ims認証機関認定の実施に係る指針md 19情報マネジメントシステム...

情報マネジメントシステム

ＩＭＳ認証機関認定の実施に係る指針ＭＤ1９

JIP-IMAC219-1.0

2016 年 9月 30日

一般財団法人日本情報経済社会推進協会

〒106-0032 東京都港区六本木１丁目９番９号六本木ファーストビル内

Tel:03-5860-7570 Fax:03-5573-0564

URL https://www.isms.jipdec.or.jp/ ＪＩＰＤＥＣの許可なく転載することを禁じます

JIP-IMAC219-1.0

改版履歴版数制定／改訂日改定箇所（改訂理由）備考 1.0 2016.9.30 初版

JIP-IMAC219-1.0

1

１．目的

この文書は、JIP-ISAC100（ISMS 認証機関認定基準及び指針）、JIP-ITAC100（ITSMS 認

証機関認定基準及び指針）、JIP-BCAC100（BCMS 認証機関認定基準及び指針）、及び

JIP-CSAC100（CSMS 認証機関認定基準及び指針）に基づく認定の実施に係る共通の指針を

示すものである。

２．指針

1）この指針は、一般財団法人日本情報経済社会推進協会情報マネジメントシステム認定センタ

ー（以下、本協会という）が IAF1(国際認定フォーラム)必須文書 IAF MD19:2016（複数サ

イトの組織（サイトのサンプリングの適用が適切でない組織）が運用するマネジメントシ

ステムの審査及び認証のための IAF 必須文書 2）（以下、IAF 必須文書という）の原文 3を

日本語に翻訳したものを使用する。この指針には、IAF 必須文書の日本語訳を添付してい

る。

2) この指針に添付している IAF 必須文書の日本語に対し、“ISO/IEC 17011”は“JIS Q 17011”、“ISO/IEC 17065”は“JIS Q 17065”、“ISO 9001”は“JIS Q 9001”、

“ISO/IEC 17021-1”は“JIS Q 17021-1”、“ISO/IEC 27006”は“JIS Q 27006”と、

それぞれ読み替える。

3）IAF 必須文書に記載されている IAF 相互承認協定（MLA）に関する事項は、協定への加

盟を想定したものであるが、加盟できる体制にあることを前提としている訳ではない。

1 IAF：International Accreditation Forum, Inc. 2 IAF Mandatory Document For The Audit and Certification of a Management System operated by a Multi-Site Organization (where application of site sampling is not appropriate) 3 本協会は、IAF指針の著作権は IAFが保持しており、正本は英語版であることを認めている。

JIP-IMAC219-1.0

2

（このページは空白です）

IAF MD19:2016 International Accreditation Forum, Inc.

Issued: 31 March 2016 Application Date: 31 March 2017 IAF MD19:2016 Issue 1

© International Accreditation Forum, Inc. 2016

IAF Mandatory Document

複数サイトの組織（サイトのサンプリングの適用が適切でない組織）が運用する

マネジメントシステムの審査及び認証のための IAF 必須文書

Issue 1

(IAF MD 19: 2016)

注：この文書は、IAF Mandatory Document for the Audit and Certification of a Management System operated by a Multi-Site Organization (where application of site sampling is not appropriate) - Issue 1（IAF MD19:2016）の内容を変更す

ることなく、本協会及び公益財団法人日本適合性認定協会が翻訳したものである

が、原文だけが正式な IAF 文書としての位置付けをもつ。原文は、IAF ウェブサイ

ト（P.12 参照）から入手できる。

2016 年 9 月 30 日

一般財団法人日本情報経済社会推進協会情報マネジメントシステム認定センター

IAF MD19:2016 International Accreditation Forum, Inc. Issue 1 IAF Mandatory Document for the Audit and Certification of a Page 2 of 12 Management System operated by a Multi-Site Organization (where application of site sampling is not appropriate)



