mmjが取得したISO 9001、ISO 27001の認証とは?

アバター画像
QAエンジニア 川嶋
2023年11月08日
ISO 9001

この度、メディアマックスジャパン株式会社では、情報マネジメントシステムの品質およびお客様満足度の向上を目指すため、品質マネジメントシステムの国際規格である「ISO9001」と情報セキュリティマネジメントシステムの国際標準規格である「ISO/IEC 27001」を取得致しました。

この記事では、認証の詳細や弊社の取り組み内容についてご紹介させて頂きます。弊社の品質管理やセキュリティー対策についての取り組み方が分かりますので、ぜひご一読ください。

ISO認証とは?

「ISO認証」とは、ISOとはスイスのジュネーブに本部を置く非政府機関「International Organization for Standardization」(国際標準化機構)の略称です。その機関が定めた国際的な規模で基準を統一する規格として「ISO規格」というものがあります。

ISO規格の要求事項に適合しているかを審査して、基準を満たしていれば「ISO認証」を得られます。ISO認証は、組織と直接の利害関係のない独立した立場の方が審査する、第三者審査の認証です。

ISO認証取得の経緯

従来弊社では、QAチーム(「Quality Assurance」の頭文字を取った言葉で、商品やサービスの品質保証を担当する部署)によって、品質管理及びセキュリティー対策を講じておりましたが、「企業としての品質マネジメントの信頼性を示してほしい」というお客様のご要望にお応えするため、お客様の満足度と信頼性を一層高める取り組みとして、2022年後半から「ISO認証」の取得の検討を開始しました。

まず、ISOのコンサルタントにお話しを聞いた結果、現在のISOは以前ほど取得に業務的な負担がかからなくなったことがわかったので、取得準備を進めることにしました。といっても、準備を始めたのが2023年の1月で、認証を取得したのが同年10月ですので、終わってみれば10ヵ月以上にわたる長期プロジェクトになりました。

mmjが認証を得た2つのISO規格とは?

弊社が取得した「マネジメントシステム規格」に属するISO認証は以下の2つです。

  1. ISO 9001(品質マネジメントシステム)
  2. ISO 27001(情報マネジメントシステム)

ISO規格には様々な種類があります。大きく分けると「モノ規格」と「マネジメントシステム規格」の2種類です。mmjでは物理的な製品の製造は行っておりませんので、「モノ規格」ではなく「マネジメントシステム規格」の認証を受けることにしました。

また、同じ「ISO9001」や「ISO27001」でも企業によって掲載しているマークやシンボルが異なるため、mmjが掲載しているマークやシンボルについてもあわせてご紹介させて頂きます。

ISO 9001(品質マネジメントシステム)

ISO 9001ロゴ
認証範囲:WEBシステム開発、構築、運用保守 WEBサイト制作、運用保守

ISO規格の中の、QMS(Quality Management System=品質マネジメントシステム)に関する規格の一つで、一貫した製品・サービスの提供および顧客満足度を向上させるためのマネジメントシステム規格です。

国際的な「QMS認証制度」の基準になっていることもあり、最も普及しているマネジメントシステム規格がこの「ISO9001」規格です。

日本では「JAB」(Japan Accreditation Board/公益財団法人日本適合性認定協会)が「ISO9001」規格の認定機関となっています。「ISO9001」の認証を行った「マネジメントシステム評価センター」(MSA)の認証マークと、「JAB」の認定シンボルの組み合わせで表明しています。

ISO 27001(情報マネジメントシステム)

ISO 27001ロゴ
認証範囲:WEBシステム開発、構築、運用保守 WEBサイト制作、運用保守

情報セキュリティーに関してのマネジメントシステム規格です。情報セキュリティー規格には、ISO規格以外にも「Pマーク」や「ISMS」など、有名なものがいくつかあります。

「Pマーク」(別名PMS)は、「個人情報を適切に管理できているかどうか」を第三者が客観的に評価して認定しています。個人情報の持ち主のプライバシー権を保護する意味合いが強いものです。

一方、「ISO27001」は「組織が保有する情報資産について、どんなリスクがあるか」を認識して軽減するもので、個人情報を含む適用範囲内の全ての情報資産全般の管理を評価します。

