ISOの指摘事項とは?指摘事項が出る基準や分類、対応方法を解説

この記事は約4分で読めます。

ISO規格の認証を受ける際、ISO認証機関による審査があります。

ですが、万全の準備をしても、審査項目に沿って、規格に沿っているかを審査する際に、不適合な部分や改善したほうが良い事項が見つかると指摘されてしまいます。

この指摘を「指摘事項」といいます。

では、そのISOの指摘事項はどんな基準で出るのか、その分類や対応方法について解説します。

また、ISO27001の取得をお考えの方へ、認証取得に必要な対応を抜けもれなく実施できるToDoリストを無料で配布しています。ぜひダウンロードしてご確認ください。

ISOについておさらい

そもそもISOっていったい何なのか、おさらいしておきましょう。

ISO(国際標準化機構:International Organization for Standardization)とは、スイスのジュネーブに本部を置く組織で、製品やサービスに対し「世界中に同じ品質で提供できるようにする」ことを目的としています。

そんなISOに認証されることで、世界中で同じ品質のものが提供されることを対外的に証明できます。

ISOが制定する規格については「モノ」「マネジメントシステム」の2つに分かれています。

ISOを取得する際は、どちらの規格に当てはまるか事前に確認しておきましょう。

ISOの指摘事項とは

ISOの指摘事項とは、ISO認証機関による基準と照らし合わせて審査し、ISOの要求事項を満たしていない事項のことです。

具体的には、マネジメントシステムの有効性や適合性に関する問題が指摘されることを指し、内部監査もしくは審査機関から指摘がされる可能性があります。

この指摘事項には、内部監査の結果を踏まえて審査機関から指摘がされる場合もあります。

後述する指摘事項の種類によっては、是正が必須となるケースもあります。

ISOの指摘事項と観察事項の違いとは

ISOの指摘事項には2種類あります。

  • 不適合
  • 観察事項

不適合の場合は「意図した結果を達成するマネジメントシステムの能力に影響を与える不適合」という意味で、そもそも要求事項を満たしておらず、是正を行わないと認証が取れないような重大な指摘事項なので、対応が必須です。

それに対し、観察事項軽微な指摘で規格の要求事項は満たしていますが、改善の余地がある場合に出されます。

観察事項に関しては、是正するかどうか検討することができ、場合によっては是正しなくても認証は取得(または更新)できます。

このように、認証するには指摘事項の是正が必須であり、一方の観察事項は是正をするかどうか自身で判断でき、認証自体は可能、というのが大きな違いです。

ISO指摘事項が出る基準

ISO指摘事項が出る基準は「要求事項を満たしているかどうか」になります。

ISOのマネジメントシステム規格は、その種類によって要求事項が異なります。

たとえば、品質マネジメントシステム規格なら

  • 責任・権限を明確にする
  • どんな製品なのかを表示や置き場所で明確にする
  • 製品要求事項を明確にする

といった、ものが要求されます。

これらの要求を満たせていないと認証ができないため、是正が必要な「不適合」と審査されてしまいます。

ISO認証とは、「マネジメントシステムがあるガイドラインに沿って構築できているかどうか」が問われることを理解して、審査に備えましょう。

ISO指摘事項の分類

ISO指摘事項の分類は「不適合」と「観察事項」ですが、不適合の場合、「重大な不適合」と、「軽微な不適合」の2つに分けるケースがあります。

重大な不適合」は、マネジメントシステムで意図している効果・結果に影響する不適合のことで、例えば、プロセス管理が適切に行われていない、製品やサービスが要求事項を満たしていない、と言ったことが挙げられます。

逆に、「軽微な不適合」は、マネジメントシステムで意図している効果・結果に影響しない不適合のことです。

この区分はISO/IEC 17021-1およびその日本語版であるJIS Q 27021-1に規定されています。

まとめ

ISO指摘事項について解説しました。

「不適合」や「観察事項」という形で指摘事項が伝えられるのです。

不適合や観察事項は少ないに越したことはありません。ですが、全く指摘事項がないのもあまり好ましくありません

観察事項がないということは、改善の余地がなく、企業における規格の形骸化が始まってしまう予兆といえるからです。「弊社のセキュリティ体制は完璧」という認識を持ってしまい、セキュリティ体制を改善していくことが出来なくなり、むしろ体制を見直すことをリスクに感じてしまいます。

不適合や観察事項が出てしまうことを、必要以上に恐れないようにしましょう

また、弊社LRMでは、ISO27001認証取得コンサルティングを実施しています。専属コンサルチームがクラウドツールで効率的に貴社の認証取得をご支援します。ぜひお気軽にお問い合わせください。

ISMS / ISO27001認証取得を目指す
タイトルとURLをコピーしました