仮想通貨界隈に「サイバーインシデントが無くなるその日」がなかなか来ない遠因 (その2)

つづき。少し遠めのところから、話を始めることにします。

...

「脆弱性」と同じくらいカジュアルに使われすぎている用語の一つとして、「品質」がある。中の人はそのように常々思っています。

「脆弱性」も定義している JIS/ISO は「品質とは何か」ということも定義しています。JIS 法の第1条からして品質を上げることが目的だと書いてあり、当然と思われる読者もいらっしゃるかもしれません。

第一条　この法律は、適正且つ合理的な工業標準の制定及び普及により工業標準化を促進することによつて、鉱工業品の品質の改善、生産能率の増進その他生産の合理化、取引の単純公正化及び使用又は消費の合理化を図り、あわせて公共の福祉の増進に寄与することを目的とする。

ところが、品質の定義は時代により変遷しています。JIS 法第1条では「鉱工業品の品質の改善」とありますが、今や品質への要求は、通話品質、サービス品質、等々の第3次産業(サービス業)に拡張されています。

第2次産業(鉱工業)とサービス業との間には様々な事情の違いがありますので、品質マネジメントも鉱工業品と同じアプローチでは必ずしも上手く行かないという意見があります。

その反映として、JIS では Q 9005 では、支柱となる Q9000 から品質の定義が変更されています。一般に JIS の文章は硬く読みづらいのですが、JIS Q 9005:2015 は比較的読みやすいので、原文を引用します。品質とは

ニーズ又は期待を満たす能力に関する特性の全体。

であり、古典的な品質マネジメントシステム指針である JIS Q 9000 と比べると

JIS Q 9000 では，本来備わっている特性としているのに対し，この規格では，本来備わっているかどうかにかかわらず，ニーズ又は期待を満たす能力に関する特性の全体としており，価格など付与された特性も品質に含まれる。

JIS Q 9000 では，要求事項を満たす程度としているのに対し，この規格ではニーズ又は期待とした。これによって，品質に関する考慮事項には，要求事項と認識されていないニーズ又は期待が含まれることになる。

噛み砕くと、相手が気づかない潜在ニーズまで手当してこそ品質がマネージされているということになります。

ただし、この規格の意図するところは、闇雲に品質を上げたり機能を追加することが質マネジメントだということではありません。あくまでも、顧客が満足することが質マネジメントのゴールであり、ただし、顧客が自覚していない要求事項の存在を想定考慮せよ、というところにあります。

ちなみに、サイバーインシデント界隈の方々が JIS Q 9005 を知らなかったとしても、それは知識の不足とは必ずしも言えません。なぜなら Q 9005 は脇を埋める(またはメタな)マネジメント規格である旨の明記があり、マネージャでない単なる作業者にとっては、必須の知識ではないからです。

この規格は，環境マネジメントシステム，労働安全衛生マネジメントシステム，情報セキュリティマネジメントシステムなどの他のマネジメントシステムに固有な指針は含んでいない。

…

JIS の引用とか、中の人のポエムにしてはマジメすぎて、書いている自分も苦痛でしたが、大事な外堀なので埋めました。

余談ですが、顧客が望んでいないレベルまで機能や品質を上げる活動は、質マネジメント方面の人々からは「過剰品質」からの「暴走品質」と呼ばれ、しばしば後ろ指の対象になるっぽいです。日本製にありがちなアレですね。