特集　ISO20000多角解剖　情報システム時代の新風！　ITサービスマネジメント規格の全容

ITサービスマネジメント規格“ISO20000”が、
ITシステムの統合やプロセスの可視化などITサービスの弱点を解消する

日本電気株式会社　政策調査部　技術標準エキスパート（ISO/IEC JTC1 SC7/WG25国内委員会主査・ISO20000JIS原案作成WG委員、ISO27001原案作成WG幹事）　平野　芳行　氏
日本電気株式会社　マーケティング本部　シニアエキスパート（ISO/IEC JTC1 SC7/WG25国内委員・ISO20000JIS原案作成委員会幹事、及び同WG主査）　大畑　毅　氏

2005年12月に発行されたISO/IEC20000（以下、ISO20000と略称する）。前身であるBS15000から短期間で国際規格化されたこの規格は、“Fast-Track”と呼ばれる迅速化手順によって策定されている。そのためか規格としては検討の余地を残しているものの、現在のITサービス業が抱える様々な問題点を解決する仕組みとして期待する声は大きい。そこでISO20000策定の経緯・動向と、そのニーズについて国内委員会の平野氏と大畑氏に話を聞いた。

ISO20000とは

本誌：最初にISO20000の概要についてお教えください。

平野：ISO20000-1／-2は2005年12月15日に国際規格として正式発行されたITサービスマネジメント規格です。英国政府機関が開発したIT活用における実際の知識・ノウハウ（ベストプラクティス）を集約したガイドラインであるITIL（Information Technology Infrastructure Library）を基に、企業のIT部門やITサービスベンダーが効率的・効果的なシステム運用を実施するための枠組みや運用状況の評価基準を規定したものです。

ビジネス及びその顧客の現在と将来のニーズに一致したITサービスの提供、ITサービスの品質向上、ITサービス提供の長期的なコスト削減を目的として、IT運用業務の可視化・標準化によって企業のITインフラの正確性・信頼性を高めるために活用されることが期待されています。

規格の構成は、ISO20000-1（仕様：Specification）と、ISO20000-2（実践のための規範：Code of Practice）の二部構成で、ISO20000-1は企業のIT部門やITサービスベンダーが運用改善を継続的に実施するための要求事項、一方のISO20000-2はISO20000-1に沿ったプロセスを確立するためのガイドラインとなっています。

このISO20000はITサービスマネジメント（ITSM）の英国規格であった「BS15000」を原案として、ISO27001と同様に“Fast-Track”と呼ばれる規格作成の迅速化手順を適用し、2004年４月のNWIP（新規規格策定提案）から約1年9ヵ月で国際規格として発行されています。

“Fast-Track”での規格化

本誌：BS15000からISO20000へとあっという間にISO規格化されてしまいましたが、経緯をお教えください。

平野：ISO20000は、ISOとIEC（国際電気標準化会議）の合同委員会であるISO／IEC JTC1の所管となり、通常はソフトウェアエンジニアリングを扱っている分科会SC7が担当しています。

ISO20000の規格化は、2003年後半に英国規格協会（BSI）からJTC1に対して国際規格化を打診したことから始まります。

2004年4月には、正式にJTC1に対しNWIPが提出され、3ヵ月間の事前調査が実施されました。その後にJTC1／SC7で検討され、2004年11月から2005年4月にかけてDIS投票が行われています。

DISは通常6ヵ月投票ですが、“Fast-Track”では最初に1ヵ月の事前投票期間が設けられており、既存規格との整合性などの調査の後、5ヵ月の本投票に入ります。日本はDIS投票に対し、本投票では条件付反対として投票しています。

投票後、2005年10月に行われた「Ballot resolution meeting」で要求事項であるISO20000-1については、日本のコメントをある程度取り入れてもらえたことと、認証制度がすでに動き始めていることを考慮して最終的には賛成に回っています。しかし、ガイドラインであるISO20000-2については中身がISO20000-1とあまり変わらず、国内からもISO20000-2自体が必要なのか疑問視する声が多く、日本としては反対の意志を変えていません。

大畑：“Fast-Track”で急に決まり、全体的に充分な議論が取れぬまま規格化されている印象はあります。

実際に発行されたISO20000はDIS投票のコメントに基づき修正されていますが、膨大なコメントを追加した結果、用語の統一が取れていない箇所や英語自体に問題があるなど、まだ問題点もあります。そのため、すでに次の改訂を行う動きに入っています。