国際認定フォーラム（IAF）は、IAF 認定機関メンバーによって認定された適合性評価機関

（CAB）が発行する適合性評価結果が全世界で受け入れられるよう、認定機関（AB）間に

おける相互承認協定を世界的規模で運用することにより、貿易を推進し、規制当局を支援し

ている。

認定は、認定された CAB が認定の範囲内において業務を行う能力をもつことを保証するこ

とによって、事業及びその顧客にとってのリスクを軽減する。IAF メンバーである AB 及び

それらに認定された CAB は、適切な国際規格及びその一貫した適用のための該当する IAF基準文書に適合することが要求される。

IAF 国際相互承認協定（MLA）に加盟している AB は、認定スキームの運用に信頼を与え

るために、選任された相互評価チームによる定期的な評価を受ける。IAF MLA の構造と範

囲は、“IAF PR 4-Structure of IAF MLA and Endorsed Normative Documents”に詳述され

ている。

IAF MLA は 5 つのレベルで構成されている。レベル 1 は全ての認定機関に適用される基準、

ISO/IEC 17011 を規定している。レベル 2 の活動と、対応するレベル 3 の基準文書との組

合せを MLA のメインスコープと称し、レベル 4（該当する場合）及びレベル 5 の関連する

基準文書の組合せを MLA のサブスコープと称する。

• MLA のメインスコープは、例えば製品認証のような活動と、ISO/IEC 17065 などの

関連する基準文書を含む。メインスコープレベルにおける CAB による証明は、同等に

信頼できると見なされる。 • MLA のサブスコープは、例えば ISO 9001 などの適合性評価に関する要求事項と、該

当する場合スキーム固有の要求事項（例えば ISO TS 22003 など）を含む。サブスコ

ープレベルにおける CAB による証明は同等と見なされる。

IAF MLA は、市場による適合性評価結果の受入れに必要な信頼性を提供する。IAF MLA加盟認定機関に認定された機関によって、IAF MLA の適用範囲内で発行される証明は、世

界中で認知されることができ、それによって国際貿易を推進する。




目次

0 序文 ...................................................................................................................... 5

1 適用範囲 ............................................................................................................... 5

2 定義 ...................................................................................................................... 5

3 この文書で提案する方法の説明 ........................................................................... 7

4 審査及び認証のための方法 .................................................................................. 8

5 審査工数の計算 .................................................................................................. 12

6 認証文書 ............................................................................................................. 12

第１版 IAF 技術委員会による作成 IAF メンバーによる承認日付：2016 年 1 月 12 日発行日：2016 年 3 月 31 日適用日：2017 年 3 月 31 日問い合わせ先：Elva Nilsen

IAF Corporate Secretary 電話番号：+1(613)454–8159 Email: [email protected]




IAF 基準文書への序文

この文書で使用されている用語“should”（望ましい）は、この規格の要求事項を満たすこと

の、認知された手段であることを示す。適合性評価機関（CAB）は、規格の要求事項を同等

の方法で満たすことも、それを認定機関（AB）に対して実証できれば可能である。この文

書で使用されている用語“shall”（なければならない）は、関連する規格の要求事項を反映し

たそれらの規定が強制されることを示す。




複数サイトの組織（サイトのサンプリングの適用が適切でない組織）が運用するマネジメントシステムの審査及び認証のための IAF 基準文書

0 序文

この文書は、サイトのサンプリングを認めない認証スキーム内にサイトのネットワークをも

つ組織におけるマネジメントシステムを審査し、適切であれば、認証するためのものである。

その目的は、すべてのサイトにおける、関連する規格に対するマネジメントシステムの実施

に審査が適切な信頼を与えること、及び審査が経済性及び運営面で現実的であり、実施可能

であることを確実にすることである。

1 適用範囲

この文書は、マネジメントシステム認証機関（CB）に対し、ISO/IEC 17021-1: 2015 の 8.2項及び 9 項の一貫した適用のために義務づけられるものであり、サイトのサンプリングの適

