機密保持への対応
監査機関だけでなく、事業者が独自に審査を担当する公認審査官(内部審査官)を設けることができるというのも大きな特徴だ。
開発事業者が監査のような仕組みを敬遠する大きな理由のひとつに、機密情報が外部に漏れることに対する懸念が挙げられる。そこで、内部審査官を設けることによって機密情報を監査機関に渡すことなく審査を行えるようにする。
ただし、監査計画全体の責任はあくまでも外部の審査官が持たなければならない。内部審査官は、内部審査の実施状況を機密情報が含まれない形で外部審査官に報告し、外部審査官はその報告と外部審査の結果を総合して最終的な監査および監査結果の表明を行うという流れになる。
外部審査官と内部審査官の役割と審査の流れ
※クリックで拡大画像を表示
内部審査官の存在は、機密保持の他にも、製品の専門性への対応という役割も持っている。特に独自の先端技術を用いる製品に対しては、内部審査官の専門知識が品質の確保に大きく関わることになる。その他、内部審査官は現場の開発者に対して審査内容や監査制度についての指導を行う役割も担うこともできる。
既存の枠組みとの整合性を考慮
品質やサービスの信頼性・安全性は、組織のマネージメントシステムと密接に関わってくる。しかし、マネージメントシステムに関連した規格制度としては、すでにISO9000シリーズやISO14000シリーズなどが存在している。その上で新しいソフトウェア品質監査制度でも同じ内容を審査するというのは、事業者にとっての負担が大きい。
そこで、品質マネージメントシステムなどに関連した既存の規格を取得している場合には、監査計画の段階でそれらに関連する審査項目を除外するなど、審査の重複を避けるような工夫が取り入れられているとのこと。
同様に、規格認証がプロセス認証、セキュリティ監査等も、既存の制度でカバーすることができる分野である。いずれもソフトウェアの品質に関わる項目を含んでいる制度であるため、審査項目が重複する可能性は高い。したがってこれらの制度による認定をすでに受けていれば、ソフトウェア品質監査制度による審査ではその認定結果の確認だけを行い、その他のカバーできない分野についてのみ安全性や妥当性を確認することになる。
次回は、引き続きこのソフトウェア品質監査制度のポイントを紹介した上で、その実現に向けた課題や検討事項について触れていきたい。
