Skip to content
探す  
      Jun 30, 2026

      第3回:ISO 19011:2026で重要性が増す「仮想場所」 ~ 在宅勤務・クラウド業務の監査ポイント

      書き込み: Nemko

      ISO 19011:2026の改正を理解するうえで、遠隔監査方法と並んで重要なのが「仮想場所」です。

      これまで内部監査というと、多くの企業では「工場に行く」「事務所を訪問する」「倉庫を確認する」といった、物理的な場所を前提に考えられてきました。 もちろん、製造現場、保管場所、検査室、事務所などを確認することは、今後も重要です。

      しかし、現在の業務は物理的な場所だけでは完結しません。 品質記録はクラウド上にあり、承認はワークフローシステムで行われ、顧客対応はオンラインツールに記録され、設計レビューはWeb会議で実施される。 このような業務環境では、「どの建物を監査するか」だけでは、マネジメントシステムの実態を十分に把握できない場合があります。

      ISO 19011:2026では、監査範囲に含まれる場所として、物理的な場所だけでなく仮想場所も扱われています。 仮想場所とは、オンライン環境を用いて、組織が作業を実施したり、サービスを提供したりする場を指します。物理的な所在地にかかわらず、人がプロセスを実行できる環境であることがポイントです。

      ISO 19011:2026の主な変更点として、ISO/IEC TS 17012に含まれる遠隔監査方法に関する手引の導入、ならびに附属書Aにおける遠隔監査方法及び仮想場所に関する手引の拡張が示されています。 ISO公式情報でも、ISO 19011:2026は第4版として発行され、マネジメントシステム監査の原則、監査プログラムのマネジメント、監査の実施、及び監査プロセスに関わる人々の力量評価に関する手引を提供する規格と説明されています。

      1. 仮想場所とは何か

      仮想場所という言葉は、少し分かりにくいかもしれません。簡単に言えば、業務プロセスが実際に行われているオンライン上の環境と考えると理解しやすくなります。

      たとえば、次のようなものが該当します。

      • クラウド型の文書管理システム
      • 電子承認ワークフロー
      • 顧客対応を管理するCRM
      • 購買・発注システム
      • オンライン教育システム
      • 設計データを共有するクラウドストレージ
      • リモートワーク環境で使用する社内ポータル
      • オンラインサービス提供のためのプラットフォーム
      • 電子記録、ログ、アクセス権限を管理する業務システム

      これらは物理的な「場所」ではありません。 しかし、業務プロセスが実行され、記録が作成され、承認が行われ、顧客や外部提供者とのやり取りが残るという意味では、監査上きわめて重要な対象です。

      2018年版でも、監査範囲に物理的及び仮想的な場所が含まれることは示されていました。 ISO 19011:2018版でも、監査範囲には物理的及び仮想的な場所、機能、組織単位、活動、プロセス、監査対象期間を含むと説明されています。

      したがって、仮想場所は新しい概念として突然現れたものではなく、2026年版では、遠隔監査方法の拡張と結びつくことで、実務上の重要性が一段と高まったと捉えることができます。

      2. なぜ仮想場所の監査が重要なのか

      仮想場所を監査対象として考えるべき理由は、業務の実態がそこにあるためです。

      たとえば、ISO 9001の品質マネジメントシステムでは、文書化した情報の管理、顧客要求事項の確認、設計・開発、外部提供者管理、製造・サービス提供、監視測定、是正処置など、さまざまなプロセスが監査対象になります。

      これらの記録や判断が紙ではなくクラウド上で管理されている場合、監査員が確認すべき証拠もクラウド上にあります。 購買承認がシステム上で行われているなら、承認ルート、承認者、承認日時、変更履歴、アクセス権限が監査証拠になります。

