ビジネスニュースや実際のビジネスシーンにおいて、「ISO」という言葉をよく目にするのではないでしょうか。ISOとは「International Organization for Standardization(国際標準化機構)」の略称であり、製造業をはじめ建設業、小売業、IT業界など、幅広い業種・業界で採用されている認証規格です。ですが、ISOを取得することで得られるメリットについては、あまり知られていないのではないでしょうか。本記事では、ISOの基礎知識や種類についておさらいするとともに、企業・組織がISO認証を取得することによって得られるメリットについて紹介していきます。
そもそもISO(国際標準化機構)ってどんな組織なの?
スイスのジュネーブに本部を置くISOの主な活動は、国際的に通用する「ISO規格」を制定することです。ISO規格は、国際的な取引をスムーズにするために、何らかの製品やサービスに関して「世界中で同じ品質、同じレベルのものを提供できるようにする」ことを目的とした国際的な基準です。そしてISO規格の制定や改訂は、日本を含む世界165か国の参加国の投票によって決まります。
ISO規格は、製品そのものを対象にした規格と、組織の品質活動や環境活動を管理するための仕組み(マネジメントシステム)について制定される規格の大きく2種類に分けられます。後者は「マネジメントシステム規格」と呼ばれており、品質マネジメントシステム規格であるISO 9000シリーズや、環境マネジメントシステム規格であるISO 14000シリーズなどがよく知られています。
ISO取得で得られる効果
マネジメントシステムは「組織の規定や手順を定めること」「規定や手順を運営する従業員の責任・権限を定めること」という、一般的に企業・組織が遵守している取り組みとも言えます。では、認証を取得することで具体的にどのようなメリットを得られるのでしょうか。
1つ目は、「社会的信頼の獲得」です。認証機関という外部の第三者からの認証を得ることで、組織内外に対する説明責任を果たすことができ、それが社会的信頼へとつながります。
2つ目は、第三者の視点による「問題点の発見」です。ISOマネジメントシステム規格には、組織を管理・運営するために必要となる要求事項が定められており、審査の際、その要求事項を満たしているかがチェックされます。たとえ要求事項を満たしていなくても、審査によって問題点が洗い出されるため適切な処置を実施できるようになります。
3つ目は、定期的な審査による「継続的改善」です。マネジメントシステム認証を維持するためには、毎年審査を受ける必要があります。これにより、製品品質の維持や不良率の低下、顧客満足度を向上といった継続的な改善が可能となります。
ISO取得に求められる体制作りとは
マネジメントシステムを構築しただけでは、ISOを取得できません。構築したマネジメントシステムでPDCAサイクルを回し、継続的改善できる仕組みが求められます。マネジメントシステムを構築したうえで、そのマネジメントシステムを実行し、実行内容をチェックし、問題点があれば改善するというPDCAサイクルを実現できているかが、要求事項として定められています。
PDCAサイクルの構築に加え、ISO取得に必要な体制づくりも欠かせません。まずはISO担当者のアサインが求められます。次に要求事項をベースにマネジメントシステムを構築することになるため、日本規格協会グループが販売している要求事項も確認しておく必要があります。全社単位でなくても、事業所や部門単位でも取得することができるため、認証を取得する範囲もあらかじめ決めておきましょう。
その後、ISO審査機関による審査を受けることになります。ISO認証取得後は、名刺やWebサイトなどに登録マーク・認定シンボルを記載できるようになります。
代表的なマネジメントシステム規格に基づく認証制度
それでは、マネジメントシステム規格に基づく認証制度の中でも特に代表的なものをいくつか紹介しましょう。
●ISO 9001
1987年にISOメンバー国の投票を経て開発された規格がISO9000シリーズと呼ばれる品質マネジメントシステム(QMS: Quality Management System)規格です。
その基本となるISO 9001は、組織が品質マネジメントシステムを確立し、文書化し、実施し、かつ維持すること、そしてその品質マネジメントシステムの有効性を継続的に改善するために要求される規格となります。具体的には、品質マネジメントシステムの有効性を改善するために、プロセスアプローチを採用しており、組織内においてプロセスを明確にして、その相互関係を把握し、運営管理することと合わせて、一連のプロセスをシステムとして適用します。
●ISO 14001
ISO 14001は、組織が環境マネジメントシステム(EMS: Environmental Management System)を確立し、文書化し、実施し、かつ維持すること、そしてその環境マネジメントシステムの有効性を継続的に改善するために要求される規格です。サステナビリティ(持続可能性)の考えのもと、環境リスクの低減および環境への貢献を目指しています。
●ISO 50001
