当社はISO 9001を取得しています、という会社広報をお聞きになることがあろうと思います。まずその正確な意味からお伝えします。

 組織がISO 9001の規格要求事項に基づく社内の仕組み(品質マネジメントシステム)を構築し、第三者の認証機関(審査機関という言い方もします)に審査を受けたい旨の申込(契約)を行うと、審査員が派遣され、必要な日数(工数)で審査が行われます、その結果、規格要求事項全ての事項に対して適合した組織運営がなされていると判断されると、その組織は合格証とも言える認証書がその認証機関から発行されます。このことによって、その組織は対外的に当社はISO 9001の認証を取得しています、というアピールができるようになります。あくまで製品の補償をしているものではなく、組織運営の仕組みが基準(この場合はISO 9001)に合致していることをその認証機関が認めた、ということなのです。

 では認証機関というものは日本に一つしかないのでしょうか。そのようなことはありません。正確な数の把握は難しいのですが、現在日本ではISOの認証審査活動を行っている組織(企業)は50社以上あります。すると、認証を取得したと言っても、認証機関が違えばその価値にも差があるのではないか、と気になる方も出てくるでしょう。そしてその差をなくすための仕組みとして国際的に確立した制度として「認定」という仕組みがあります。

 具体的には、審査を実際に行う第三者認証機関(審査機関)の業務が確実に国際基準に合致したものとして行われているかどうかを審査する上部団体が存在します。この上部団体のことを認定機関と称します。そして、その上部団体が第三者認証機関(審査機関)に対して行う審査を「認定審査」と称します。そして、その仕組みは先ほど第三者認証機関(審査機関)が組織に対して審査を行う仕組みと同様、上部団体から審査員が第三者認証機関(審査機関)に派遣され、基準に対して合致していれば合格証を意味する認定書(先ほどは認証書と記していますので違いにご注意)が発行されます。この上部団体は、各国1機関が原則ということになっています。日本においては、これによって、公平性、客観性が担保されていることになるわけです。その上部団体は、公益財団法人日本適合性認定協会(JAB)が制度発足以来、業務を行ってきています。但し、日本においては情報セキュリティマネジメントシステムが登場した段階で、情報マネジメントシステム認定センター(ISMS-AC)(同組織は、一般財団法人日本情報経済社会推進協会(JIPDEC)の付属団体)も認定機関としての活動を開始しています。

 整理すると、一般の組織がISOを取得しているという場合は、認証を第三者機関から受けていることになります。その第三者機関が正当性を保持するためにさらに上部単体から受けているものが認定、という違いです。

 非常に似た言葉ですが、その意味するところは全く違いますので、是非混同しないようにしっかり理解してください。

 認定と認証の違いは、JABホーム―ページにも説明が出ています。併せてご参照ください。(こちらから)