      ISO 14001であれば、法令順守評価、環境測定データ、廃棄物処理記録、環境教育記録が電子化されている場合があります。 ISO 45001であれば、安全衛生教育、ヒヤリハット報告、リスクアセスメント、是正処置がオンラインで管理されていることもあります。 ISO/IEC 27001であれば、情報資産、アクセス管理、ログ、クラウド利用状況などが中心的な監査対象になる場合があります。

      このように、仮想場所を監査範囲に含めなければ、マネジメントシステムの重要な部分を見落とす可能性があります。 内部監査においては、物理的な拠点だけでなく、「どのシステム上で、誰が、どの権限で、どのプロセスを実行しているのか」を確認する視点が重要です。

      3. 在宅勤務はどのように監査するのか

      仮想場所の議論で特に重要なのが、在宅勤務やリモートワークです。

      在宅勤務者が単にメールを確認しているだけであれば、監査上の影響は限定的かもしれません。 しかし、在宅勤務者が顧客対応、設計、購買承認、品質判断、苦情処理、情報セキュリティ管理などを行っている場合、その業務はマネジメントシステムの一部です。

      この場合、監査では「自宅そのもの」を細かく確認することが目的ではありません。 重要なのは、在宅勤務という勤務形態においても、決められたプロセスが適切に実行され、必要な記録が作成・管理され、情報セキュリティと機密保持が確保されているかを確認することです。

      たとえば、次のような観点が考えられます。

      • 在宅勤務時に使用する手順やルールは明確か?
      • 業務記録は所定のシステムに保存されているか?
      • 個人端末や私用クラウドの使用は禁止または管理されているか?
      • 顧客情報、個人情報、機密情報が家庭内で不適切に扱われるリスクは管理されているか?
      • 承認やレビューの記録は追跡可能か?
      • 緊急時や通信障害時の対応は定められているか?
      • 在宅勤務者に対して、情報管理や業務手順に関する教育が実施されているか?

      ここで大切なのは、在宅勤務者に対して過度に私生活へ踏み込むことではありません。 監査対象は、あくまでマネジメントシステムのプロセスと、そのプロセスに関する客観的証拠です。 ISO 19011:2026では、監査は客観的証拠を入手し、それを監査基準に照らして客観的に評価するプロセスとされています。

      4. クラウド業務の監査では「見える記録」だけで満足しない

      クラウドシステムを監査するときに注意したいのは、画面に表示された記録だけを見て満足しないことです。

      たとえば、画面共有で承認済みの購買申請書を見せてもらったとします。 そこに承認印や承認済みステータスが表示されていれば、一見問題ないように見えます。

      しかし、監査員としては、もう一歩踏み込む必要があります。

      • 誰が承認したのか?
      • 承認権限は妥当か?
      • 承認日はいつか?
      • 承認後に変更できる仕組みになっていないか?
      • 変更履歴は残るか?
      • 退職者や異動者の権限は削除されているか?
      • 例外承認のルールはあるか?
      • システム障害時の代替手順はあるか?
      • 確認した記録は、監査対象期間と監査範囲に対応しているか?

      仮想場所では、紙の記録と異なり、情報の作成、変更、承認、削除、閲覧がシステム上で行われます。 そのため、記録そのものだけでなく、記録を支える仕組みも確認する必要があります。

      これは、文書管理でも同じです。 最新版の手順書が表示されていることだけではなく、旧版が誤って使用されない仕組み、改訂履歴、承認履歴、アクセス権限、配付先、教育との連動を確認することが重要です。

      ISO 19011:2026の附属書Aでは、情報を検証する際、文書化した情報が完全であるか、正確であるか、一貫しているか、最新であるかを考慮することが示されています。 遠隔監査や仮想場所の監査では、この観点が特に重要になります。

      5. 仮想場所を監査範囲に含めるときの計画ポイント

      仮想場所を監査する場合、監査計画の段階で対象を明確にしておく必要があります。

      従来の監査計画では、「本社」「工場」「営業所」といった物理的拠点が記載されることが多かったと思います。 今後は、それに加えて、どのオンライン環境や業務システムを確認するのかを明記することが望まれます。

