ISOの適用範囲とは、企業・組織が構築したマネジメントシステムをどの事業活動・製品・サービス・拠点に適用するかを明確に定義した範囲です。マネジメントシステムの国際規格であるISO9001、ISO14001、ISO27001などの要求事項において明示が求められています。ISO認証取得に向けた出発点として極めて重要なプロセスです。以下では、ISOにおける適用範囲の定義と位置付け、ならびにISOの認証範囲との違いについて解説します。

ISOにおける適用範囲の定義と位置付け

ISOにおける適用範囲とは、マネジメントシステムがどの業務領域、組織単位に適用されるかを明確に定義するものです。企業・組織の事業内容、拠点、提供する製品・サービス、ならびに外部委託の有無などを踏まえて設定する必要があります。

適用範囲を明確にすれば、システム構築の基本であるリスク評価の基準が明瞭になり、有効なマネジメントシステムへの道筋が確保されます。適用範囲の設定は、ISO認証の取得のみならず、企業・組織全体の方針と整合を図るうえでも極めて重要な要素プロセスです。

ISOの認証範囲との違い

適用範囲と認証範囲は混同されやすい用語であるものの、厳密には差異があります。その関係を示すと適用範囲≧認証範囲となります。適用範囲は、企業・組織が自ら定めるマネジメントシステムの適用領域を指し、内部的な管理基準として位置付けられます。適用範囲の的確な設定は、認証範囲の妥当性の確保および認証審査の円滑な進行に寄与する重要なプロセスです。

一方、認証範囲は、第三者の立場にある審査機関が審査を行い、認証書に実際に記載される範囲を意味する用語です。認証範囲は事前申請であり、適用範囲を超えての認証はできません。

ISOの適用範囲の決め方

ISOの適用範囲の的確な設定は、マネジメントシステムの有効運用において不可欠です。範囲設定を誤った場合、審査対象が曖昧になるうえに、リスク管理・内部統制にも支障をきたす恐れがあります。企業・組織の事業内容、拠点、提供する製品・サービスの特性を踏まえ、実態に即した明確な範囲の設定が肝要です。
以下では、適用範囲を設定する際に考慮すべき要素と具体的な手順について解説します。

適用業務を決定

ISOの適用範囲を設定する際は、まず対象とする業務を明確に定義する必要があります。製造業であれば設計、製造、検査、出荷、保守など、サービス業であれば提供プロセス・顧客対応業務などが該当する業務です。

対象業務の特性およびリスクを考慮し、マネジメントシステムの運用目的と整合する範囲を特定します。適用業務の過大・過小な設定は、マネジメントシステム運用上の不整合を招くため、実態に即した範囲の決定が不可欠です。適用業務の決定は、部門・部署のみならず、実務に則した範囲の決定でもあり、内部監査および外部審査が効率的かつ的確に実施できる体制の構築に寄与します。

適用組織・適用所在地（本社・支社・子会社）の特定

適用業務を決定したのち、マネジメントシステムを適用する組織単位、および所在地を明確にする必要があります。本社のみを対象とする場合もあれば、支社、営業所、子会社を含めた範囲で運用する場合も想定されるためです。

対象となる適用組織・所在地の設定は、管理体制・情報共有の仕組みに直接影響を及ぼすため、実際の業務連携および権限分掌を踏まえたうえでの判断が求められます。複数拠点を含む場合は、統一的なマネジメントおよび意思決定・責任の所在を含めた包括的な体制構築を行い、全拠点で一貫した運用となる仕組みの構築が不可欠です。

適用規格の選定

適用業務や組織・所在地を特定したのち、企業・組織の目的、事業内容に応じて、適用するISO規格を選定します。品質管理体制を重視する場合はISO9001、環境対応・管理を重視する場合はISO14001、情報資産の運用・リスク抑制を重視する場合はISO27001が一般的です。

ISO規格の選定にあたっては、顧客要求および法的要求事項、リスク特性などの総合的な検討も必要です。複数の規格を同時に運用する場合は、共通要件を整理したうえで統合マネジメントシステム（IMS）として整備する選択肢もあります。

適用範囲の文書化

決定した適用範囲は、正式な文書として明確に記載しなければなりません。文書には、適用業務および適用する組織の単位、所在地、適用規格の種類を具体的に示し、除外項目がある場合はその理由を合理的に説明する必要があります。ISOの適用除外項目については、後述の内容を参照ください。

適用範囲に関する文書は、審査申請およびマネジメントレビュー、内部教育などにおける基礎資料として活用されます。記載内容が曖昧な場合、審査時の指摘・認証範囲の誤解を招く可能性があるため、論理的かつ整合性のある表現での作成が求められます。

