（2020.03.27）
ISO22301 事業継続マネジメントシステム―要求事項は、2019年10月に改訂されました。また、そのガイダンスというべき、ISO22313セキュリティとレジリエンス（回復力 ）-ガイダンスは、2020年2月に改訂されました。ISの改訂版は、2020年3月27日現在出版されていない。ISO22301：2019 の英文と日本語訳、及び、ISO22313：2020の英文は JSAより入手できる。

NEW ISO22313:2020 セキュリティと回復力(レジリエンス）-事業継続マネジメントシステム-ISO22301使用に関するガイダンス　　概要　（2010.03.27）
（原文より抜粋＝当社仮訳）
ガイダンスの意図は、ISO22301の要求事項の意味と目的を説明し、明確にし、解釈の問題の解決を支援することである。これらの文書の範囲は、ISO22301の要求事項を超えることがある。したがって、組織は、満たすべき要求事項を確認するために、常にISO22301を参照することが望ましい。 前版と比較した主な変更点は以下の通りである。
- この文書を ISO22301 の最新版と整合させるために、構造と内容を変更した。
- 重要な概念と用語を説明するためのガイダンスを追加した。
- ISO/TS 22332（開発中）に含まれる予定の8.4から内容を削除した。

0.6　中断・阻害は、組織全体の業務と製品やサービスを提供する力量を中断させる可能性がある。しかし、中断が発生する前に BCMS を導入することで、インシデント発生後に無計画に対応するのではなく、組織は、許容できないレベルの影響が発生する前に業務を再開することが可能になる。

事業継続管理には、次のことが含まれる。

a) 組織の製品やサービス、そしてそれらを提供する活動を特定する。

b) 活動を再開しないことによる影響と、その活動に依存しているリソースを分析する。

c) 事業中断のリスクを理解する。

d) 製品やサービスの提供を再開するための優先順位、時間枠、力量、戦略を決定する。

e) 途絶後、必要な時間枠内に活動を再開するための解決策と計画を用意すること。

f) あらゆる状況下で効果を発揮するように、これらの手配が定期的に見直され、更新されていることを確認すること。 

事業継続管理に対する組織のアプローチ及びその文書化された情報は、その文脈（例えば、事業環境、複雑性、ニーズ、リソー ス）に応じて適切であるべきである。

事業継続は、突然の中断・阻害（例：爆発）と漸進的なもの（例：パンデミック）の両方に対処する上で有効である。

NEW ISO31000:2019 リスクマネジメント－指針　概要　（2010.03.27）
ガイダンスの狙い：（序文）この規格は，リスクのマネジメントを行い，意思を決定し，目的の設定及び達成を行い，並びにパフォーマンスの改善のために，組織における価値を創造し保護する人々が使用するためのものである。
あらゆる業態及び規模の組織は，自らの目的達成の成否を不確かにする外部及び内部の要素並びに影響力に直面している。
リスクマネジメントは，反復して行うものであり，戦略の決定，目的の達成及び十分な情報に基づいた決定に当たって組織を支援する。
リスクマネジメントは，組織統治及びリーダーシップの一部であり，あらゆるレベルで組織のマネジメントを行うことの基礎となる。リスクマネジメントは，マネジメントシステムの改善に寄与する。
リスクマネジメントは，組織に関連する全ての活動の一部であり，ステークホルダとのやり取りを含む。
リスクマジメントは，人間の行動及び文化的要素を含めた組織の外部及び内部の状況を考慮するものである。
リスクマネジメントは，図1 に示すように，この規格に記載する原則，枠組み及びプロセスに基づいて行われる。これらの構成要素は，組織の中にその全て又は一部が既に存在することもあるが，リスクマネジメントが効率的に，効果的に，かつ，一貫性をもって行われるようにするためには，それらを適応又は改善する必要がある場合もある。
　　　　

　f）中断・阻害の詳細、実行されたアクション、および行われた決定を記録する。
などがあげられる。

ISO 22301:2019（事業継続マネジメントシステム－要求事項）発行　（2019.12.22）
BCMS適合性評価制度の適用規格であるISO 22301:2012が改訂され、2019年10月 にISO 22301:2019として発行されました。
　これに伴い、JIS Q 22301:2013(ISO 22301:2012)の認証取得組織は、 ISO 22301:2019への移行が必要になります。
１．認証の移行について
移行期間は、規格発行月の月末(2019年10月31日)を開始日とし、それから3年間(2022年10月30日まで)です。
JIS Q 22301:2013(ISO 22301:2012)による初回審査及び再認証審査が行えるのは、 移行期間の開始(2019年10月31日)から18ヶ月以内です。
　　　一般社団法人情報マネジメントシステム認定センター (ISMS-AC) HPより

