Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

日産自動車の無資格検査問題ついて改めて考えてみた。

SankeiBizのの11月16日の記事を見て、日産の無資格検査問題でISO認定が取り消されて(正確には範囲縮小)いた件が気になりました。

 

www.sankeibiz.jp

この記事を見てまず気になったのが、誰がISO審査をしたのか?という点です。書類審査ベースで審査が進むケースが多いISO9001ですので、審査会社が悪いとまでは思いませんが、審査でこうした不適合が見つかる可能性もあった訳で、認定取り消しという事であれば、どこの会社が審査していたか分かるかなと思った次第。

で、日本適合性認定協会(JAB)のHPに知りたかった情報がありました。

【第七報】日産自動車株式会社の車両製作工場の完成検査に係る不適切な取扱い及び株式会社神戸製鋼所の性能データ改ざんに関連する認証について

1.日産自動車株式会社における品質マネジメントシステムの認証について

本協会認定下の品質マネジメントシステム認証は次のとおりです。
これらの認証を発行している一般財団法人 日本ガス機器検査協会 QAセンターから、10月31日付けで認証範囲の一部を取消し(縮小)とする決定がなされたことが報告されました。詳細については、当該機関のウェブサイトでご確認ください。

日産自動車株式会社 追浜工場 JIS Q 9001:2008(ISO 9001:2008)
日産自動車九州株式会社 JIS Q 9001:2008(ISO 9001:2008)
日産自動車株式会社 栃木工場 JIS Q 9001:2008(ISO 9001:2008)
日産車体株式会社 生産部門 JIS Q 9001:2015(ISO 9001:2015)
    (日産車体(株)湘南工場、日産車体(株)九州工場、日産車体(株)京都分室)

一般財団法人 日本ガス機器検査協会 QAセンター」が日産自動車のISO9001の審査会社という事なのでしょう。こちらの審査会社は、HPを見る限り相当数の審査を行っている会社のようです。何でガス機器検査の会社が・・と思わなくもありませんが、正式にISO審査資格もお持ちで1993年設立と長い歴史を持っていらっしゃるようですので、おそらく審査は厳正に行われたのでしょう。

このISO認定取り消しが発表された11月21日より前に、日産自動車は11月17日に事件の結果報告を出していました。

newsroom.nissan-global.com

 

これを読む限り、ISO審査では偽装は見抜けにくかっただろうことが推測されます。(審査会社が見抜けなかったのは当然かもしれません)

(1)問題となった事象① 補助検査員や作業員らによる完成検査の実施
  • オートワークス京都を除く車両5工場(追浜、栃木、日産自動車九州日産車体湘南、日産車体九州)において、主に「テスター検査」と呼ばれる工程に関して、完成検査員に任命されていない補助検査員が完成検査を行うことが常態化していた。検査において、補助検査員は、貸与された完成検査員の印鑑(完検印)を完成検査票に押印していた。いくつかの車両工場においては、この完検印の貸し出しを管理する貸出帳簿を作成し、同帳簿を用いて完検印の貸し借りが管理されていた。さらに、工長や指導検査員が完成検査員に直接告知せず、当該完成検査員の予備印を購入、補助検査員に貸与していた事例もあった。

自分が審査員であったと(勝手に)想像しても、書類整合性やインタビューで見抜けたか?と考えると無理だなと思います。では、現場の違反行為を日産自動車が何故自社で見つけられなかったのかという部分では、

 

⑦ 内部監査で不備が発見できなかった
  • 不適切な完成検査行為が長年にわたって常態化していたにも関わらず、自ら検出することが出来なかった要因の一つとして監査の問題がある。具体的な監査手続きが定められていなかったことリスクベースの監査手法が取られていないこと監査に関する証拠類が体系的に保存されていないこと等の要因により、実効性のある監査が出来なかった。

この部分が他社にも参考になるかと思います。内容としては、

 

 ①具体的な監査手続きが定められてなかったこと は、手順書不備

 ②リスクベースの監査手法が取られていないこと は、リスクアセスメント未実施

 ③監査に関する証拠類が体系的に保存されていないこと は、証跡保存のポリシー不足

 

を意味しているのかなと推察しますが、現場の意見が強すぎて本社のコントロールが効いてなかった。そんな問題が原因だったのではないかと思います。

 

軽自動車のイラスト(車)