ISO20000発行と同時に規格のレビュー、改訂のためのNWIPが提出され、その検討グループとなるSC7／WG25が設置されています。また日本でもこのWG25に対応した小委員会を2006年4月に設置しています。

規格化の背景

本誌：規格化が急がれた背景についてどのようにお考えですか。

大畑：発行を急いだというより、有効な対案を提出できなかったことが大きな理由ではないかと思います。つまり、反対のための反対では認められませんから、ITサービスマネジメントシステム規格案としてBS15000に代わる具体的な提案を出すことができなかった結果だと思います。

また、イギリスではすでに認証制度が進んでいたこともあり、認証ビジネスとして早急に国際規格化したかったという狙いもないとはいえませんが、それにしても認定機関がitSMFで、UKASではないなど素朴な疑問もあります。もう少しスキームを固めてからでもよかったのではないかという印象もあり、周辺のビジネスまで考えた場合、拙速すぎるのではないかという疑問はあります。

ただ、itSMFの支部は35ヵ国にあるため、各国が規格策定に賛成する下地はあったと思います。しかし、それにしてもあっという間に決まってしまったという印象はわれわれも持っています。

ISO20000の完成度

本誌：ISO20000についてはどのような印象をお持ちですか。

平野：ISO9001など他のマネジメントシステム規格がPDCAサイクルを全体で回す仕組みについて記述されていることに対して、ISO20000は全体でどのようにPDCAサイクルを回せばいいのか、それがわかりにくいという印象はあります。PDCAサイクルの各プロセスは細かく書いてあるのですが、全体のスキームをどう構築するかがISO20000には書かれていません。

大畑：規格の構成として4章にPDCAサイクルに関する記述が集約されており、各管理プロセスは並列に記載されているため、そのプロセスを改善プロセスへどのように乗せるのかが見えにくいことは確かにあると思います。

平野：特にISO20000-2は、はっきりいえば踏み込みの甘い記述であることは否めません。実際はISO20000-1にITサービスマネジメントとしての必要な要件はすべて書いてあります。ISO20000-2はそれに多少の肉づけをした点はあるものの、ITILのような内容をもう少し書き込まないと、ISO20000-1とISO20000-2の位置づけ自体が非常に曖昧です。

ISO20000-2は章によってはISO20000-1と同じことしか書いていない部分もあります（笑）。そこが現時点でのISO20000の弱点だと思います。

大畑：それでもISO20000が成立するのは、やはりITILがあるからだと思いますが、規格以外の知識を前提にした内容では規格としては改善の余地ありといわれても仕方がありません。

本誌：ITILとISO 20000の違いはどのような点でしょうか。

大畑：ISO20000は定義されているプロセスについての網羅性は要求されていますが、その要求事項レベルが達成されていれば、それ以上のレベルは要求されていません。

一方、ITILは要求事項ではありません。自分たちが弱いと思っている点を自分で取組みのレベルを決めて行うものです。さらにもう少し深掘りしてみるとか、次のプロセスを含めて改善してみるというアプローチになります。

ISO20000へのニーズ

本誌：ISO20000に対するニーズについてお聞かせください。

大畑：ITILなどは実際にRFI（調達に先立ち、ITベンダーに対応策の詳細を提供してもらうための情報提供依頼書）やRFP（ITベンダーに情報システムの提案を作成してもらうための提案依頼書）に入ってきています。強制的な調達条件ではありませんが、加点条件として採用している企業、自治体、中央官庁があるようです。そのような動きが広がれば、ISO20000、ITILに対するニーズは高まるでしょう。

さらには内部統制やSOX法対応として、間接的にでも有効であることが実証されればそれも後押しになると思います。

本誌：企業内部からのニーズとしては。

大畑：情報システム部門は運用にコストがかかるということが多くの企業でも指摘されています。

例えば、最近の企業は様々な業種に進出し、経営が多角化するケースが多く見られます。そこで複雑になった業務プロセスをどのように統合するのかという問題が出てきます。サーバーなどのハード面は統合が容易なのですが、運用面でもプロセスが二つになればコストも２倍になりますから統合の必要性があるのですが、これがなかなか難しいのです。こういった場合、ISO20000やITILを基準としてプロセスの統合を図ることができると思います。