IATF16949:2016 公式解釈集による実質改訂情報　(2019.10最新版)

3）機能解析、が強化され、いずれも「３D構造」となっている。
  1）計画と準備：プロジェクト計画、ベースラインFMEAの初期範囲と使用
  2）構造解析：視覚的描写、インタフェースの識別および 顧客 - サプライヤ間のコミュニケーション
  3）機能解析：機能および機能を満たすための関連要件/特性
  4）故障解析：「故障連鎖」の確立 - 故障モード、影響および原因
  5）リスク解析：予防および検出管理策の割り当て、S-O-D評価の割り当て、および行動の優先順位(AP)付け
  6）最適化：リスク軽減活動
  7）結果の文書化：実施された行動とその有効性、残存リスクおよび管理の要約
その他のトップレベルの変更：
 ・データ列数の大幅な追加を含む、より規範的なリスク解析フォーム:3D構造となった結果、フォームがスプレッドシートには収まりにくくなって、FMEAフォームの再構築が必要であろう。
 ・設計およびプロセスFMEA解析のための重大度、発生および検出指数の新しい定義
 ・相対リスクを分類するための「行動優先度(AP)」と呼ばれる新しい複合指標の使用：今までのRPNやS×O方式はもはや掲載されておらず、新たに「行動優先（AP)｣が紹介されている。所謂「マトリクス方式」(下記参考掲載)である。
 ・「モニタリングとシステムの対応」のリスク解析のための新しい補足設計FMEAの導入。(FMEA-MSR)が第4章に追加された。
尚、故障モードの定義は変わっていませんので、「JIS Z 8115の定義(故障状態の形式による分類。例えば，断線，短絡，折損，摩耗，特性の劣化など。)ではなく、「（DFMEAの定義)故障モードは、アイテムが意図した機能を満たすことまたは提供することに故障する可能性がある方法として定義されます(第1版)」、「（PFMEAの定義）故障モードは、プロセスが製品に意図した機能を提供または提供させない原因となる可能性がある方法」の使用が望まれます。

　　

IATF16949:2016 公式解釈集による実質改訂情報(2019.03.04、2019.08.18追補)

注目すべき解釈は、

1. No.3  6.1.2.3 緊急事態対応計画：情報技術システムに対するサイバー攻撃，の項目が追加された。

2. No.4.  7.2.3 内部監査員の力量 ：　製造プロセス監査員，及び 製品監査員は、軽減された。

※品質マネジメントシステム監査員，製造プロセス監査員，及び 製品監査員は，少なくとも次に示す力量を実証できなければならない。

a) 監査実施のための自動車産業プロセスアプローチの理解，これにはリスクベースの考え方を含む。

b) 適用される顧客固有要求事項の理解

c) 監査適用範囲に関して適用されるISO 9001 及び IATF 16949 要求事項の理解

d) 監査適用範囲に関して適用されるコアツール要求事項の理解

e) 計画し，実施し，報告し，監査所見を解決する要領の理解.

~　製造プロセス監査員，及び 製品監査員の力量要求の見直し

また、内部監査員訓練でのトレーナー力量実証要求は、組織内部の場合に要求されている。　この項は、かなり大きな新たな解釈変更なので、貴社の運用の見直しが必要かもしれない。

3. No.8 　8.4.2.3 供給者品質マネジメントシステム開発

  組織は，顧客による他の承認されたもの（例：下記の a 項）がない場合，その自動車製品及びサービス供給者に対して，適格組織としてこの自動車産業 QMS 規格への認証取得を到達目標として，ISO 9001 認証品質マネジメントシステム(QMS)を開発し，実施し，改善することを要求しなければならない。 リスクベースモデルを用いて，組織は受容れ可能な最低限のQMS 開発レベル及び各供給者に対する QMS 開発レベルのターゲットを規定しなければならない。 顧客によって正式承認されていない場合，ISO 9001 認証された QMS は，当初の，受容れ可能な 最低限の開発レベルである。顧客に対する現行のパフォーマンス及び潜在的なリスクを基にして，次に示す段階的な QMS 開発に沿って，供給者の目標レベルを上げていくこととする。 この要求事項を達成するために次の順番を適用するべきである。

  a) 第二者監査による ISO 9001 への適合性  

理由：。IATF16949 認証に適格でない組織（例として次を含むが，これらに限定されない：金属スクラッ プ供給者，運送及び補給支援などを提供するトラック輸送会社）に対処するため，第一段落に「該当する場合」を追加してさらに明確にした。