多種多様にあるマネジメントシステムの中で、情報セキュリティマネジメントシステム（ISMS）における適用範囲の定め方については、以下の記事を参照ください。
関連記事：ISMS適用範囲の決め方とは？｜審査で問われるポイントと実務上の留意点を解説

適用範囲に含めるべき要素

ISOの適用範囲を的確に設定するには、企業・組織の事業活動を構成する要素を漏れなく特定する必要があります。以下では、適用範囲に含めるべき要素について、具体例とともに解説します。なお、特にISO27001の場合（もちろん、ISO9001やISO14001もですが）、特定の拠点（本社、支店、営業所）や部門など一部組織で認証するなら合理的な理由が必要です。好ましいのは“業務が完全に独立しており、資産の共有がない”“ネットワーク等ITインフラが独立している”等ですが、そうでない場合は“同じルールを適用している”“適用範囲の組織のみ独立した部屋となっている”等の対策が取られているとよいでしょう。

対象となる製品・サービスの範囲

ISOの適用範囲では、マネジメントシステムの運用で対象とする製品またはサービスの内容を明確に定義する必要があります。たとえば、製造業であれば「精密機器の設計・製造・出荷」、IT企業であれば「業務支援クラウドサービスの開発・運用・保守」などです。

対象となる製品・サービスの特性を具体的に示すことで、マネジメントシステムで管理する対象が明確化され、ISO認証の審査範囲の妥当性も確保されます。このプロセスは、顧客要求との整合性維持、継続的な改善の基盤を築くうえで不可欠です。

対象部門・関係会社など適用する組織の範囲

ISOの適用範囲の設定においては、システムを適用する組織単位および関係会社を特定する必要があります。本社のみを対象とする場合もあれば、支社、営業拠点、製造子会社を含む場合もあるように、関係会社の適用可否の検討が不可欠です。

対象となる部門・関係会社を含め、「本社および国内2拠点の製造部門、品質保証部門に適用」「本社を含むすべての営業拠点に適用」など、具体的な適用範囲を明示します。ISOの適用対象となる組織および部門の範囲を明確にすれば、責任と権限の所在が整理され、マネジメントシステムが企業・組織全体で一貫して機能する体制を確立できます。

適用する業務プロセス・活動内容

ISOの適用範囲の設定においては、組織・部署のみならず、適用する業務プロセスおよび活動内容、工程を具体的に示す必要があります。たとえば、製造業では「受注、設計、調達、製造、出荷」、サービス業では「顧客対応、契約管理、サービス提供、アフターサポート」などが該当する工程です。

適用する業務プロセスの範囲を適切に定義すれば、リスク評価および内部監査の対象が明確となり、マネジメントシステムの実効性が向上します。さらに、マネジメントシステムの運用による業務プロセス間の連携状況も可視化されるため、継続的改善の推進に寄与する体制の構築も実現可能です。

ISO認証の「適用除外」とは？

ISO認証の適用除外とは、企業・組織の事業活動において、該当しない要求事項をマネジメントシステムの適用範囲から除外することです。以下では、ISOの適用除外が認められる条件、判断基準・根拠の示し方、ならびに不当除外とみなされる事例について解説します。

ISOの適用除外が認められる条件

ISOの適用除外は、企業・組織の事業活動において、特定の要求事項が実質的に該当しない場合に限り認められます。たとえば、ISO9001における「設計・開発」の項目の場合、顧客の仕様に従って製造のみを行い、自社では設計を行わない場合に適用の除外が可能です。

ただし、適用除外が品質保証および顧客要求への適合に、影響を及ぼさない前提条件のもとで成り立つため、影響範囲を正確に判断する必要があります。単なる負担軽減、管理項目の削減を目的とした除外は不適切です。

適用除外項目を設定する場合は、企業・組織の業務実態、契約上の責任分担、リスク評価の観点から合理性の明確な説明が求められます。適用除外は例外であり、規格全体の主旨を損なわない範囲でのみ認められる措置です。

適用除外の判断基準と根拠の示し方

適用除外を設定する際には、企業・組織の業務内容、提供する製品・サービス、規格要求事項との関連性を基準とする判断が不可欠です。適用除外の対象となる項目が、企業・組織のマネジメントシステムの有効性に対し、影響を及ぼさない旨を客観的に証明する必要があります。

その根拠として、業務フロー図、外部委託契約書、業務分担表などの文書を提示する場合があります。設計機能を完全に外部へ委託している場合、委託範囲および管理責任を明確に示し、除外の妥当性を証明するプロセスが肝要です。また、適用除外の判断は一度決めた後も事業変更、組織改編に応じて見直す必要があるため、継続的に適用範囲が的確かを管理・判断するよう求められます。