特集 ISO20000多角解剖 情報システム時代の新風! ITサービスマネジメント規格の全容
ISO20000はビジネスの成功の鍵、ITサービス品質向上と
コスト削減によるビジネス改善を可能にするフレームワーク
ビーエスアイジャパン株式会社 教育事業部 部長 打川 和男氏
ビーエスアイジャパン株式会社 営業部 営業マネージャー 鎌苅 隆志氏
BS15000時代からITサービスマネジメント規格の審査登録を他に先駆けて展開してきたBSIジャパン。ISMSにおける圧倒的なシェア獲得に続き、ITSMS審査登録のパイオニアとして、着々と認証件数を伸ばしている。産声を上げたばかりのISO20000審査登録とその市場について、どのように考え、そして分析するのか、同社の打川氏と鎌苅氏に審査とセミナーの現状について聞いた。
BSIジャパンのISO20000審査登録体制
本誌:最初に、貴機関におけるISO20000審査登録状況についてお教えください。
鎌苅:現在BSIジャパンでは、itSMF登録のISO20000登録証を4件発行しています。
またISO20000に先立ち、BS15000で登録していた4社はISO20000へ移行中で年内には移行登録する予定です。さらに他5社について審査を進めていますので、年内には計13社へ登録証を発行できる予定です。
現状では、やはりIT関連の運用サービス、データセンター、サービスプロバイダーがメインになっていますが、他には印刷会社からの引き合いなどもあります。
本誌:審査体制についてお教えください。
鎌苅:社内ではISO20000プロジェクトチームを今年初めに立ち上げて推進し、ISO20000審査員は15名を認定しています。
認定機関については、itSMF登録のISO20000審査登録を行ってきましたが、(財)日本情報処理開発協会(JIPDEC)のITサービスマネジメントシステム適合性評価制度のパイロット認定事業開始にともない、当社も8月末に正式申請し、書類審査・事務所審査が終了しています。今後の予定は、10月~11月の現地審査立会いを経て、12月中旬にも初のパイロット認定を受ける予定になっています。
本誌:審査員資格認定と教育訓練についてお教えください。
鎌苅:ISO20000審査員15名全員が、itSMF認定のISO20000審査員研修コースを修了しています。また同時にISO27001、ISO9001審査員資格所有者でもあります。さらにバックグラウンドとしてITILファンデーションの取得やIT関連の業務経験も認定基準として入れています。
予測がつかない今後の認証動向
本誌:今後の認証件数についてはどの程度見込んでいますか。
鎌苅:ISO200000認証件数の見込みは大変難しいと思われます。すなわち、ITサービスの専門企業以外にも製造業、建設業や印刷業などの情報システム部門が今後、取得する動きを見せているということです。
したがって、かなりの件数は期待できると思われます。
本誌:ISO9001などを取得しているITサービス業では取り組みやすいのではないでしょうか。
鎌苅:確かにITサービス業でもISO9001を取得しているところは多いのですが、ITサービス企業の場合、ISO9001があまりフィットしないという声をよく聞きます。その点でISO20000を紹介する際は用語なども含め、よりITサービス業務にフィットしたマネジメントシステム規格であることはお話ししています。
ただ、ISO20000には設計・開発がないので、例えばアプリケーションの設計開発業務があれば、そこはISO9001でカバーし、他の運用面をISO20000でカバーするような形をお勧めしています。
ISO20000のPDCAサイクル
本誌:それでは、ISO20000における審査のポイントについてお聞かせください。
鎌苅:重要なポイントは、適用範囲の確認だと思われます。この規格は適用範囲をどのようにとらえるかが難しい規格ですから、その妥当性をどう確認するのかという点に注意しています。果たしてこの適用範囲でISO20000を認証取得してもらうことが効果的なのかどうか、審査の前工程の話ではありますが、非常に重要なポイントだと思っています。
後は他のマネジメントシステム規格同様に、PDCAサイクルが回っていて改善される仕組みになっているかどうかということですが、ISO20000の場合、各管理プロセスにおいてもPDCAサイクルを回していかなければいけません。