用が適切でない、複数のサイトのネットワークをもつ組織が運用するマネジメントシステム

の審査及び認証にかかわるすべての状況を対象としている。ISO/IEC 17021-1 のすべての項

は継続して適用され、この文書が当該規格のいかなる要求事項にも優先することはない。し

かしながら、関連する規格が複数サイトの審査及び認証のための特定の要求事項を提供する

ことがある（例えば、ISO/IEC 27006、ISO/TS 22003）。

2 定義

2.1 組織

自らの目的を達成するため、責任、権限及び相互関係を伴う独自の機能をもつ、個人又は

人々の集まり。

（引用元：ISO 専門業務用指針、附属書 SL、定義 3.1）




2.2 常設サイト

依頼組織が、継続的に業務又はサービス提供を行う（物理的又は仮想の）場所。

（引用元：ISO/IEC TS 17023: 2013）

2.3 一時的サイト

依頼組織が限定された期間内に、特定の業務又はサービスを提供する（物理的又は仮想の）

場所で、常設サイトになることが意図されていないものである。

（引用元：ISO/IEC TS 17023: 2013）

2.4 複数サイト組織

単一のマネジメントシステムに含まれる組織であって、ある活動の計画、管理を行う特定さ

れた中央機能（当該組織の本社である必要はない）並びにそのような活動を全面的に又は部

分的に行う複数のサイト（常設サイト、一時的サイト又は仮想サイト）のネットワークから

なる組織。

2.5 中央機能

マネジメントシステムに対する責任を負い、かつ、それを中央で管理する機能。

備考：中央機能とは、そこから組織のトップマネジメントの管理及び権限が全サイトに及ぼ

されるところである。

2.6 仮想サイト

利用者が別の物理的な所在地からプロセスを実行することができるオンライン環境。

備考 1：そのような仮想サイトの１つの例は、設計・開発を行う組織において、すべての従

業員がクラウド環境によって遠隔地で仕事を行っているような場合である。

備考 2：例えば、倉庫保管、製造、物理試験を行う試験所、物的製品の設置や修理など、物

理的な環境でプロセスを実施しなければならない場合、仮想サイトと見なすことはできない。

備考 3：仮想サイトは、審査工数の計算上１つのサイトと見なされる。




2.7 主要プロセス

製品又は活動に直接関係するプロセスであって、いかなる失敗も適用される基準文書の目的

に対する適合性に直接影響するプロセス。

備考：このようなプロセスは、“中核あるいは価値創造プロセス”として参照されることがあ

り、通常附属書 SL の箇条 8 で取り扱われる。

2.8 補助的プロセス

適用される基準文書の目的に対する適合性に直接影響しない、支援的プロセス。

3 この文書で提案する方法の説明

この文書は、常設サイト、一時的サイト、又は仮想サイトのいずれかにかかわらず、複数の

サイトのネットワークにより計画、管理、かつ実現される活動を実施する組織の審査（第三

者認証を目的とした）を取り扱う。

いずれのサイトも、そのマネジメントシステムの適用範囲内の活動を全面的に又は部分的に

実施していてもよい。

しかしながら、この文書は、審査の計画及び実施において、サイトのサンプリングの適用が

適切でない状況を取扱う。それには、次のような多くの理由が存在するであろう。

- すべてのサイトが著しく異なる活動を実施する。 - 各サイトが審査されることを依頼者が要求する。 - 各サイトを系統的に審査することを要求するセクタースキーム又は規制要求事項が

