ISO 9001:2015 疑問あれこれ

弊社では設計・開発業務を実施していません。2008年版では除外を宣言していたのですが、2015年版では、除外というものがなくなってしまったようです。どうすればいいでしょうか?

設計・開発を実施していないことをQMSの適用範囲に記載し、適用不可能であることを示す正当な根拠を提示して下さい。御社の製品・サービスの設計・開発については、箇条8.4「外部から提供されるプロセス、製品及びサービス」の要求事項に基づいて対応する必要があることに留意して下さい。

「プロセスアプローチ」とは何を意味するのでしょうか?

単純に表現すると「相互に関連し合うプロセスを一つのシステムとして理解し、運用管理すること」です。したがって、個別の計画や手順を見るだけでなく、システム全体としての俯瞰的な見かたが必要となります。

2015年版への対応として、リスクマネジメントを実施しなければなりませんか?

いいえ。ISO 9001:2015では、リスクマネジメントは要求事項ではありません。リスク及び機会に関する要求事項にどう対応するかは、それぞれの組織が決めることです。同様に、環境マネジメント、情報セキュリティマネジメント、そして、知識マネジメントも、ISO 9001:2015では要求事項とはなっていません。

事業のリスク及び機会をすべて洗い出さなければならないのでしょうか？　どこで線引きをすればいいですか?

いいえ、すべてを洗い出す必要はありません。線をどこで引くのかは組織が決めることです。「密接に関連する」という用語、並びに、リスクに基づく考えかたを忘れないで下さい。

実際問題として「トップマネジメント」はだれのことでしょうか?　CEOを監査するなど考えられないのですが。

トップマネジメントの定義は「最高位で組織を指揮し、管理する個人又は人々の集まり」となっています。もし御社でこの定義に当てはまるのがCEOであるならば、はい、CEOが監査されることになります。いずれにしても「品質マネジメントシステムの採用は、組織の戦略上の決定」ですので (箇条0.1「一般」参照)。

ISO 9000、 ISO 9001、ISO 9004の関係を教えて下さい。

ISO 9000「品質マネジメントシステム — 基本及び用語」は、ISO 9001を的確に理解し実施するために不可欠な予備知識を与えるものです。ISO 9004「品質マネジメント－組織の品質－持続的成功を達成するための指針」では、ISO 9001の要求事項を超え、組織としてさらなる前進を目指そうとする組織に対して、手引きを提示しています。(ISO 9001:2015の箇条0.4「他のマネジメントシステム規格との関係」、並びに附属書Aを参照)

私は個人事業主です。2015年版では、私が自分の事業を監査することができると理解していますが、この理解で正しいでしょうか?

はい。唯一徹底すべきことは「監査プロセスの客観性及び公平性を確保すること」(箇条9.2.2参照)です。ISO 9001:2008の箇条8.2.2「内部監査」では「監査員は、自らの仕事を監査してはならない」という制約がありましたが、2015年版ではこれが削除されました。

ISO 9001:2015の「外部提供者」とISO 9001:2008の「供給者」はどこが違うのでしょうか?

ISO 9001:2008の「供給者」は「外部提供者」に該当します。ただ、「外部提供者」には、検討が必要なカテゴリーがこれ以外に2つあります。ISO 9001:2008で「外部委託された」と見做されていたプロセス、並びに、QMSの適用範囲の要求事項への適合に関わる機能が大きな組織の他の部署によって提供される場合です。例えば、組織の調達機能がQMSの外にある場合、それは外部提供者と見做されます。

ある状況について、監査員は、私たちが測定をすべきだと言うのですが、私たちは監視で十分だと考えています。どちらが正しいのでしょうか?

場合によって異なります。決めるのは組織です(箇条9.1.1「一般」参照)。とは言え、これには条件が付いています。この点を理解するうえでもっとも参考になるのは「要求事項に対する製品及びサービスの適合を検証するために監視又は測定を用いる場合、組織は、結果が妥当で信頼できるものであることを確実にするために必要な資源を明確にし、提供しなければならない」(箇条7.1.5.1「一般」)です。また、箇条9.1.3「分析及び評価」で「組織は、監視及び測定からの適切なデータ及び情報を分析し、評価しなければならない。分析の結果は、aからgの事項を評価するために用いなければならない」と規定してあることも考慮しなければなりません。監視のみではこれに対する適切な証拠を示すことができない場合は、測定が要求されます。
注記: このことは、箇条8.4「外部から提供されるプロセス、製品及びサービスの管理」の要求事項にも当てはまります。

2015年版では、マネジメントシステムの適用範囲内にある製品すべてについて合否判定基準を設定する必要があるのでしょうか?

はい。ただ、正確に言えば、製品及びサービスすべてについて必要です。

密接に関連する利害関係者すべての密接に関連する利害すべてを本当に把握しなければならないのですか?

はい。ただ、だれが利害関係者か、どの利害関係者が密接に関連するのか、その要求事項のうちどれが密接に関連するのかを決めるのは組織です。

密接に関連する複数の利害関係者の密接に関連する利害が互いに相反している場合、どうすればいいでしょうか?　 どうすれば密接に関連する利害関係者すべてを満足させられるのでしょうか?

