ISMSとQMSの認証取得に際して

こんにちは、マーケティング担当の金尾です。
先日ニュースリリースのページでもアナウンスさせていただきましたが、2018年6月3日付けでISMS(情報セキュリティマネジメントシステム/ISO27001)とQMS(品質マネジメントシステム/ISO9001)の認証を取得しました。
これにより情報セキュリティの面と品質管理の面でより組織的に管理され向上していく体制(仕組み)を名実ともに確立することができたわけですが、今回は弊社がISMSとQMSに取り組み始めた背景を少しご紹介させていただきたいと思っています。

まずその前にISMSとQMSについてあまりご存知のない方もおられるかもしれませんので、少しおさらいをさせてください(ちなみに私もよく認識していませんでした^^;)
日本適合性認定協会様のWebサイトから引用させていただくと、そもそもの「マネジメントシステム」のポイントについて以下のように述べられています。

この仕組みのポイントは、企業の一つ一つの製品やサービス、環境への取り組みの良し悪しを調べるのではなく、その企業が製品やサービスの品質を日々管理しまた改善したり、環境への配慮を日々向上させる努力をし続けることができるかどうかを確かめることにあります。
(出展:日本適合性認定協会 https://www.jab.or.jp/accreditation/system/

すなわちその企業の「製品の品質や取り組みの良し悪し」に対してではなく、「日々の企業活動がその目的に対して努力し続けられる状況になっている」ということを認証しているということです。かつ、その認証機関が日本だけでなく国際標準(ISO)に基づいているという点もポイントかと思います。
それを踏まえて、ISMSとQMSはそれぞれ以下の目的に沿って制定されています。

情報セキュリティマネジメントシステム(ISMS)認証 (ISO/IEC 27001)
ISO/IEC 27001の目的と意図
情報社会の高度化とともに、組織の持つ情報は重要な「資産」として認識されるようになりました。一方、情報資産は常に災害、ハード/ソフトウェアのトラブル、不正アクセスによる改ざん、関係者による漏えいなど、様々な脅威にさらされています。これらの脅威から情報資産を適切に保護し、情報の機密性、完全性を確保し、さらに情報の可用性を保持し、情報資産の価値を高めることを目的として、ISO/IEC 27001は開発されました。
(出展:日本適合性認定協会 https://www.jab.or.jp/iso/iso_iec_27001/

品質マネジメントシステム(QMS)認証 (ISO 9001)
ISO 9001の目的と意図
ISO 9001とは、企業などが、顧客や社会などが求めている品質を備えた製品やサービスを常に届けるための仕組みについて「国際標準化機構(ISO)」が定めた、世界共通の規格です。その仕組みを更に良くしながら顧客の満足度の一層の向上を目指すためには、どのような組織にしたらよいのか、責任分担をどうしたらよいのか、どのような方法で仕事をすればよいのかについて定めています。
(出展:日本適合性認定協会 https://www.jab.or.jp/iso/iso_9001/

ここまで来ると「あれ、ISMSとQMSについて少し間違った認識をしていたな」と思われた方もおられるかもしれませんが、ISMSは「企業内にある情報資産の管理を徹底する仕組みを確立し改善し続けることで、その情報資産の価値を高めることを目的」とし、QMSは「お客様や社会が求める品質の製品やサービスを提供し続けられる仕組みを確立し改善し続けることで、更なるお客様の満足度向上を目的」としている訳です。また、もう一つの大きなポイントはそれらの目的のために「組織的にもシステム的にも有機的に活動を行える体制が整えられ、かつその体制が定期的に確認され必要に応じて改善を図り続けられるものであること」と言えるかと思います。

本質に対して正面から向き合えば向き合うほど、単に認証を得るだけでなくその認証を得た後にこそ壮大なチャレンジが待っていると感じてしまいますが、弊社としては会社の規模が大きくなってきているこの時点だからこそ正面から取り組むべきと考えました。

そこでなぜISMSとQMSという選択肢だったかというと、まずISMSについては、これまでもいくつものIoT案件やシステム開発案件をさせていただく中で、やはり単に自社内の情報資産だけでなくお客様やパートナー様の情報資産を取り扱わなくてはならない状況でした。もちろんISMS認証を取得する前からも誠実に正しく情報資産の取扱いをさせていただいておりましたが、ISMS取得のプロセスにおいてそのことが証明され、また第三者の専門家の視点も加え精査することで更に明確なルール策定も行えました。また、昨年は恵比寿オフィスを新設しましたので、物理的に拠点が増えたこともISMS取得の理由のひとつでした。今回、社内的にも明示的なルールを策定したことにより、一層社員一人ひとりの情報セキュリティに対する意識が高まったと感じています。

またQMSについては、官公庁などの入札案件に備えてという側面もありましたが、ハードウェアの開発からシステム/アプリ開発をも行う弊社としては、ハードウェアとソフトウェアの両面で品質をマネジメントする仕組みの導入は必須でした。特に製品やサービスの品質に影響を与える外注先や仕入先の選定および管理監督をきちんと遂行できる能力をQMSの認証を取得することで証明し、お客様やパートナー様に安心して発注いただける状況を生み出すことは大きなメリットの一つと考えています。加えて、QMSに取り組み続けることで社内の業務標準の質も高めていけると考えています。会社が拡大してきている状況ではこの業務標準を整えることは将来を見据えても今取り組んでおかなくてはならないポイントでした。

ISMSもQMSも認証されてから如何に継続して検証・改善のプロセスを行っていけるかが本質だと思っています。今回認証をいただけたことはひとつの大きなポイントではありましたが、我々も継続して改善に努め、お客様・パートナー様に信頼いただける企業であり続けたいと考えています。

関連記事

  1. 名刺をはんだに持ち替えて〜あるハードウェア エンジニアの奮闘記〜

  2. 芳和がメーカーになるまで

  3. 最高にアットホームなBBQパーティに参加しました

  4. IoTを上手に活用する仕組み(後編)

  5. 現役大学生のプログラマー日記 #4

  6. 当社に新しい仲間が増えました!