そのため、「Pマーク」より「ISO27001」の方が保護対象の情報の範囲が広いのが特徴です。その点をふまえて、「Pマーク」ではなく「ISO27001」の取得を選択いたしました。

ISO27001の第三者審査の1つがISMS適合性評価制度

ISMSとISOの関係は少しややこしいのですが、「ISO27001」という国際規格ができるより先に、日本ではISMS適合性評価制度という日本国内の認定制度がありました。

「ISO27001」規格が登場したのち、日本語版の「JISQ27001」規格が発行され、「ISO27001」(JISQ27001)に適合していることを第三者が評価・認定する制度が「ISMS適合性評価制度」となりました。

「ISMS適合性評価制度」の認定を行っているのが「ISMS-AC」という機関です。そのため、「ISO9001」のように「ISO27001」認証を行ったマネジメントシステム評価センター(MSA)の認証マークと、ISMS-ACの認定シンボルの組み合わせで表明しています。


認証範囲:WEBシステム開発、構築、運用保守 WEBサイト制作、運用保守

ISO認証に向けて保証する品質を再定義し、運用を整備

先ほど比較の対象として挙げた「Pマーク」は、企業の規模に限らず「とにかく個人情報を守る」ことを目標としております。

一方「ISO」は、「個人情報にとどまらず利害関係やリスクを適切に管理しているか」という点も重要なポイントになっており、利害関係や何がリスクとなるかは企業や扱っている商品によって異なります。

そのため「このようにして品質を保証する」「重要な情報とは●●のことで、その情報をこうやって守る」といった、弊社に適した内容の宣言をしております。

「弊社が保証すべき品質とは何か?」「どのような情報が重要なのか?」という確認から始まり、「どのように運用と対策を行うか?」の確認・整備を行いました。

認証をきっかけに品質管理・セキュリティー対策のレベルが更に向上

元々弊社では、バグトラッキングや課題管理を行えるプロジェクト管理ソフトウェア「Jira」と、チームのナレッジやノウハウを一元管理できる情報共有ツール「Confluence」を利用しておりました。

これらのツールを利用している点について、ISOコンサルタントの評価が高かったこともあり、基本的な運用体制は特に変更せず、既存の管理ツールへの情報の追加や、まとめ・整理、運用の改善を行いました。

認証取得以前も、社内の「振り返り」や定例ミーティング等、業務改善の機会はありましたが、ISO認証を取得したことでシステムや案件毎ではなく、会社全体として品質向上やセキュリティー対策に取り組む良いきっかけとなりました。

管理ツールを用いた運用については、審査をしてくださった「マネジメントシステム評価センター」(MSA)の方からも好評で、初年度で頂くことが珍しいとされる「充実点」という、高い審査評価を頂くことができました。

一度「充実点」を頂いたら審査が終了するということはなく、ISOは毎年審査(維持審査や更新審査)があります。そのため今後も、定期的にコンサルタントの方を交えて、品質およびセキュリティーのさらなる改善や対策をおこなって参ります

課題解決のために、品質管理の行き届いたサービスをご提供

mmjではWebサービスの中でも「システム開発・運用」「WEBサイト制作」「Webマーケティング」に特化して、お客様の課題解決サポートを提供させていただいております。

全てWebによる課題解決という点は共通していますが、案件ごとに成果物や目的が異なり、運用フローにも違いがあります。今回取得した「ISO9001」や「ISO27001」に定められた模範基準を順守して、それぞれの運用に適した改善を講じていく所存です。

今後も、より一層すぐれた品質保証マネジメントシステムを構築し、お客様に品質管理の行き届いたサービスをご提供するとともに、情報セキュリティ管理体制を強化し、安心してサービスをご利用いただけるよう努めて参ります。

この記事を書いた人

アバター画像

QAエンジニア 川嶋

静岡在住のフルリモート勤務をするQAエンジニア。前職は大手SIerのエンジニア職。開発の勘所がわかる品質担当として頼られている。

投稿者の記事一覧を見る

2023年11月08日

記事のカテゴリ:

« »
Webエンジニア・プログラマー募集中
このページのトップへ