【ISO/IEC 17025:2017】JCSSにおけるリスクについて

2022年1月21日

17025の2017年版(JISでは2018年)の改正で17025でも9001などと同じようにリスクについての検討が必要になりました。この記事では17025のリスクについて解説をしてみます。

ISOのリスクとは

ISOの中で特に注記なく「リスク」と書かれている場合にはISO 31000「リスクマネージメント」を指します。ISO 31000ではリスクを「目的に対する不確かさ(≠計測の不確かさ)の影響」と定義しています。これは2015年のISO 9001以降ではISO内で共通の考え方です。

ISO/IEC 17025:2017では「リスクと機会」という表現を使っています。通常私達がリスクという言葉を使うと不確かなことのマイナス面の影響だけを指しますが、リスクと機会ではプラスの面(機会)についても含むとされています。

技術や会社の変化によって環境が大きく変わると将来への不確かさも増します。将来の不確かさが大きいとリスクも大きくなります。このリスクを管理することがリスクマネージメントです。

リスクマネージメントのプロセス

リスクを管理すると言ってもどのように行えば良いか、初めて取り組む人は見当も付きません。しかしISO 31000はリスクマネージメントを実現するための具体的なプロセスが定義されています。プロセスは次の図のようになっています。

状況の確認

リスクマネージメントプロセスの開始は状況の確定から入ります。ここでは、解決すべき課題は何か、業務の目的は何か、目標は何か、適用範囲はどこまでか、課題を検討する場合の条件などを確認します。

状況の確認ができたらリスクアセスメントを行います。リスクアセスメントは”リスクの特定”、”リスクの分析”、”リスクの評価”の3段階でおこおなわれます。

リスクの特定

リスク特定の段階では事業を行うにあたって考えられるリスクをできる限り洗い出してみます。そして挙げられたそれぞれのリスクに「発生頻度」と「影響度」の面からスコアをつけていきます。

スコアは1から5段階でつけます。一番発生頻度の少ないリスクは発生頻度1、発生したときに一番影響が小さいリスクは影響度1です。

例えば「事業所に飛行機が墜落する可能性」を考えてください。影響度だけでリスクを考えると飛行機墜落や天変地異などにまず取り組まないといけなくなってしましますが、発生頻度がものすごく低いので実際は取り組むべきリスクではないことがわかります。

リスクの分析

だいたいのリスクがリストアップできたら各リスクをリスクマップに書き出します。リスクマップとは横軸が発生頻度、縦軸が影響度でできたX-Yチャートです。次の表のような感じになります。

リスクマップの右上に行くほど優先度の高いリスクとなります。

リスクの評価

洗い出したリスクをすべてリスクマップに書き込ます。組織がどのレベルまでリスクまでを許容できるのかを決定します。

リスク対応

リスクアセスメントで許容できないレベルのリスクは是正処置によってリスクの排除か最小化に取り組みます。リスクの排除・最小化の取り組みのあとはリスクマネージメントの効果をモニタリング、レビューし、再度リスクマネージメントプロセスの最初に戻って見直しを行います。(PDCAのサイクルに似ています)

ISO/IEC 17025(JCSS)のリスク

17025では2017年の改正から公平性に対するリスクを継続的に特定し(4.1.4)、そのリスクの排除又は最小化(4.1.5)に取り組まなくてはならなくなりました。

また校正事業者が合否判定を行う場合、誤判定の可能性(7.8.6.1)や不適合の是正処置のレベル(7.10 b)についてもリスクを取り入れて検討する必要があります。

私の場合に当てはめて見て、校正事業者はどのようなリスクをもっているのか具体的に考えてみました。

発生頻度影響度リスク
装置・設備55標準器のメーカーサポート終了
装置・設備22上位校正機関の校正料金の値上げ
装置・設備35標準器の故障
要員35校正担当者の退職、転勤
要員53校正担当者の不在、病気、欠席

私の経験での具体例ですが、標準器のメーカーサポート終了は発生頻度5で影響度も5なので早急に対応しなければならないリスクでした。校正の中心的な校正装置でしたのでリスクマネージメントの結果を管理主体に見てもらって後継機種の購入を決定してもらいました。

結構ざっくり書いてしまいましたが、もっと詳細に洗い出せば、是正処置の内容も具体的にできます。「標準器の故障」などはどの標準器がどのように壊れるかまで考えておいたほうが良さそうです。

マネージメントレビューへの報告

一般的なリスクマネージメントの話とは少し違いますが、リスクマネージメントの結果はマネージメントレビューで報告するよう要求されています。(8.9.2)

マネージメントレビューで初めて管理主体に話すより、リスクマネージメントプロセスの現状確認の際に管理主体にも参加してもらって組織全体の現状を確認したほうが話がスムーズに進むかもしれませんね。(17025ではそこまでは要求されていませんが)

まとめ

この記事ではISOのリスクマネージメントとISO/IEC 17025のリスクについて説明をしました。リスクマネージメントで以下のリスクマネージメントサイクルを回すことが要求されています。

  • 現状の確認
  • リスクアセスメント
    ・リスクの特定
    ・リスクの分析
    ・リスクの評価
  • リスク対応(是正)

このルールは2017年からISO/IEC 17025に組み入れられました。移行期間は終了しましたが、実際にはJCSSの更新審査ではまだ厳格に実施されていない印象です。まだリスクと機会の取り組みをやっていない方はこの機会にしっかりしやっておいたほうがいいかもしれません。