~　実質、b) 項の第三者審査による ISO 9001 認証が最低要求である。

4.　No.12 　5.1.1.2　プロセスの有効性及び効率性

トップマネジメントは，組織の品質マネジメントシステムを評価し改善するために，製品実現プロセス及び支援プロセス 品質マネジメントシステムの有効性及び効率性をレビューしなければならない。

変更の理由：

プロセスの各々に対して効率性の指標が要求されるものではないことを明確にした。組織は，品質マネジメントシステムの中のどのプロセスに対して効率性の指標を必要とするかを決定しなければならない。さらに，組織の問題解決プロセスに対する有効性のレビューが， 組織のマネジメントによって実施される必要がある。

5. No.13　 9.3.2.1　マネジメントレビューインプット— 補足事項

マネジメントレビューへのインプットには次に示すものを含めなければならない。

c) 製品実現プロセスのプロセス効率性指標（該当する場合）

6. No.14  9.2.2.2 品質マネジメント システム監査 :組織は，年次プログラムに従って3 暦年毎年間の監査サイクルにおいて，…

   完全な監査サイクルの期間は3年間のままとする。この3年間の監査サイクルの間に監査が実施される個々のプロセスの品質マネジメントシステム監査の頻度は，内部及び外部のパフォーマンス及びリスクに基づくものとしなければならない。組織は，自社のプロセスに割当てた監査頻度を正当とする理由を維持しなければならない。すべてのプロセスを3年間の監査サイクルの間にサンプリングすること，並びに，ISO 9001 基本要求事項及び顧客固有要求事項も含めて，IATF 16949規格中の適用されるすべての要求事項について監査することが要求される。

7. No.5  3.1  定義（追加）：組込みソフトの定義

２０１9年の課題-QMS (2019.01.04)
　

多くの組織では、２０１８年９月までにISO9001/14001、IATF16949の改訂移行を終えて改訂版での運用が進んでいると思いますが、運用の実効を上げるために、FMEAを究めることが今年のテーマではないかと思われます。既報の通り、FMEAは、今年第１四半期に、AIAGとVDAの統合マニュアルが正式発行される予定となっていて、ドラフト版を見る限り、VDAの方式に近い改訂内容になってゆくものと思われます。改訂FMEAは、今のところマニュアルですから、改訂版の運用が強制されるものではありませんが、おそらくここ２-３年中に多くの組織で採用されてくるでしょう。私がみている限り、どうも日本ではFMEAの運用がうまくいっていないように思えます。それは、FMEAが信頼性工学から派生してきた流れと、自動車産業からの流れ、さらには最近調べると、医療現場（ISO13485など）からのアプローチがあり、市販の参考書が圧倒的に信頼性工学系からのものが多いように思えます。それは、日本語での故障モードの定義の理解の差によるものと思います。JISZ8115の定義では、｢故障状態の形式による分類、例えば、断線、短絡、折損、磨耗、特性の劣化など。」となっていて、故障モードが断線、短絡などとすぐ結びついてしまい以後の原因、影響、O,D、RPNなどの解析が混乱してきてしまう点にあります。AIAGの第４版では、「故障モードとは,製品又はプロセスが設計意図又はプロセス要求事項を満たすことに失敗する場合の,その失敗の仕方又は方法と定義される。」とありますので、この定義で進めるのが少なくても自動車セクターでは第１歩です。医療系は、故障モードの定義も自動車セクターに近く、何よりヒューマンエラーの撲滅が至上命題ですから、ヒューマンエラー防止にはより進んだ解析を行っているように見えます。自動車セクターは、どちらかというと、機械装置などにより、人手を介さないエラープルーフに力を入れています。
そこで今年の提案としましては、FMEAマニュアル改訂を機に、できれば改訂FMEAの統合版で組織のFMEA運用を見直されてはどうかと思います。実際、最近コアツールの講習を依頼される組織様が増えてきており、第４版でご説明しても「役にたつFMEAがわかりすっきりした」と好評です。改訂統合版が発行されればまたご案内いたしますが、ドラフト版を見る限り、AIAG第４版でもやもやしてきたところがすっきりして、RPNによる最適化がわかりやすいと思います。従来の、RPN=S×O×D値による、閾値クリヤー方式はやめましょう。
今年も、貴社のQMSを一層発展させていかれるよう希望いたします。