      たとえば、次のような書き方が考えられます。

      • 「品質文書管理プロセスについて、本社品質保証部へのインタビューを遠隔で実施し、クラウド文書管理システム上の改訂履歴、承認記録、アクセス権限を確認する。」
      • 「購買プロセスについて、購買管理システム上の発注承認記録を遠隔で確認し、受入検査の現物確認は工場現地監査で実施する。」
      • 「在宅勤務を行う設計担当者について、設計レビュー記録、データ保管場所、アクセス管理、レビュー承認の証跡をオンラインで確認する。」

      このように、物理的な場所と仮想場所を分けて考え、必要に応じて組み合わせることが実務上のポイントです。

      ISO 19011:2026では、個別監査の計画において、監査活動を実施する物理的及び仮想的な場所、日付、予定時刻及び期間を考慮することが示されています。 また、監査で必要な情報がどこにあるか、いつ、どのようにアクセスできるかが重要であることも示されています。

      6. 仮想場所の監査で注意すべきリスク

      仮想場所の監査には、特有のリスクがあります。

      第一に、アクセス権限の問題です。 監査員が確認すべき記録にアクセスできない、又は一時的に過剰な権限を付与されるといった問題が起こり得ます。 監査のためのアクセス権限は、必要な範囲に限定し、監査終了後に解除することが望まれます。

      第二に、情報セキュリティの問題です。 監査のために機密情報を画面共有したり、ファイルを外部に送付したりする場合、情報漏えいのリスクが高まります。 オンライン会議のURL、録画・録音、スクリーンショット、クラウド共有フォルダ、個人情報を含む記録の扱いについて、事前にルールを定めておく必要があります。

      第三に、証拠の完全性の問題です。画面に表示された一部の記録だけを確認して、全体を確認したつもりになってしまうことがあります。検索条件、抽出範囲、対象期間、サンプリング方法を明確にしなければ、監査証拠として不十分になる可能性があります。

      第四に、監査員の力量の問題です。クラウドシステムや電子記録の仕組みを理解していないと、表示された画面を見ても、何が重要な証拠なのかを判断できません。監査員には、業務プロセスの理解に加え、電子記録、アクセス権限、ログ、変更履歴、情報セキュリティに関する基本的な理解が求められます。

      ISO 19011:2026では、監査プログラムの資源を決定する際に、遠隔協働を支援する技術を用いた監査に必要な技術資源や、情報通信技術の利用可能性を考慮することが示されています。 また、監査プログラムのリスクとして、有効でない又は安全でないICTプラットフォームの選択が挙げられています。

      さらに、ISO/IEC TS 17012:2024は、マネジメントシステム監査における遠隔監査方法の使用に関する手引であり、内部監査、第二者監査及び第三者監査を計画・実施する組織に適用できるとされています。 遠隔監査方法の実施における条件、可能性及び限界を考慮することは、仮想場所の監査を計画する際にも有効です。

      7. 内部監査チェックリストも変える必要がある

      仮想場所を監査対象に含めるなら、内部監査チェックリストも見直す必要があります。

      従来のチェックリストには、「手順書は最新版か」「記録は保管されているか」「承認は行われているか」といった設問が多いかもしれません。もちろん、これらは今後も必要です。

      しかし、クラウドやオンライン業務を監査する場合は、次のような設問も有効です。

      • 電子記録の作成者、承認者、承認日時は確認できるか?
      • 記録の変更履歴は追跡できるか?
      • アクセス権限は役割に応じて設定されているか?
      • 退職者・異動者・委託先担当者の権限は適時に見直されているか?
      • システム障害時の代替手順はあるか?
      • クラウド上の文書が最新版として管理されているか?
      • 旧版文書の誤使用を防止する仕組みはあるか?
      • 在宅勤務時の情報管理ルールは教育されているか?
      • オンライン上で実施したレビューや承認の証跡は残っているか?
      • 監査対象期間、検索条件、抽出条件、サンプリング方法は明確か?
      • 画面共有、録画、録音、スクリーンショットの取扱いは事前に合意されているか?