また、コストダウンを迫られた際、逆に情報システム部門としてその取組みの正当性を訴えるための手段として機能します。つまり情報システム部門や情報システム子会社の生き残り戦略として、必要なことを最適な方法で行っていることを自ら示す必要があります。その説明責任を果たすためにも活用できると思います。

本誌：SOX法対応として期待する意見もよく聞きますが。

大畑：ISO20000を取得してもSOX法順守を証明することにはなりませんが、取り組んでいることがプラスに作用することはあると思います。

一つには、文書化されることでプロセスの流れが明確になることです。また不適合が指摘されてもPDCAが回っていれば、すぐに是正できるメリットはあると思います。

また規格の適用範囲としても、SOX法でリスクが発生しやすい管理プロセスとして、開発・変更管理、セキュリティ管理、運用管理の三つがあげられていますが、ISO20000はその三つをすべてカバーしています。

数値とプロセスの可視化

本誌：そのような背景からISO 20000の認証は今後順調に進むとお考えですか。

平野：現在はベンダー中心ですが、将来的にはユーザー側でも導入されるのではないかと思います。

特に金融業などでは、何をやっているのかという説明がしやすいために認証が進むのではないかと思います。また企業内でもユーザーとプロバイダーという立場がありますから、そのような部門間の可視化としても役に立ちます。

さらに自治体や官庁は、運用サービスの調達条件としても引用してくる可能性はあります。やはり、調達要件としてもプロセスの可視化は必要だという認識は広まるでしょう。

大畑：例えば、数値的に可視化させることはSLA（通信サービスの事業者などが、利用者にサービスの品質を保証する合意）で可能ですが、それはあくまで結果の可視化であって、さらに踏み込んでプロセスが本当に動いているのかどうか、事前に知っておきたいという要求はあると思います。サービスをアウトソースで丸投げしてしまうと、本当に見えなくなりますから、数値の可視化とプロセスの可視化はペアになってくるのではないかと思います。

動き出す改訂作業

本誌：それでは今後の動向についてお聞かせください。

平野：周知のとおり、2007年４月からJIPDECがITSM認証制度を正式に立ち上げることになっています。

また、ISO20000のJIS化作業も進んでいます。現在はJIS原案作成委員会が７月に設置され、ほぼ原案ができた段階で、JISQ20000-1／-2として、来年度当初には発行される予定です。

ISOでの作業は2006年5月の総会でISO20000改訂のNWIP（新規規格策定提案）が承認されています。改訂そのものには日本も賛成しており、今年10月のWG25ソウル会議に向けてコメントを準備中です。

本誌：最後に、これからISO20000の取得を目指す企業にアドバイスをお願いいたします。

平野：ISO27001にもかかわっている立場からすると、ISO20000はISO27001を合わせると使いやすいのではないかと思います。ISO27001は適用範囲が狭いように見えますが、じつは情報管理全般を網羅できる規格です。実際に情報管理の運用面はISO20000、セキュリティはISO27001として考え、お互いを補完できるように使ってもらえればいいのではないでしょうか。

大畑：日本では数年前までITILは知られていませんでしたが、この数年でITサービスマネジメントに対する興味、視線はだんだん熱くなっています。そのため日本にはITILを咀嚼する時間もありました。今の状況でISO20000が登場しても、それほどタイミングは悪くないと思います。

取得が目的にならないよう、実をともなうシステム構築を目指ししてもらいたいと思っています。

本誌：本日は貴重なお話をありがとうございました。（取材：アイソムズ編集室）

ISO20000発行までの経緯

1989年：英国政府が政府自身のITサービスマネジメントのベストプラクティスとして
「ITIL（IT Infrastructure Library）」を発表
1991年：ITIL推進母体「itSMF（IT Service Management Forum）」を創設
1990年代：英国商務省内にITILを実践展開→欧州各地に拡大
1997年：itSMF USA設立
2000年：英国標準「BS15000」制定（ISO9001及びBS7799とも連携）
2003年：itSMF Japan設立
2003年7月：BS15000の第三者審査登録開始
2004年4月：BSIが国際規格化へ向けてJTC1へ３ヵ月事前調査依頼
2004年11月：DIS投票開始（2005年4月まで）
2005年10月：Ballot resolution meeting開催
2005年12月：ISO20000-1／-2正式発行
2006年4月：（財）日本情報処理開発協会（JIPDEC）がITSM適合性評価制度立ち上げを発表