ISO50001は、エネルギーマネジメントシステム(Energy Management System)についての規格です。企業・組織が、エネルギーの効率、使用及び使用量を含むエネルギーパフォーマンスの継続的改善を達成するために必要なプロセスを規定しています。エネルギーマネジメントシステムは、「エネルギー方針及びエネルギー目的を確立する、相互に関連した、又は相互に作用する要素の集合、並びにそれらの目的を達成するためのプロセス及び手順」と定義されています。
ISO50001を活用することにより、企業・組織はPDCAサイクルを通じてエネルギー管理を行い、エネルギー使用の効率化やエネルギーコストの削減が可能となります。
●ISO 22000
ISO 22000は、食品安全マネジメントシステムに関する国際規格です。食品への危険物質の混入に対し、作業過程を整理・分析・管理することでそのリスクを減らすことを目的にしています。また、「HACCP(ハサップ)」と呼ばれる食品衛生管理手法をもとに食品安全のリスクを低減し、安全なフードサプライチェーンの展開を実現します。
●ISO 20000
ISO 20000は、ITサービスマネジメント(ITSM)に関する英国規格BS 15000をベースとして開発された国際規格です。ITサービスマネジメントとは、エンドユーザーのニーズとビジネス目標に対応するITサービスを計画して、継続的に提供およびサポートすることを指します。ISO 20000では、組織が効果的かつ効率的に管理されたITサービスを実施するためのフレームワークと評価仕様を定めています。ISO 20000に基づくマネジメントシステムは、IT部門が組織内部に導入することも、ITサービスを提供する企業が外部から実施することも可能です。
●ISO 27001
ISO 27001は、情報セキュリティマネジメントシステム(ISMS)に関する世界最高水準の国際規格です。ISMSでは、問題ごとの技術対策のみならず、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源を配分して、システムを運用するまでを、組織のマネジメントとして実施します。
ISMSの最大の目的は、リスクマネジメントプロセスを適用することによって情報の機密性、完全性及び可用性をバランス良く維持・改善し、リスクを適切に管理しているという「信頼」を顧客や取引先などの利害関係者に与えることにあります。そのためには、ISMSを、組織のプロセス及びマネジメント構造全体の一部とし、かつ、その中に組み込むことが重要となります。
Dropbox および Dropbox Sign がセキュアに利用できるワケとは
Dropboxでは、徹底したセキュリティ対策を施しており、先述した情報セキュリティマネジメントシステム規格であるISO 27001をはじめ、クラウドセキュリティの新しい国際規格であるISO 27017、クラウドサービスプロバイダに適用されるプライバシーとデータ保護の国際規格であるISO 27018、プライバシー情報マネジメントの国際規格であるISO 27701といった、セキュリティに関するISO認証を取得しています。
加えて、ビジネス継続性の国際規格であるISO 22301の認証も取得しており、全体的なリスク管理戦略の一貫として位置づけるとともに、危機的な問題が発生したときにスタッフと業務を保護します。
そしてクラウド電子署名ソリューション「Dropbox Sign(旧名 HelloSign)」もまた、ISO 27001認証を取得しており、情報セキュリティ上の脅威に未然に対処します。
Dropboxが企業・組織のISO取得を大きく後押し
実際にDropboxを導入してISO取得に貢献した事例を紹介しましょう。
医療機関の設備や機器を製造・販売する株式会社トーショー様では、かねてよりISO27001の取得を目指して社内の環境整備に着手していました。しかし、情報システム部門が把握していないシャドーITが多数あることが判明し、情報漏えいなどのリスクが増大してしまうといった課題に直面していました。
そこで同社は、Google Workspaceを全社標準の業務環境として導入することを決定し、ツールを整理・統合することで、より高度なセキュリティを維持することにしました。ところが、検討を進めるうちに社外との情報共有に関する問題が浮上したのです。
その課題を解決するために同社では、取引先などの社外との情報共有にはDropbox Businessを採用。社内はGoogle Workspace、社外はDropboxという社内外でのセキュアな情報共有の仕組みを確立した。これにより、2020年末に念願のISO27001取得に至ったそうです。
まとめ
あらゆる企業・組織活動において国際水準のコンプライアンスやセキュリティ、信頼性などが強く求められている昨今、ISOの各種マネジメントシステム規格の重要性はより高まっています。特に成長著しく利用者が急拡大しているITサービスにおいては、セキュリティをはじめとしたISO認証を取得しているかどうかは選定の大きなポイントと言えるでしょう。
自社や自社が導入するサービス事業者等に求めるべきISO規格について、見直してみてはいかがでしょうか。