また、ISO20000はPDCAサイクルに関する記述が独特ですが、独立している管理プロセスをどのようにPDCAサイクルに乗せるのかということの理解に苦労されているケースもあるようです。
本誌:確かにISO20000の管理プロセスとPDCAサイクルの関係がわかりにくいという話はありますが、理解のポイントは。
打川:BS7799も登場した当初はPDCAサイクルがわかりづらいといわれていましたが、考え方は同じです。ですからISMSを理解している企業であれば、ISO20000の構造は理解しやすいと思います。
極端な言い方ですが、基本的には「4.1サービスマネジメントの計画(Plan)」に「3 マネジメントシステムへの要求事項」があたり、「4.2サービスマネジメントの導入とサービスの提供(Do)」に5~10章があたると理解いただければいいでしょう。
4.1、4.2で書かれていることと、5~10章で書かれていることと、どちらを要求事項ととらえればいいのか、などという疑問は不毛な考え方だとご理解いただきたいと思います。
ですから、取組みの入り口としては5章から入ると理解しやすいのではないでしょうか。5~10章について自社とのギャップ分析を行い、足りない部分を見直し、そのプロセスを体系的に管理するために、3章で要求される方針、資源配分、手順の文書化、職能要件の明確化などを行い、それを実施する際のチェック機能として内部監査、モニタリング、さらにマネジメントレビューが必要になる、という考え方ができれば、たぶんISO20000はすぐに理解できます。
しかし、ITILから見ると4章の要求事項などはもともと明確ではありません。特に赤本、青本しか読まれたことのない方にとっては理解することが難しいと思われます。
ISO20000には従来のISO関連業だけでなく、ITILなどの関連の方々がかかわり、また顧客にも様々な業種があります。一体どこにISO20000が必要でどこには必要ないのか、その市場が混沌としている状況ですから、その点を整理することも当社の使命かと思っています。
「6.4 サービスのための予算及び会計」の審査
本誌:一方でISO20000では、ISO規格としては初めてコスト管理に関する要求事項が入ってきましたが。
鎌苅:「6.4 ITサービスのための予算及び会計」は、コストとサービス品質のバランス、可視化が構築できているかということですが、よく顧客から質問を受けるのは、会計監査のような審査をするのかということです。もちろん会計監査のような審査はしていませんし、する必要もありません。
簡単にいってしまえば、各サービスに適正にコストが配分されているか、新しいサービスやサービスの変更に際して予算の計画、配分の計画が事業に合わせてできているかという点を確認することになります。
本誌:記録類はどこまで見るのでしょうか。
打川:顧客にもよりますが、基本的にISO20000の要求事項は財務会計ではなく管理会計に関する部分です。立てた予算どおり、コストが適切に執行されているか、差異が出た場合に管理されているかということが確認できればいいことで、台帳を提示される企業もあれば、リストを提示される企業もあります。それは問いませんし、また債権債務の細かい伝票まで見せていただくことはありません。
本誌:ところでISO20000認証取得のメリットについては、どのようにお考えですか。
鎌苅:顧客の取得の動機によって分かれる部分だと思いますが、ITサービス品質の向上はもちろん、ITILとは違い、認証をともないますから、他社との差別化につながります。
またIT投資とサービス品質のバランス、可視化という点もあげられるでしょう。さらにアウトソース先の効果的な管理もあげられます。政府調達基準にもISO20000というキーワードが入っているらしいという情報もありますが、そのように調達基準としても広がる可能性はあると思います。
SOX法関連でいえば、内部統制の一環として、情報セキュリティをベースに運用をISO20000でカバーするという下地作りなどが動機づけになるかと思います。
さらにこれは審査機関のタスクでもあるかと思いますが、ISO20000導入をきっかけに、統合マネジメントシステムの導入も提案していかなければいけないと思います。実際、QMS、EMS、OHS、ISMS、ITSMS、さらにPマークまで取得されている企業もありますから、そのような企業に対して統合マネジメントシステムの構築を提案していく必要があるかと思います。
