日本だけ、ITサービス審査員にはITILファウンデーションが必須

呉井嬢次(Johji Kurei) 2006-07-03 05:05:00

 世界でITサービスの認証を提供している国の中で、日本だけが唯一ITILの資格を要求する認証制度で運営することが明らかとなった。ISO/IEC20000の認証取得を検討する企業は、日本独自のルールを
適用するJIPDEC方式の認定制度の動きには注目すべきだ。

ITILのITサービスのセキュリティ確保に貢献している

 セキュリティの話題であるブログで、ITサービスを取上げると違和感を持たれるかもしれないので、簡単に説明しておこう。ITILには色々な管理が分類されているが、その中にセキュリティ管理がある。非常に多くの事例からノウハウを導き出して整理されており、システムの運用する人にとっては参考になる。
多くのデータセンターやプロバイダがITILのフレームワークを活用している。そして、一般の人から見ると、情報サービスの安全性やサービスの質を判断することは難しい。分りやすくする方法として、認証制度がある。つまり、認証シンボル(マーク)があれば、一定水準をクリアしているという仕組みだ。素人にも分りやすいし、国際的に同じルールが適用されているので信頼されている。そこで今回取上げるのは、日本固有のルールが動き出す、という話。

国際的な認証制度の枠組みを外したJIPDEC

 先日、JIPDECがITサービス認証制度に関する説明会が国際展示場で開催された。興味深いのは、ITサービス(ISO/IEC20000)の審査員には、審査員研修の他に、ITILファウンデーションの資格を要求する内容だった。また、審査機関であるJQAをはじめとするISMS審査機関からも疑問の声が上がった。

 しかし、JIPDECはITサービスの審査制度の方針を変える予定はない。JIPDECの認定機関が決めた方針を正す場は提供されておらず、審査機関は従うしかないのが現状だ。だが、ISOという国際的な認証制度の中で、日本だけが独自ルールを提供することは、将来のITサービスの認証制度に影を落とすことになりかねない。審査機関だけでなく、ISO研修機関も戸惑っている。

突然の発表に戸惑う研修機関も

 ISO/IEC20000審査員研修と称して、アーク、グローバルテクノの審査員研修機関は審査員研修を実施してきた。彼らによると研修コースに合格すれば修了証がもらえて審査員への道が開けるという
説明だった。しかし、最後にITILファウンデーションも必要となれば、研修機関でなく、別のitSMFの試験会場で試験を受けることになる。
 ISO研修機関の中には、受講者の所属企業の多くが、将来的にセミナーを実施しているitSMFに流れていくことも考えられる。講師の中にはコンサルティングを行っている者も多く、研修機関はこうした点からも危惧しているのだろう。

ITサービスを審査員なら専門性が要求されるのは当然だが・・・

 JIPDECは、ITサービスの審査員には専門知識が求められるのでITILファウンデーションの資格は必要だと説明する。しかし、この説明には納得できない点も多い。

 第1点は、それならITサービス(ISO/IEC20000)の審査員研修カリキュラムの中に最初から必須事項を含めなかったのかだ。JIPDEC以外の研修を義務づけることは、世界のISO審査制度で日本だけだ。
ITILファウンデーションの資格を取得するには2時間たらずの試験でも約2万円もかかる。ITILファウンデーションの研修コースなら10万を超える。そしてITサービスの認証制度を維持するには、数千人以上の
審査員が必要となる。つまり、JIPDECは1億円以上がitSMFにお金が流れることを黙認したとことになる。認証制度の独立性を確保する認定機関としては、疑問が残る。

 第2点は、これまでITサービスで行ってきた審査員研修の教材、講師はJIPDECが関与しておらず、itSMFによって認められた教材、講師が行ってきている。つまり、JIPDECは自ら研修機関を外部に委託したままITサービス認証制度をスタートしようとしている。ここも認定機関としての公平性の将来的な確保に疑問が残る。

 いずれにせよ、専門知識、用語の理解をitSMFの資格(ファウンデーション)に任せざる得なかったのであろう。しかし、専門知識、専門用語が必要とされるISMS(情報セキュリティマネジメントシステム)認証制度でも、条件は同じだ。それでも外部資格を要求していない。つまり、JIPDECには別な理由があるのではないだろうか。

JIPDECが新制度を急いだ理由

 JIPDECが審査員の研修制度も整備されていない段階でITサービス認証制度をスタートさせたのだろうか。大きな要因は、今年4月からISMS認定機関をJABがスタートさせたことだ。これまで日本ではISMS認定機関はJIPDECだけだった。しかしISO9000、ISO14000シリーズの実績が豊富なJABがISMS認定機関サービスをスタートさせたことによって、JIPDECからJABへの審査機関離れが予想される。なぜなら、ISO9000とISMSを一緒に審査できる統合監査は企業の費用を安くできる。この統合監査は、JIPDECではできないが、JABなら可能だから。また、認定機関が増えることによって、新規の認定申し込み企業の減少は避けられない。JIPDECは、差別化策としてITサービスを急がせたのだろう。

 いずれにせよ、認証制度が中心で動いても、企業のメリットはない。日本固有の資格が要求されつづけていけば、企業の担当者は経済的な負担も増えていく。私自身、ITサービスをはじめとするセキュリティの資格を多数取得しているが、こうした認定機関独自の奇妙な動きには、注目していきたいと思っている。

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。

SpecialPR