ISO認証取得までの流れや
審査をわかりやすく解説

ISO認証は、各ISO規格の要求事項を満たしたうえでISOの審査機関による審査を通過し、認められることで取得できます。ISO認証規格はいずれも取得後もマネジメントシステムの発展を目指しており、継続的に運用することが必要です。

そこで、この記事ではISO認証取得までの流れや取得後の運用についてわかりやすく解説します。

ISO認証制度の仕組み

ISO規格における「マネジメントシステム認証制度」の仕組みを解説します。
マネジメントシステム規格では、第三者認証である「マネジメントシステム認証制度」が採用されています。どのような仕組みかというと、ISO審査機関による認証審査を受けることで、自社のマネジメントシステムがISO規格の基準を満たしていることを証明してもらうものです。

そして、ISO規格では審査機関を認定する認定機関は、原則1か国に1機関と定めています。日本では日本適合性認定協会（JAB）と、情報セキュリティにおいては情報マネジメントシステム認定センター（ISMS-AC）の2つが認定機関になっています。

「認定機関」に認定された「審査機関（認証機関）」から認証してもらうことで、組織はISO規格を取得できるのです。ちなみに海外の認定機関（ANABやUKASなど）から認定されている審査機関でも、認証は可能です。

ISO取得の流れ①取得に向けて体制を整える

ISO規格を取得するまでの期間は、会社の規模感や適用範囲などにより異なりますが、コンサルに依頼した場合には取得までに半年～1年程の期間がかかることが一般的です。この長期間において、組織はどのような流れで活動するのでしょうか。

ここではISO取得の流れとして、まず取得に向けた自社の体制整備について解説します。

1.取得するISO規格や適用範囲などを決める

まずは、ISO規格を取得するISO規格を決めましょう。
マネジメントシステム規格には、例えば以下のような規格が挙げられます。

• ISO9001（品質マネジメントシステム）
• ISO27001（情報セキュリティマネジメントシステム）
• ISO22000（食品安全マネジメントシステム）
• ISO14001（環境マネジメントシステム）

各ISOマネジメントシステム規格の詳細は、以下の記事をご覧ください。

取得するISO規格が決まったら、以下の3つの項目についても決めていきます。

ISO規格を取得する適用範囲

適用範囲とは、その規格に定められたマネジメントシステムを、自社のどの範囲で構築・運用するかということです。例えば、会社全体、支店や工場といった事業所、対象となる部門、製品・サービスといった範囲を選択して取得できます。

取得サポートをコンサルティング業者に依頼するかどうかを決める

ISO規格の深い理解や経験のある人材がいない場合には、一般的にコンサルを依頼することがおすすめです。信頼できるコンサルに依頼することで、取得にかかる期間や費用、自社で行う工数を大きく低減できます。

コンサルティング業者に依頼した場合と自社取得の比較については、以下の記事をご覧ください。

審査機関（認証機関）を決める

審査機関とは、日本国内に50ほど存在しているISO認証取得の際に審査を行う機関です。ISO認証にマネジメントシステムが適合しているか、マネジメントシステムが有効に機能しているかを審査します。

審査機関ごとに、審査可能なISO規格や審査費用、審査の方針などが異なります。自社に適した審査機関がわからない場合、コンサルに相談することで自社に適した提案を受けられます。

2.キックオフ宣言を行う

キックオフ宣言とは、経営者がISO取得を社員に向けて宣言することです。
ISO規格を取得するには、社員の協力が欠かせません。キックオフ宣言は、ISO規格を取得することに対して、社員に前向きな意識をもってもらうための大切な取り組みといえます。

3.ISO担当者を決める

ISO規格取得に向けて、自社の中心となる担当者を決定します。その際、自分の業務を自分で監査はできないため2名以上置くと良いでしょう。

コンサルティング業者に取得サポートを依頼する場合には、コンサルタントとの窓口を担当することが一般的です。

ISO規格取得の流れ②マネジメントシステムを構築する

ISOのマネジメントシステム規格の要求事項では、組織の状況を明確にし、方針に従った目的達成のためのPDCAサイクルを構築・運用することを求めています。

要求事項の構成は各規格で基本的に統一されています。審査を受ける前に、ISO規格の要求事項に沿ったマネジメントシステムの構築とそれらを実際に運用している必要があります。

