または環境マネジメントシステム審査員資格申請者に対して評価し、資格を付与する機関。日本ではQMS審査員の評価登録を(財)日本規格協会品質システム審査員評価登録センター(JRCA)、EMS審査員の評価登録を(社)産業環境管理協会環境マネジメントシステム審査員評価登録センター(CEAR)、ISMS審査員の評価登録を(財)日本情報処理開発協会ISMS審査員評価登録室がそれぞれ行っている。
【審査登録機関】 registration body
組織が構築したQMS、EMSが規格要求事項に合致しているか審査し登録する機関(2006年3月13日現在のJAB認定審査登録機関は品質52機関、環境43機関、JIPDEC認定ISMS審査登録機関は20機関)。その他海外で認定を受けている機関を含めれば品質、環境とも約70機関が活動している(アイソムズ調べ)。
【認定機関】 accreditation body
第三者審査登録機関が認証を行う際に、その機関が行った適合性評価が不適格なものとならないよう中立的な立場で審査登録機関の能力を審査することを「認定(Accreditation)」という。その審査・認定を行う機関を「認定機関」といい、日本では(財)日本適合性認定協会(JAB)があり、QMS、EMSの審査登録機関、審査員研修機関、審査員評価登録機関の認定業務を行っている。また、ISMS認定機関として(財)日本情報処理開発協会ISMS制度推進室(JIPDEC)があるが、JABも名乗りをあげた。
<アイソムズ 2006年4月号掲載>
