IPA(独立行政法人情報処理推進機構)では、産業界におけるソフトウェアの品質説明力の強化を目指して、新たに「ソフトウェア品質監査制度」(制度名については仮称)の確立に向けた取り組みを進めている。
本特集「ソフトウェア品質をどう担保するか」では、IPA ソフトウェア・エンジニアリング・センター(IPA/SEC)の協力の下で、同制度の目的やフレームワーク、具体的な取り組みの内容などについて、4回に渡って解説していく。
第1回の「ソフトウェア品質をどう担保するか--品質監査制度の確立に向けた取り組み」では、新しい品質監査制度が必要となった背景について説明した。今回からは、具体的にどのような制度が提案されているのかを紹介する。
ソフトウェア品質監査制度の全体像
IPAでは、第1回で取り上げた市場背景を受けて新しいソフトウェア品質監査制度に対する産業界からの要望事項と対応方針をまとめ、それをもとに本制度の要件を次のようにまとめている。
- 認定機関、試験機関、認証機関を分離すること。試験機関、認証機関については民間の参入を可能とすること。
- 監査基準は単一の基準(分野非依存の基準)とすること。
- 単一の公的資格(分野非依存の資格)を有する適正な審査官が監査を実施すること。
- 要求される品質説明力に応じたレベル分けの基準は単一とすること。
- 分野非依存の審査基準は民間主体(産業別業界団体等)で策定できること。
この要件に基づいて提案されているソフトウェア品質監査制度の全体の枠組みは図1のようになっている。
ソフトウェア品質監査制度の枠組み案
※クリックで拡大画像を表示
実際に監査を行うのは、政府の認定機関から認定を受けた民間主体の監査機関である。監査機関は、試験によって認定された公認審査官を中心として運営される組織とされている。公認会計士制度でいえば、監査機関は監査法人に、公認審査官は公認会計士にあたる。
審査基準は、産業あるいは製品の分野別に策定される。審査基準は認定機関から認定を受けた審査基準策定機関によって策定されるが、この審査基準策定機関には各分野固有のノウハウや技術への知識が求められることになる。
監査結果は利用者(ユーザーや顧客など)に公開されるのと並んで、監査結果認証機関による認証が行われる。この工程には主に2つの目的があるという。ひとつは監査結果を再確認させた上で一般の利用者にもより分かりやすく説明すること。もうひとつはサプライチェーンのように複数企業の製品を組み合わせて作るシステムの場合に、個別の監査結果をひとつにまとめられるようにすることである。この認証の結果も利用者向けに公開される。
つまり、利用者は監査結果と認証結果を確認することで、客観的な目で見た製品の品質や安全性を知ることができるというわけだ。