JIS Q 45001（労働安全衛生マネジメントシステム）が、2018年9月28日に発行されました(２０１８.１０.０３）
　ISO45001のJIS版である、JIS Q 45001が正式に発行されました。日本規格協会から購入できます。なお、案内によると、日本各地で、日本規格協会主催の規格説明会が予定されている。

ISO19011:2018 第３版が、2018年7月3日に発行されました　（２０１８.０８．２１）
ISO１９０１１:２０１１版は改訂され、第３版として、２０１８年７月に発行されました。JISQ１９０１１の改訂版は、JIS独自の追記を含めて、2019年に発行されるとの情報があります。ISO原本を入手するには、JSAから購入できます。
今回の改訂の狙いは、序文から抜粋すると
第2版との主な違いは次のとおりです。
- 監査の原則に対するリスクベースのアプローチの追加。（6から7つに）
- 監査プログラムのリスク管理を含む監査プログラムの管理に関するガイダンスの拡大。
- 監査実施の指針、特に監査計画のセクションの拡大。
- 監査員の一般的力量要件の拡大。
- オブジェクトではなくプロセスを反映するための用語の調整（「”things”」）。
- 特定の管理システム分野を監査するための力量要件を含む附属書の削除（個々の管理システム標準が多数あるため、すべての分野の力量要件を含めることは現実的ではない）
- 組織の状況、リーダーシップとコミットメント、バーチャル監査、コンプライアンス、サプライチェーンなどの監査コンセプトに関するガイダンスを提供するためのAnnex Aの拡張。
また、主要な変更点の5.3は、以下仮訳で、
5.3監査プログラムのリスクと機会の決定と評価
被監査者の状況に関連するリスクと機会があり、監査プログラムに関連してその目的の達成に影響を及ぼす可能性があります。監査プログラムを管理する管理者は、適切に対処できるように、監査プログラムおよびリソース要件を開発する際に考慮するリスクと機会を識別し、監査クライアントに提示する必要があります。
次のようなリスクがあります。
a）計画、例：関連する監査目的を設定できず、監査の程度、回数、期間、場所およびスケジュールを決定できない。
b）リソース監査プログラムの開発や監査の実施に不十分な時間、設備、および/またはトレーニングを許可する。
c）監査チームの選定、例：監査を効果的に実施するための全体的な力量が不十分である。
d）通信、例：無効な外部/内部通信プロセス/チャネル。
e）実装、例：監査プログラム内での監査の効果的でない調整、または情報セキュリティと機密性の考慮を行わない。
f）文書化された情報の制御、例：監査員および関係当事者が必要とする必要な文書化情報の非効率的な決定、監査プログラムの有効性を実証するために監査記録を適切に保護できないこと、
g）監査プログラムの監視、例：レビュー、改善。監査プログラムの成果の非効率的な監視。
h）審査員の利用可能性と協力、採取する証拠の入手可能性。
監査プログラムを改善する機会には、

- 1度の訪問で複数の監査を行うことを許可する。
- サイトに移動する時間と距離を最小化する。
- 監査チームの力量レベルを、監査目標を達成するために必要な力量レベルと照合する。
- 監査日を被監査者の主要スタッフの利用可能性と整合させる。

VDA6.3 第3版は、2016年12月に発行された　(2017.02.13)

VDA6.3は、自動車業界における品質マネジメント「プロセス監査」を規定しています。


　IATF16949:2016版には、VDA6.3の一部が取り込まれているとも言われている。
例えば、上申システム(Escalation)とか、「学んだ教訓 」、「NTF(no trouble found)」など。また、サプライヤー監査、サプライヤー開発なども、参考となるし、顧客から6.3の適用を要求されることも現実としてありうる。

　IATF16949　プロセス要求一覧　(2017.02.04)
IATFでは、新たな要求を含めて、ISO9001とあわせて44(当社調べ)のプロセス構築要求がある。