特集　ISO20000多角解剖　情報システム時代の新風！　ITサービスマネジメント規格の全容

審査員に求められるのはITや新しい業種・業態、
新サービスの知識を深め審査経験を積むこと

編集室

ISO20000は、今まさに制度が立ち上がりつつあるが、日本版SOX法のIT内部統制との関連もあり注目度は高い。本格運用開始は2007年4月であり、それまでは既存のISMS審査員登録機関が審査を行う。審査員としてはit SMF研修修了者への配慮などもある。そこで、現時点での審査登録制度と審査員についての情報を整理した。

本格運用は2007年4月開始

ISO20000（以下、ITSMS）審査登録制度は本誌9月号既報のとおり、認定機関であるJIPDEC（財団法人日本情報処理開発協会）が2006年7月からパイロット運用を開始しており、2007年4月から本格運用が始まる予定である。

ISO20000の認証取得組織は、2006年7月末時点では外国系審査登録機関による7組織にすぎなかった（本誌9月号）が、今まさに増加中という段階である。

当面はISMS審査登録機関が実施

ITSMSの審査登録機関は、パイロット運用中は新規の機関認定は行わず、既存のISMS審査登録機関（20機関）が行う予定である。ISMSのISO化は2005年10月にされたばかりだが、ISMS適合性評価制度のパイロット事業開始は5年前の2001年に遡る。ISMSは今日まで1,775事業者を認証（10月13日現在）してきたが、こうしたIT分野におけるマネジメントシステムの審査経験と実績を評価してのことであろう。

したがって新規にITSMS審査登録機関の業務を行うことができるのは、本格運用を開始する2007年4月以降ということになる。

なお、ISO20000の前身であるBS15000（英国規格）では2003年から認証制度を開始していたが、BS15000の認証運営機関であるitSMFが認定したDNVや日本品質保証機構（JQA）、イギリスの認定機関UKAS（United Kingdom Accreditation Services：英国認証機関認定審議会）が認定したビーエスアイジャパン（株）もBS15000からの移行という形でISO20000の審査登録業務を行っている。

ITILはBS15000の下に位置づけられ、IT組織は自らのITサービス提供のプロセスとマネジメントシステムをBS15000に基づいて構築し、詳細な内部のルールや具体的なタスク、作業者の適格性などはITILを参考に規定、実施するという仕組みであった。ISO20000となってもこの関係は変わらない。

審査の仕組み

審査は、ITSMSを効率的かつ体系的に実施するための要求事項として2005年12月に発行されたISO20000-1（情報技術－サービスマネジメント－第1部：仕様）によって行われる。JIS化は2007年4月の予定であるため、パイロット期間中はISO20000-1の対訳版を使用することとなる。

なおISO20000-2（情報技術－サービスマネジメント－第2部：実践のための規範）は組織がITSMSを導入・維持する際のガイドラインとして用いる。

ISO20000の構成

1.適用範囲
2.用語及び定義
3.マネジメントシステム
4.サービスマネジメントの計画及び導入
5.新規サービスまたはサービス変更の計画及び導入
6.サービスデリバリプロセス
7.関係プロセス
8.解決プロセス
9.コントロールプロセス
10.リリースプロセス

ISO20000は情報セキュリティに関する管理も要求し、そこにはISO27001の要求事項を含む。そういう意味からもISMS審査登録機関がITSMS審査登録機関となることには意味がある。なお前身のBS15000も、BS15000-1（仕様：Specification for service management）とBS15000-2（実践規約：Code of practice for service management）という構成であった。

審査員になるには

2004年3月に発行された、審査員評価登録機関に対する新しい認定基準であるJISQ17024（適合性評価－要員の認証を実施する機関に対する一般要求事項）により、現在、品質マネジメントシステム（QMS）の審査員になるには、認定機関のJAB（財団法人日本適合性認定協会）認定の審査員評価登録機関JRCA（財団法人日本規格協会・品質マネジメントシステム審査員評価登録センター）または国際審査員登録機構IRCAが承認した審査員研修機関で審査員研修コースを受講し、JRCA（IRCA）に登録することとなっている（2006年7月1日から）。

次に、環境マネジメントシステム（EMS）の場合には認定機関のJAB認定の審査員評価登録機関のCEAR（社団法人産業環境管理協会・環境マネジメントシステム審査員評価登録センター）または国際審査員登録機構IRCAが承認した審査員研修機関で審査員研修コースを受講し、CEAR（IRCA）に登録することとなった（2007年1月から）。

一方、情報セキュリティマネジメントシステム（ISMS）の場合は、認定機関のJIPDEC認定予定の審査員評価登録機関JRCA（または国際審査員登録機構IRCA）が承認した審査員研修機関で審査員研修コースを受講し、JRCA（IRCA）に登録する必要がある。