「ITガバナンスとISO20000」の考え方
本誌:お話にありましたSOX法とISO20000の関係について注目されることが多くなってきましたが。
鎌苅:ISO20000の認証取得をしたからといって、内部統制が満足できるわけではありません。ISO27001とISO20000という決まったフレームワークを、特にIT統制の下準備として活用できるのではないかということです。
内部統制については何から手をつけていいのかわからないという状況だと思います。どのようなフレームワークがいいのか悩まれているケースが多いでしょう。
そこで文書化やビジネスフローチャートを作ることなど、二つの規格をうまく活用することによってある程度の準備は整うと思います。その整理のためのツールとして使えるのではないかということです。
打川:もう少しブレイクダウンしていいますと、「ITガバナンス=ISO20000」という解釈ではその間の説明が抜けてしまっていると思います。
ITガバナンスの目的や本質は何かというと、正しい仕事の結果を算出できること、正しく処理していること、活動の透明性が表明できることという狙いがあります。
一方、ISO20000取得企業のメリットは、対象企業によって違いがあります。
一つは、従来ITマネジメントに課題がある組織、もう一つはITマネジメントに完備性が高い組織です。
前者のメリットは管理機能が向上するということですが、これは本来やらなければいけないことを後回しにしていたものが確実にできるようになり、問題を先につぶせる企業になります。これが前者にとってITガバナンスの目的になります。
後者の場合は、現在それが正しく行われているのであれば、それを正しく伝えることができる、つまり活動の透明性を担保することができます。これが後者にとってITガバナンスの目的になります。
そのようなISO20000のメリットがたまたまITガバナンスの本質に合致しているだけであって、どう利用するかは企業によって大きく異なります(図2参照)。
BSIが開催するISO20000セミナー
本誌:貴機関では、審査だけではなく関連セミナーも展開しておられますが、その点についてお教えください。
打川:BSIとして現在提供しているセミナーは、ISO20000解釈コースと内部監査員養成コース、これは6月から開催しています。また12月からはIRCA承認を前提としたISO20000審査員研修コースを開催します。
内部監査員養成コースなどは、現在ISO20000に取り組んでおられる企業は大手が多いので、大量に内部監査員を養成する必要があることから、1社あたりの受講人数も多いので、毎回満員です。
審査員研修コースに関していえば、JIPDECの基準ではitSMF承認コースについても審査機関に所属していて差分を担保できればパイロット期間中も認めることになっていますので、IRCA承認コースへのニーズは、JIPDECのパイロット期間が終了してから本格化すると予想しています。
本誌:最後になりますが、今後の展開についてお聞かせください。
鎌苅:今、自分たちがISO20000を取得できるのか、取得してメリットがあるのか、その判断基準がなく悩みを持たれている企業が多く見られます。審査登録機関としてその方向性を明らかにしていきたいということが一つあげられます。
また、普及面ではITサービス業の中でもさらにセクターを絞り込んで、ISO20000のメリットを伝えていくことが必要ではないかと考えています。
打川:セミナーに関しては普及啓蒙のための無料セミナーと、教育訓練のための有償セミナーの両方を提供していきます。
無料セミナーについては、11月に参加者100名規模のITサービスマネジメントに関する講演会を企画しています。当社としては本年度最大のイベントになります。
有償セミナーとしては、先ほど紹介した三つのコースを審査に先立ち、積極的に市場に提供していくことが基本だと考えています。
本誌:本日は貴重なお話をありがとうございました。(取材:アイソムズ編集室)
■ISO20000の市場はまだ未知数だが、認証取得のメリットは大きいことを伝えていきたいと語る打川氏(右)との鎌苅氏。
■図1 ISO20000-1の規格要求事項
■図2 ITガバナンスとISO20000の考え方
<アイソムズ 2006年11月号掲載>