以下が、マネジメントシステムの構築に関する要求事項の項目です。

トップマネジメントが中心となり、自社のマネジメントシステムの構築・運営におけるリーダーシップを発揮することが重要です。従来の事業体制から変革していくため、社内外に自社の方針や目標などを明示する必要があります。

ISO規格取得の流れ③マネジメントシステムを運用する

この段階では、構築したマネジメントシステムを実際に運用し、評価・改善します。

1.マネジメントシステムを運用する

要求事項の「8.運用」の部分が運用にあたる部分です。

マネジメントシステムを改善するために、運用記録を正確に取ることが求められています。構築時に新たな品質マニュアル・ルールを策定した場合には、運用前に従業員の周知や協力を得ることが欠かせません。

2.内部監査とマネジメントレビューを実施する

マネジメントシステムを運用した結果、思ったような効果が得られているのかどうかを評価します。その際、行うのが内部監査とマネジメントレビューです。

要求事項の「9.パフォーマンス評価」、「10.改善」が評価にあたる部分です。

ISO規格取得の流れ④取得審査を受ける

マネジメントシステムを運用できたら、審査機関に依頼して認証審査を受けましょう。認証審査には、一次審査と二次審査があります。

1.一次審査（文書審査）

一次審査では、主にマネジメントシステムの構築時に作成された文書やISO規格で要求されている文書を審査します。

作成された社内規定やマニュアル、手順書などの文書が要求事項に適合しているかどうかを確認する審査です。

2.二次審査（現地審査）

二次審査では、一次審査の文書にて確認したとおりに業務が行われているかどうかを中心に運用体制を審査します。現場の運用状況を確認したり、担当者に質問したりして適合性や有効性を確認する審査です。

審査を受けた結果、認証されればISOの取得となります。
一方、不適合と判断される場合、「重大な不適合」と「軽微な不適合」の2つに分かれます。
「重大な不適合」は審査に落ちるとその場で告げられるもので、この場合は構築したマネジメントシステムを再構築し審査を受け直すことが必要です。重大な法令違反など対応に時間がかかるものに関しては法令違反をクリアにした状態にしないと審査を受けられません。

「軽微な不適合」であれば、審査後の2週間～1ヶ月で是正処置を完了すれば認証取得が可能です。是正完了後は、審査機関に報告し登録待ちとなります。

ISO規格取得の流れ⑤取得後も審査が必要

ISO規格は、認証登録されて完了ではありません。

ISO規格では、マネジメントシステムの継続的発展を目指しています。そのために、要求事項にあるようにPDCAサイクルを回し続けることが必要です。

特に、最近ではIT技術の進歩や働き方改革、インボイス制度の導入などさまざまな要因に対応していかなければなりません。こうした社会の変化に対応するためにも、自社のマネジメントシステムを改善していきましょう。

取得後にもISO規格を保有し続けるには、定期的に審査を受けることが必要です。取得後の審査には、以下の2つの審査があります。

維持審査（サーベイランス審査）

維持審査は1年に1～2回行われ、マネジメントシステム全体のおよそ6割程度の内容が確認される審査です。そのため、取得審査の6割程度の工数や費用となることが一般的です。

更新審査

ISO規格の有効期間は基本的に3年であり、更新審査はISO規格を更新するための審査です。そのため、3年に1回行われます。

更新審査では、マネジメントシステム全体の適合性や有効性を維持できているかや、3年分の運用記録などが確認されます。

それぞれの審査の詳細は、以下の記事をご覧ください。

まとめ

ISO規格取得するには、認証機関による審査を受ける必要があります。審査では、ISO規格ごとに定められている要求事項を満たしたマネジメントシステムが構築・運用できているかを確認されます。

そのため、ISO規格を取得するにはまずマネジメントシステムを構築・運用することが必要です。要求事項への深い理解が求められるため、多くの企業はコンサルティング業者に依頼しています。

ISO規格取得にかかる期間は、コンサルティング業者に依頼した場合には半年～1年程度となることが一般的です。はじめて取得する場合には、コンサルティング業者に依頼した方がスムーズに手順を進められるでしょう。