      このような設問を追加することで、物理的な現場だけでなく、実際に業務が動いている仮想環境を監査できるようになります。

      8. 認証審査との関係で意識しておきたいこと

      ISO 19011は認証要求事項ではなく、監査の指針です。 そのため、ISO 19011:2026の発行によって、ISO 9001、ISO 14001、ISO 45001、ISO/IEC 27001などの要求事項が直ちに変更されるわけではありません。

      ただし、内部監査の計画、実施、記録、フォローアップが、組織の実際の業務プロセスを反映しているかは、マネジメントシステムの有効性を確認するうえで重要です。 業務の主要部分がクラウドやオンラインシステム上で行われているにもかかわらず、内部監査が物理的拠点の確認に偏っている場合、監査範囲が実態に合っていないと判断される可能性があります。

      認証機関による第三者認証審査では、ICTを用いる場合、その使用が審査・評価の有効性に与えるリスク及び機会を特定し、管理することが求められます。 IAF MD 4:2025でも、ICTの使用に関して、使用する技術の選択を含め、適合性評価の有効性に影響し得るリスク及び機会を特定し、文書化し、管理する考え方が示されています。 内部監査においても、この考え方を参考にすることで、仮想場所の監査をより有効に設計できます。

      第3回のまとめ

      ISO 19011:2026では、遠隔監査方法の拡張とともに、仮想場所の重要性が高まっています。

      仮想場所とは、クラウド、オンラインシステム、在宅勤務環境、電子承認ワークフローなど、物理的な所在地に限定されずに業務プロセスが実行される環境です。 ISO認証取得企業では、こうした仮想場所を監査範囲から漏らさないことが重要です。

      内部監査では、単に「オンラインで記録を見せてもらう」だけでは十分とはいえません。 誰が、いつ、どの権限で、どのように作成・承認・変更・保管しているのかを確認し、客観的証拠として評価する必要があります。

      また、在宅勤務やクラウド業務を監査する際には、私生活への過度な介入ではなく、マネジメントシステムのプロセスと客観的証拠に焦点を当てることが重要です。 監査計画、チェックリスト、監査員の力量評価に、仮想場所、電子記録、アクセス権限、情報セキュリティの視点を組み込むことで、内部監査をより実効性のある活動にすることができます。

      次回は、ISO 19011:2026を踏まえた監査プログラムの見直しについて解説します。リスク、ICT、情報セキュリティを、年間内部監査計画や監査員の力量管理にどのように組み込むべきかを取り上げます。

       

      Nemkoは、組織の実態に即した、活用できるマネジメントシステムのための審査を心掛けています。

      マネジメントシステム規格の改正に関するお問い合わせ、マネジメントシステム認証に関するお問い合わせ、内部監査員研修に関するお問い合わせなど、MS認証部japan@nemko.comまでお気軽にご連絡ください。

      タグ: マネジメントシステム認証 , ISO19011:2026 , ISO内部監査 , 遠隔監査 , 二者監査 , ISO19011 , ISO認証更新 , リモート監査 , 内部監査員研修

      Nemko

      Nemko

      Other posts you might be interested in

      第1回:ISO 19011:2026の全体像 ~ 2018年版から何が変わり、内部監査は何を見直すべきか

      Jun 23, 2026
      // マネジメントシステム認証

      第2回:ISO 19011:2026の核心は「遠隔監査」 ~ オンライン監査をどう計画すべきか

      Jun 25, 2026
      // マネジメントシステム認証

      【第2回】 気候変動要求にどう対応するか ― ISO9001・ISO14001・ISO45001における実務対応のポイント ―

      Jun 16, 2026
      // ISO規格改訂