存在する。

単一の法人又は複数の法人を範囲に含む組織のマネジメントシステムに関するいかなる法的

考慮も、マネジメントシステムの審査とは通常は関連性がなく、別に明記しない限り、本文

書では扱っていない。




審査及び認証されなければならないのは組織のマネジメントシステムであって、さらに、当

然のことながら、マネジメントシステムの審査は入手可能な情報の限定的なサンプルのみに

基づいている。

例えば、４つの異なる生産ラインを有する製造組織の QMS 審査の場合、それらのラインが

実際に単一のサイト内にあろうが、あるいは数百キロメートル離れた場所にあろうが、４つ

のラインすべてを審査する必要があることになる。従って、審査のためのロジスティクスが

地理的距離に見合ったものであることを必要とする場合でも、現地審査工数は著しく異なら

ないことが望ましい。

効率的かつ効果的な審査を計画し実施するために、審査に先立って CB は、その組織がマネ

ジメントシステムの適用範囲内の異なる活動をどこでどのように実施しているかを正しく理

解することに対して責任を有する。

審査プログラムの効果的な計画策定及び実施を確実にするための鍵は、以下の事項を含む。

- どのサイトでマネジメントシステムのどのような要素／プロセス／活動が実施され

ているかに関する知識を、計画段階で得る。 - 効率的かつ効果的な審査にするために、審査するマネジメントシステムの種類に応

じて、評価すべき重要な要素を確定する。 - 上記を考慮し、審査チームメンバーを選定する。 - 十分な現地審査工数を割り当てる。

4 審査及び認証のための方法

4.1 一般

4.1.1 次に示す方法に加えて、ISO/IEC 17021-1 のすべての適切な要求事項を適用しなけ

ればならない。

4.2 認証の適格性

4.2.1 組織は、マネジメントシステムに責任をもつ自身の中央機能を特定しなければなら

ない。

4.2.2 中央機能は、マネジメントシステムを規定し、確立し、維持するための、組織上の

権限をもたなければならない。




4.2.3 組織のマネジメントシステムは、中央集約的なマネジメントレビューの対象としな

ければならない。

4.2.4 すべてのサイトは、組織の内部監査プログラムの対象としなければならない。

4.2.5 中央機能は、すべてのサイトからデータが収集され分析されることを確実にする責

任をもち、かつ、次の事項に関して必要に応じ組織的な変更を行う自身の権限及び能力を実

証できなければならない。ただし、これらに限定されない。

(i) システムの文書化及びシステム変更 (ii) マネジメントレビュー (iii) 苦情 (iv) 是正処置の評価 (v) 内部監査計画の策定及び結果の評価 (vi) 適用規格に関する法令及び規制要求事項

4.3 申請のレビュー及び審査プログラム

4.3.1 CB は、次のために、組織に関する関連情報を入手しなければならない。

- 運用されているマネジメントシステムの範囲及び要求された認証範囲を確定する。 - マネジメントシステムを実施する異なるサイトを関連づける法的かつ契約上の取り

決めを理解する。 - “どこで何が起きているか”を理解する。すなわち、異なるサイト間及び活動間のイ

ンタフェースを確定し、別のサイトにおける活動の重複を特定する。 - 他の関連する要素を考慮する（IAF MD5、ISO/IEC TS 17023 も参照）。 - 審査工数を確定し、必要な審査チームの力量を確定する。 - 審査プログラムを確定する。

