1. はじめに
ISOのマネジメントシステム規格は抽象的という話があります。これはさまざまな組織や産業で広く活用できるように配慮して書かれていることに加えて、マネジメントシステム規格の「PDCAの3階層モデル」も関係しています。
2. PDCAの3階層モデル
PDCAの3階層モデルを一言で表すと、(a)経営層、(b)マネジメント層、(c)現場層の3つ階層が互いに連携しながらそれぞれのPDCAサイクルを回して組織の目的を果たすというものです。
ISO 9001:2015(JIS Q 9001:2015)要求事項の解説における解説を次に引用します。
JIS Q 9001:2015は,
(a)組織が自律的に製品及びサービスの品質を通じて顧客に価値を提供することで持続的成功を目指すためのPDCAサイクル
(b)製品及びサービスに関連する品質マネジメントシステム構築のPDCAサイクル
(c)製品及びサービスを顧客に提供するためのPDCAサイクル
の三つを基に構成されている.
(b),(c)のサイクルは年度単位,四半期,月次など比較的短期間であるのに対し,(a)のサイクルは3年から5年の中期,年次など比較的長期
また、ISO 9001:2000の適用と進化(飯塚悦功)1で附属書SLのマネジメントシステムモデルの特徴の一つ目に「PDCAの3階層モデル」が挙げられています。
最も小さなPDCAは,ある製品・サービスのプロジェクトの運用におけるPDCA,その上は設計・構築し運用しているMSのPDCA,そして最上位は事業環境分析に基づきMSそのものの再設計を含むPDCAである。
業界の動向 QMS再考/経営と現場との戦略連鎖、一体感への回帰(村上正信)23の次の説明も併せると理解が深まります。
さらに着目すべき特徴は、この三層のPDCA環の夫々が「リスク及び機会への取組み」を介して連動していることである。まず、組織の外部課題/内部課題、利害関係者の要求事項等(箇条4)を踏まえて、取組むべき「リスク及び機会への取組み」を計画・決定し(箇条6.1)、現場で具体化し実施し(箇条8.1)、パフォーマンスを評価し、マネジメントレビューで改善の機会を明確にし(箇条9)必要に応じてシステムを更新・改善(箇条10)している。この一連の箇条には、図で示す様に「リスク及び機会への取組み」が埋め込まれており、PDCA環の連動に寄与している。トップマネジメントは「組織の事業プロセスに品質マネジメントシステム要求事項の統合を確実にする」ことを要求されており(箇条5.1.1c))、「リスク及び機会への取組み」を通じて統合を確実にしている。従ってこの「リスク及び機会への取組み」が戦略連鎖の要となっている。
これらの解説を参考に、ISO 9001:2015(JIS Q 9001:2015)要求事項の解説 p.180、図3.1から引用および加工して階層化したものを次に示します。
3. PDCAの3階層モデルの応用例
製品セキュリティ規制は医療機器や自動車といった高い安全性が要求される分野が先行していましたが現在はIoT機器も対象で、かつ、国内外におけるIoTセキュリティの標準化動向4で図示されるように規制は年を追うごとに厳しくなっています。
ISO 9001:2015は組織の状況(箇条4)で組織及びその状況の理解(箇条4.1)、利害関係者のニーズ及び期待の理解(箇条4.2)を要求し、計画(箇条6)でリスク及び機会への取組み(箇条6.1)、品質目標及びそれを達成するための計画策定(箇条6.2)を求めています。また、支援(箇条7)、運用(箇条8)、パフォーマンス評価(箇条9)、改善(箇条10)とPDCAが連なります。そこでIoT機器の製品セキュリティ規制対応をPDCAの3階層モデルで考えてみます。
(a)経営層
年々厳しくなる製品セキュリティ規制に応え続けられる部門横断の体制づくり、SoC5やPSIRT6のアサイン、人材の確保や力量開発、経営にインパクトを与える可能性のある規制の早期検知(監視とレビュー7)、製品セキュリティマネジメントの品質マネジメントへの統合、QMSの継続的改善といった3~5年の中長期的なPDCAが考えられます。
(b)マネジメント層
経営戦略や中期経営計画に沿って初年度、次年度、次々年度と段階を踏みながらSoCやPSIRTの構築や運用をしたり、規程や様式の整備、技術者教育といった年度単位のPDCAが考えられます。
(c)現場層
担当しているIoT製品を製品セキュリティ規制を満たすように日々開発するPDCAが考えられます。
現場層の個々の活動から組織のQMSの継続的改善まで各層が互いに連携する形で価値提供の取り組みを設計できるのが3階層モデルの特徴でありメリットです。
また、品質部門やQAエンジニアはJIS Q 9005:2023 6.2.3 品質部門の役割が示すように製品セキュリティ規制対応の問題や課題の整理、解決策の立案、QMSの継続的改善などの取り組みを通して経営層、マネジメント層、現場層を支援します。
4. おわりに
経営層、マネジメント層、現場層で取り組みは異なりますがマネジメントシステムの条文そのものは共通です。マネジメントシステムの条文はこれ一つで3階層に対応するスケーラブルな表現がされています。
にしさんの「モデルと作戦盤」にならっていえばマネジメントシステムの規格は手順書ではなく作戦盤です。さまざまな組織や産業で活用できるように配慮され、PDCAの3階層を網羅するようあえて抽象的に書かれていますが、ISO 9001:2015はソフト屋さんにはとっつきにくいところがあるもののISO/IEC/IEEE 90003:2018が用意されていたりほかのマネジメントシステムの規格と組み合わせやすいように附属書SLに沿った構成がされていたりもするので上手に利用するのがおススメです。
-
JAS情報2017年11月号 pp.4-8 ↩
-
デジタル臨時行政調査会作業部会 テクノロジーベースの規制改革推進委員会(第3回)資料2 IoTセキュリティ対策への新たな取り組みのご紹介と一提案(2022/12/1) ↩
-
Security Operation Center ↩
-
Product Security Incident Response Team ↩
-
JIS Q 9001:2015 4.1 組織及びその状況の理解 ↩