BSIマネジメントシステムが英国の認定機関であるUKAS（United Kingdom Accreditation Service）からBS25999の正式審査実施機関として認定を受けたそうです。これを持って日本でもBSIジャパンが正式な認証発行をおこなえることになります。

先日日本初で認証取得、と報道されていた富士通は「プライベート認証」だったため、今後正式認証に移行する予定だとのことです。

－－－－－－

認定機関や審査機関といった言葉について、よく分からないという方のために、各言葉の意味と上記記事が持つ意義について以下に解説します。

「審査」というものは、誰が誰に対して行おうと自由ですが、たとえば、あなたが突然審査会社を作り、ある企業の審査を行い、合格証を発行したとしても、他の企業の人達がその審査結果について信頼してくれるかどうかについては、大きく疑問の余地が残ります。したがって、あなたがきちんとした審査を行うためには、信頼のおける誰か（第三者）に「あなた（審査機関）は、ちゃんとしているから大丈夫ですよ」という、きちんとした（審査したい規格ごとに）お墨付きをもらう必要があります。

この「信頼のおける誰か」が認定機関であり、１国１組織が原則とされています。たとえば、イギリスではUKAS、日本ではJIPDECやJAB、フランスではCOFRAC、オランダではRVAがこれに該当します。なお、「日本の審査会社だからJIPDECからお墨付きをもらわなければならない」というルールはありません。もちろん日本であれば、JIPDECやJABからの認定を受ける審査機関が一般的ですが、認定機関としての世界的知名度はUKASが群を抜いており、UKASやRVAなどといった複数の認定機関から「お墨付き」をもらっている審査機関も少なくありません。

これに対して「プライベート認証」とは、「ある規格」について、認定機関（JABやJIPDEC、UKASなど）から認定を受けていない審査会社が、自分たち独自の手順で審査を行い、認証を行うことを意味します。

たとえば、Aという企業が、BS25999の認証審査について、BSIジャパンの審査を受け合格したとします。この時点で、BSIジャパン自体が認定機関から「BS25999の審査を適切に実行できる機関として認めます」という認定を受けていなかったとしたら、それが「プライベート認証」と呼ばれるものです。審査結果はあくまでもBSIジャパンという一企業によって認められたもの、という意味しか持ちません。認証の信頼性は、その審査機関の信頼性に比例することになります。逆に、この時点で、BSIジャパンが、既にUKASからお墨付きをもらっていたのであれば、それはBSIジャパンのみならず、広く国家的に信頼されているUKASという組織によって認められた結果であるという意味を持ちます。

なお、審査機関がこうした「お墨付き」をもらう道のりは険しく、長い期間を要するため、見切り発車的に、まずは「プライベート認証」からスタートさせることが多いようです。いずれかの認定機関から認定された後、第三者認証に切り替える手続きをとります。

なお、BS25999については比較的新しい規格であるため、世界ではまだUKASしか認定を行っていません。日本ではJIPDECがイニシアティブをとり認定制度をスタートさせようという動きがありますが、現時点ではまだ開始されていないため、UKASから認定を受けた審査機関のみが正式な審査をスタートすることができることになります。この意味で、BSIジャパンがUKASから認定を受けたということは、現時点で日本においては、BSIジャパンのみが正式な審査登録を行えるようになったことを意味します。