4.3.2 CB は、審査プログラムを確定する際、審査対象の組織特有の構成に応じて、移動、

審査チームメンバー間のコミュニケーション、各現地での開始会議及び終了会議、審査後の

ミーティングなど、計算された審査工数の一部ではない活動のための十分な追加時間を見込

まなければならない。

備考：審査対象のプロセスが遠隔審査に適切な性質である場合、遠隔審査技法を使用しても

よい（ISO/IEC 17021-1 参照）。




4.3.3 CB は、17021-1 の 9.3.1.2.2 項が要求する情報を入手するために、第一段階を複数

のサイトで実施する必要があるかを考慮しなければならない。

4.3.4 CB は、組織と共同して、各サイトで実施されるマネジメントシステムのすべての

プロセスを特定しなければならない（認証範囲に基づく）。これには、主要プロセス、パフ

ォーマンス評価及び改善のプロセス、並びに補助的プロセスが含まれる。

各認証周期において、審査プログラムは次の事項を順守しなければならない。

i 各審査において、各サイトで実施されるすべての主要プロセスを含める。 ii 各初回及び再認証審査において、またサーベイランス審査においては各認証周期で

少なくとも 1 回、すべてのパフォーマンス評価及び改善プロセスを含める。 iii 補助的プロセスを次の方法で含める。

a 初回審査及び再認証審査それぞれにおいて、すべての補助的プロセスを審査す

る。但し、異なるサイトで実施される類似した補助的プロセスは、サンプリン

グに基づいて確認することができる。 b サーベイランス審査においては、補助的プロセスを、サンプリングに基づき、

かつ、それまでの審査の結果に応じて、確認しなければならない。このサンプ

リングは、マネジメントシステムが要求事項に適合していることの評価を達成

するのに有効なサンプル数を確保するように設計されなければならず、かつ、

その３年周期の期間中に審査されるプロセスが、マネジメントシステムを合理

的に代表するように選択されていることを確実にしなければならない。

4.3.5 いずれの時点においても、複数のメンバーからなる複数の審査チームを使用する場

合、審査の各部分及び各サイトに要求される専門的力量を特定し、かつ、審査の各部分に対

して適切なチームメンバーを割り当てることが、チームリーダーと共に CB の責任でなけれ

ばならない。




4.4 初回審査：第一段階

4.4.1 第一段階において、審査チームは、次の事項のために情報を完全なものにしなければ

ならない。

- 審査プログラムを確認する。 - 各サイトにおいて審査すべきプロセス／要素／活動を考慮に入れて、第二段階を計

画する。各サイトで実施される主要プロセスに加えて、マネジメントシステムの有

効かつ完全な審査を確実にするために、審査チームは、どのサイトで主要でないプ

ロセスの実施を審査する必要があるかを選定しなければならない。 - 第二段階の審査チームが必要な力量をもつことを確認する。

備考：ここでいう主要でないプロセスとは、補助的プロセスだけでなく、パフォーマンス評

価や改善プロセスも意味する。

4.5 初回審査：第二段階

初回審査の結果で、審査チームは、各サイトでどのプロセスを審査したかを文書化しなけれ

ばならない。この情報は、それ以降のサーベイランス審査のための審査計画を修正する際に

利用することになる。

4.6 サーベイランス審査

4.6.1 CB は、各サイトの全主要プロセス及び他のプロセスを審査するために現地で費や

す時間を十分に割り当てなければならない（4.5 参照）。そのマネジメントシステムの要求

事項に対する適合性の評価を確実にするための有効なサンプル数が得られるならば、補助的

プロセスではサンプリングを実施できる（ISO/IEC 17021-1: 2015 の箇条 9.6.2.2 の要求事

項も参照）。CB は、その３年周期の期間中に審査されるプロセスが、マネジメントシステ

ムを合理的に代表するように選択されていることを確実にしなければならない。

4.6.2 各サイトに割り当てられる審査工数は、そのサイトが主要プロセスの活動をしてい

るか否かによらなければならない。

4.7 再認証審査

CB は、初回審査と同様にマネジメントシステムのすべてを審査しなければならない。CBは、現在の周期において、どのサイトでどのプロセスが審査されたかを考慮に入れなければ

ならない。




5 審査工数の計算

5.1 サイトの数にかかわらず、マネジメントシステムに対する総審査工数を計算するため

には、この文書中の要求事項と合わせて、関連する ISO 規格、IAF 文書（主に IAF MD5）、

及び必要な場合、適用されるセクタースキームの要求事項を採用しなければならない。

この審査工数は、もしすべての作業が単一のサイトで実施されたとした場合（つまり、その

企業の全従業員が同じサイトに勤務していると仮定した場合）の業務の規模及び複雑さに対

して計算して得られたであろう工数を下回ってはならない。

備考：単一サイトに対するサーベイランス審査工数に関する“３分の１”手法、並びに同じく

単一サイトに対する再認証審査工数に関する“３分の２”手法が適切となることは、通常ない。

IAF MD5 に複雑なロジスティクスとして示されるように、現地での開始会議及び終了会議、

重複するプロセス、審査対象である主要プロセスの多様性などのために必要な追加工数を考

慮しなければならない。

6 認証文書

6.1 認証文書は、認証範囲並びに CB が審査及び認証したサイト／法人を反映しなけれ

ばならない。

複数サイトの組織（サイトのサンプリングの適用が適切でない組織）が運用するマネジメン

トシステムの審査及び認証のための IAF 基準文書の終わり

追加情報

この文書又は他の IAF 文書について追加の情報を必要とする場合、IAF メンバー又は IAF事務局に連絡して下さい。

IAF メンバーの連絡先詳細については、IAF ウェブサイト参照：http://www.iaf.nu

事務局

IAF Corporate Secretary Telephone: +1 (613) 454-8159 Email: [email protected]