ITSMSの場合、これと同様に本格運用後は認定機関のJIPDECが審査員評価登録機関としてIRCAを認定（予定）、IRCAが審査員研修機関を承認、審査員研修機関で審査員研修コースを受講、IRCAに登録する流れになる見込みである。JRCAについては、現段階ではITSMSの審査員評価登録機関に名乗りを上げていない。

itSMF研修修了者の取扱い

前述のとおり、ISO20000の前身BS15000は、itSMFが認証制度を運営して、BS15000審査員やコンサルタントを認定していた。

BS15000の審査員は、2日間の研修を受講し、最終日の試験に合格すれば世界共通の「itSMF-BS15000審査員」に認定されるというものである（研修費は26万円程度）。

一方、BS15000のコンサルタントはITILファンデーション資格を持ち、システム開発などIT関連業務経験が5年以上、運用管理が3年以上の経験者のみを対象とした3日間の研修を受講し、最終日の試験に合格すれば世界共通の「itSMF-BS15000コンサルタント」に認定されるというものである（研修費は35万円程度）。

そこで、ITSMSのパイロット運用中は、審査員研修に関してこのitSMF-BS15000審査員研修コースに配慮した形になっている。

すなわち、審査員研修コースはQMS、ISMS同様、通常の5日間コースと、（QMS、ISMSといった）他の審査員資格者用の3日間24時間という短縮コースがあるが、itSMFの研修（2日間12時間）受講者については、差分教育を受けることで短縮コース修了とみなすことにしたのである（差分教育はIRCAが作成したISO20000研修コース基準に基づき実施される）。

なお、ITSMS審査員も他のマネジメントシステム同様、「研修を受けさえすれば取得できる」といった簡単なものではない。QMSまたはISMSの主任審査員の資格（審査員登録機関への登録は問わない）とITIL関連の用語及び知識を有していること（ITILファンデーション試験の合格で代用可）、さらにITサービス分野での2年間の実務経験を有することを審査員になる条件として課している。

ITIL 試験とは

さて、ISO20000がベースとしている“ITサービスマネジメント分野のベストプラクティス”を体系化し“ITサービスのプロセスを最適化するための手引き”であるITILでは、全世界の試験実施機関がITILファンデーション、ITILプラクティショナー、ITILマネージャというITIL国際認定資格の試験を実施している（日本では、オランダのEXIN（Examination Institute for Information Science）社と英国のISEB（Information Systems Examinations Board）社が実施している）。

基礎的能力を問うファンデーション試験はアール・プロメトリック社とピアソンVUE社が全国の試験会場で（日本語・英語で）試験を実施している（各種研修が任意に行われているが、受験資格の制限はなく、研修受講は条件ではない）。

一方、上位資格のプラクティショナー試験とマネージャ試験は、EXIN認定教育事業者が実施するITIL研修コースを修了することが受験資格となっている（研修の最後に試験を実施する形が一般的である）。

このITILファンデーション試験は、CBT（Computer Based Testing）方式で実施されるマルチチョイス（選択式）試験であるが、以下の14セクションから40問出題され、合格ラインは65点（26問）である。

ファンデーション試験の出題セクション

一般
サービスデスク
インシデント管理
問題管理
変更管理
構成管理
リリース管理
サービスレベル管理
可用性管理
キャパシティ管理
ITサービス継続性管理
ITサービス財務管理
他の主題
関係

受験料は18,900円、受験対策としては各種ITIL関連市販書籍の他に、itSMFジャパンのHPに対策書籍などが掲載されている。

ITILファンデーション受験のための研修コースは1～3日で7万円～25万円程度である。

なおITILマネージャ試験は「サービスサポート」と「サービスデリバリー」の2科目各3時間のエッセイ（記述式）試験であり、事前に配布される「ケーススタディ」に基づき計5問出題される。2科目各5日間の研修と対策講座1日、最終日の試験までのフルセットの場合、受講料は100万円を超える。

顧客の要求と審査員の力量

ISO20000はデータベース、ヘルプデスク、コールセンターのように「ITインフラを利用してITサービス運用管理を提供」したり、ISP、ASP、保守といった「ITサービスを活用して顧客にサービスを提供」したりするIT色の強いものばかりではなく、インターネット証券・銀行、インターネットショッピングのようにITをベースとしたサービスを顧客に直接提供する企業や、旅行会社などビジネス提供においてITインフラ（予約システムなど）に大きく依存している企業など、多くの業種・企業のITサービス部門においても適用可能であり役立つ。

顧客が望むのはシステムをストレスのない処理速度で安定稼動し、トラブル発生時や問合せには迅速・確実に対応してもらい、事前に定めたサービスレベルと一定のセキュリティレベルを予算範囲内で実現するということである。こういった顧客の要求に対し、ITサービス提供者はまず契約書・SLAを締結し、システムの構成を管理し、障害や資源使用状況を監視し、セキュリティ対策や問合せ対応を行う。トラブル発生時には早期復旧・代替手段の提供、原因特定・再発防止、対応履歴記録を行うほか、システム追加・変更時には実施手順を作成し、プロジェクトの予算管理も行う必要がある。

したがって、ITや新しい業種・業態、新サービスなどについての知識を深めながら審査経験を積んでいくことが望まれる。（文責：アイソムズ編集室）