国際規格化されるITIL関連規格

11月7日から9日まで、イギリスのブライトンで第14回のITILの国際会議がitSMF主催で開催され、その情報が少し入ってきたので、ITIL規格化に関連した話をすることにします。

英国でのITILのカンファレンスがすでに14回目になるということは、ずいぶんとITILが長持ちしていることを示すとともに、これからもITサービスマネジメントの領域に深くかかわることが裏付けられる情報がもたらされました。また、国際的に通用するITサービスマネジメントの実施を証明できることになったのは、ITに関連する分野で仕事をする身にとっては、うれしいと同時に気が引き締まる思いです。

規格化と認証

ご存知のように、ITILの上位規格はBS15000というITサービスマネジメントに関する英国規格です。この規格は、オーストラリアや南アフリカなどでは、ほとんど同じ内容でその国の規格として採用されているそうです。こういった背景から国際規格化の要望も持ち上がり、今年の3月までにBS15000を国際規格化する件について各国規格関連の国家機関の投票が実施され、その結果国際規格化に賛成した票が多かったことが5月に発表されました。そして今回のカンファレンスでISO20000という国際規格がBS15000をベースとして制定されることが発表されたのです。

今後の予定としては、今年の12月中に新規要求事項、推奨事項の追加と変更を行い、国際規格の文書形式化された概要が発表される予定です。また認証に関しては、概要発表から18カ月後に正式にISO化され認証作業が開始されることになっています。ITIL関連の認証では、すでにBS15000の認証が各国で行われており、私に知る限りでは、日本でもすでに5社が認証を取得しているようです。アジアでは韓国、インドなどがIITILの普及、BS15000の認証では、かなり先行しているようです。

まだISO20000の概要が発表されていないので、BS15000について簡単に解説しましょう。この規格は現在2部で構成されています。

1つはBS15000-1:2002 IT service management Part 1: Specification for service management いわゆる“サービスマネジメントの仕様”といわれている規格です。この使用と呼ばれている部分は、顧客に受け入れられる品質管理されたサービスを提供する組織のための要求事項が定められています。

もう1つはBS15000-2:2003 IT service management Part 2: Code of practice for service management つまり“サービスマネジメントの実施標準”といわれているもので、監査員のガイドを提供し、組織がサービス改善を計画したり、BS15000に関する監査をしたりする場合に役立つようになっています。

規格と関連して供給されているものが他にもあります。BIP 0005 A Managers’ Guide to Service Managementで現在は書籍になっていますが、以前のPD 0005といわれていたものと同様です、第四版のアップデートに伴い装丁された書籍になりました。実施標準をより詳細かつ平易にしたもので、BS15000に関連したプロセス導入を実際に主導する方向けの解説書となっています。そしてPD 0015:2002 IT Service Management Self-assessment Workbook と言うセルフアセスメントの質問集があります。これは、組織の各プロセスの成熟度を知るために活用されています。

以上からいえることは、ITILを導入していなくても、規格レベルでマッピングされているプロセスは、成熟度はともかくとしてどんな組織でも存在するわけです。組織に依存する形で役割とリソースの配分が行われていてプロセス指向になっていない場合でも、プロセスをきちんと定義し、役割、手順、管理方針と適用範囲を明確にできればよいわけです。また、当然のことですが、管理していることと管理が実際に行われていることを証明できれば良いと言うことになります。このあたりの程度問題と言うことですが、マネジメントサイクルに関する認証の程度は他の国際規格と同等だそうです。

となると、ISO9000、ISO14000、ISO17799（ISO2700）と認証を取得していると、監査だけで大仕事になってきますね。そこで、マネジメントサイクルの共通部分は統合監査で行い、個別の仕様で対応する部分を最小化するというサービスを提供しているところも在るようです。いずれにしろ、認証を維持することではなく、改善のサイクルが継続的に機能する方向に作用させなければマネジメントサイクルの改善、会社のゴールを目指せないということでしょうかね。

国際規格化がここまで進むと、認証取得のニーズはどんなところにあるのか考えて見ましょう。当然のことながら分野はITサービスマネジメントですが、業種は多岐にわたるでしょう。形態として予測されるのは3通りでしょう。

まずは、ソリューションを提供する組織のISO20000認証取得です。つまり、サービス提供を業務としている組織が運用しているITサービスマネジメントがISO20000に準拠する必要が在ると言うことです。紺屋の白袴でないことを証明する必要があるわけですよね。まずは、適用事例を自ら作り、そのノウハウを実践に利用していくということでしょうか。

そして、自らITサービス部門を所有する組織によるISO20000認証取得です。IT部門の可視化だけでなく、存在意義と会社への貢献の度合いを証明できるわけですね。これは何をビジネスとしているかにはかかわらず、プロセス指向による改善サイクルが継続的に回っていることを証明するもので、会社の文化として社会的評価が向上すると思われます。

次に考えられるのは、アウトソーシングを受けている組織によるISO20000認証取得です。そのITサービスマネジメントが自社のビジネスに正しく貢献しているし、必然のサービスであることを証明するために、取得するケースです。アウトソーシング会社の適正さを評価することにも繋がると考えられます。ただ、このケースは少ないかもしれませんね。

それにしても皆さんはかなり反応が早いですね。11月第2週にBS15000のISO20000化の発表があった翌週には、翌々週に計画されていたBS15000の解説コースの受講者が急増しましたね。本当に驚きました。

ただ、今のところBS15000の監査員の養成ですが、認定は英語の試験なのですよね。内部監査員だったら試験に合格しなくてもいいけれど、外部監査員となると話は別ですよね。しかも、マネジメントには詳しい、すでにISO9000とかの外部監査員資格を持っている人たちがこの辺をやってくれています。

ただ、ITILの導入とはかなりかけ離れている気がします。BS15000-2では、用語の統一や理解を促進するために制定された規格と記載されていますが、翻訳の資料には“原本の利用に際しての情報提供を目的としたものであり（以下略）”との記述があるとおり、ITILで使用している用語と、規格の翻訳の用語がかなりのレベルで違っているのです。このままでは、監査員とITIL推進者のギャップが生じたままにならないか気がかりですが、ISO20000では整合性が取れたものになることを期待しています。

ITLリフレッシュプロジェクトと言われているITIL3関連の情報も入手できましたが、12月に用語集が出るということと、企業統治いわゆるガバナンスの要素がかなり入ってくるようです。これは前回のSOXの話に関連しています。ITIL3に関しては、また別の機会にお話しすることにしましょう。

前田　隆