そんなことはできません。そうする必要はないのです。「品質マネジメントシステムの計画を策定するとき、組織は、4.1に規定する課題及び4.2に規定する要求事項を考慮し、・・・」(箇条6.1「リスク及び機会への取り組み」) という規定に留意して下さい。「考慮しconsider」はあくまでも「考慮」することだけであって、「満たす・満足させる」という意味ではないのです。

2015年版では、なぜ「予防処置」がなくなったのですか?

さまざまな理由があります。予防処置は、リスクに基づく考えかた、特に、リスク及び機会に対応する取り組みに置き換わりました。また、予防処置は、2008年版では、要求事項の一番最後にありました。どの順番で規格要求事項に対応するかは規定されていませんでしたが、通常、予防処置は「最後に」または「終わりに」検討するものと考えられていました。2015年版では、QMS全体が予防のためのツールであるという一般的な見解が反映されています。

ISO 9001:2015の導入によって、IDパスワードやアクセス権をレビューしなければならなくなると聞いたのですが、本当でしょうか？

恐らくその必要があるでしょう。文書化した情報がどんなもので、QMSにどのような影響を与えるかによって変わってきますが。アクセスは、文書化した情報に関連して組織が対応すべきことを示した要求事項の一覧に含まれています(アクセスの他には、配布、検索、保管、廃棄などがあります)。また、この要求事項には「該当する場合には」という限定詞が付いています。したがって、重要な記録へのアクセス(即ち、更新・削除する能力)を制限することが御社にとって重要である場合は、はい、レビューが必要です。他の媒体 (例：紙) へのアクセスも、アクセスという意味では、ITと同様に重要であることを忘れないで下さい。

受付係が「仕事でストレスを感じている」と監査員に話したため、その監査員は、ISO 9001:2015の箇条7.1.4「プロセスの運用に関する環境」に対する不適合を指摘しました。これは不適合として有効でしょうか?

まったく有効ではありません。ISO 9001:2015 (並びに他のすべてのISOマネジメントシステム規格)において、注記は要求事項ではありません。したがって、注記に対し、不適合ということはできません。

2015年版では、測定機器ではなく、「監視及び測定のための資源」という言葉が使われているのはなぜですか?

監視のための資源の中には機器ではないものもあるからです。例えば、「各チェックアウト担当者の前には5人以上の客がいないこと」という基準を使って、チェックアウト待ちの列をチェックしている、力量を備えた主任も、監視のための資源と言えるのです。

組織の知識は、「必要な範囲で」利用できる状態にしなければなりません。何に対して必要な範囲、と言っているのでしょうか?

「・・品質マネジメントシステムの確立、実施、維持及び継続的改善にとって・・・」です(箇条7.1.1「一般」参照)。

箇条6で計画が規定され、また、箇条8でも計画とあるのはなぜですか?

箇条6の計画はQMSの計画を意味しています。箇条8の計画は、運用に関するものです。ISO 9001の場合、運用に関する計画とは、製品及びサービスの提供に関する計画の策定のことです(箇条8.1「運用の計画及び管理」参照)。

顧客が規定した要求事項は満たしたが、さらなる期待には応えられたかった場合、箇条9.1.2に基づく不適合となりますか?

不適合にはなりません。顧客のニーズ及び期待が満たされている程度について、顧客がどのように受け止めているかを監視する必要はありますが、顧客の期待を満たさなければならないという要求事項ではありません。

QMSのプロセスすべてについてKPIを設定しなければいけませんか?

いいえ。KPIは、一般に、事業の指標 (測定)と理解されています。ここでは、品質以外の側面も網羅されています。また、KPIは、監視には使えません。

箇条4.3でQMSの「境界」と言っていますが、これは何でしょうか?

単純化して言えば、何が中にあり、何が外にあるかということです。これには、人々、プロセス、機能、事業所、製品及びサービスが含まれます。

QMSの「意図した結果」とは何を意味していますか?

単純化して言えば、顧客要求事項並びに適用される法令・規制要求事項を満たす製品及びサービスを一貫して提供することです。

設計の妥当性確認と設計の検証は、サービス分野と製造分野では、実際、どのように違うのでしょうか?

検証とは、規定要求事項が満たされていることの確認で、一方、妥当性確認は、特定の意図した使用又は用途に関して規定要求事項が満たされていることの確認です。したがって、検証はその製品・サービスは、意図したことを満たしているかを調べる「書類作業」と見ることもできます。妥当性確認は、使用または引き渡しにより行います。製品の場合は、意図したように使えることを意味しますが、この場合、必ずしも顧客に使用してもらう必要はなく、自社の人間が、ノコギリで切る、ブルドーザーで土砂を動かす、接着剤でプラスチックと金属を貼り合わせるなど、試しに使ってみることもできます。一方、サービスの場合、妥当性確認を行なうためには、実際にサービスを組織が顧客に引き渡す必要があります。ただ、これには、レストランで実験台の客を使ったり、新作映画をプレビューで見せたりといった、「模擬的」な引き渡しもあり得ます。