システム運営管理やソフトウェア開発等を手がけるインフォメーション・ディベロプメントでは、社内システムの管理部門が提供するITサービスに対して ISO 20000(ITSMS)の認証を取得している。認証取得に踏み切った狙いや認証取得後の効果を、統括責任者である山本 健次常務執行役員に聞いた。
ITサービスのマネジメントシステム(ITSMS)とは、システムの効率的・効果的な運営管理を図ることで質の高いサービス提供を目指すもの。サービス提供者と利用者の間でその内容やレベルに関して合意(SLA:サービスレベル・アグリーメント)を交わしたうえで、それも踏まえて、PDCAのマネジメントサイクルを継続的に実行・運用していく。
ITSMSは、ITサービスを提供する組織が社外の顧客に対するサービスに適用するのが一般的だが、インフォメーション・ディベロプメントでは、情報システムの管理部門が社内の各部門を対象にしたサービスで認証を取得した。ITサービスの提供者となるのは、社内ネットワークを通じてメールサービスや会計・人事関連システム、セキュリティサービスなどを提供している業務管理部システムMgtグループだ。サービスの受け手になるのは、社内でそれらを利用する各部門である。
社内システムの管理部門が提供するITサービスに対して認証取得に踏み切ったのは、なぜなのか―。背景には、2006年6月に改正された金融商品取引法の施行、いわゆる日本版SOX法の施行がある。
改正法の施行で、上場会社に2008年4月1日以降の事業年度から、財務報告にかかわる内部統制の評価と監査が義務づけられることになった。統制整備が必要な内部統制の基本要素の一つには、「ITへの対応」が挙げられている。「上場会社として、『ITへの対応』という部分をどう担保すればいいか、検討する必要に迫られました」と、インフォメーション・ディベロプメントで業務管理部担当の常務執行役員を務める山本 健次氏は振り返る。
担保手段として考えたのは、「独自の『ITへの対応』へ進むか、すでに認証済みのQMSまたはISMS等を活用するか比較しました。当時、PDCAサイクルをコアとしたマネジメントシステムは当社組織へ深く浸透していたので、認証の動きが始まりだしたITSMSも含めて検討しました。その結果、ITサービスの効率的な運用が実現でき、内部統制整備にも応えられ、かつ当社顧客へも効果的にアピールできる点でITSMSの認証取得が最適であると判断しました」(山本氏)。
2008年4月、業務管理部門の年間計画として、ITSMSの認証を年度内に取得する目標を掲げた。
目標達成は2009年3月。2008年9月にITSMSの運用を始めてからちょうど半年で認証取得に至った。
システム運営管理が売上高の6割を占める立場から、山本氏はこうも語る。「私自身、システムの開発や運営管理を約40年にわたって携わってきました。経験からいえば、運営管理のフェーズはとても重要です。それだけに、お客さまのシステムをどのようなレベルで運営管理していくかを判断するうえで、自社がITSMSの認証を取得していることはプラスに働く、と考えました」。
サービス 名称 |
サービス レベル値 |
対象サービス内容 | SLA項目 | 設定値 | 具体項目 |
---|---|---|---|---|---|
メールサービス | 4 | サーバ保守・維持管理 | 年間サーバ稼働率 | 99.91% | サービス停止○時間以内/年間 |
A | メールアカウント管理 | 誤登録防止及び登録遅延防止遵守率 | 99.59% | 登録ミス○件以内 | |
4 | メールセキュリティ制御管理 | 年間サーバ稼働率 | 99.91% | サービス停止○時間以内/年間 | |
B | メール監査ログ管理 | 内部→外部宛メール6カ月保管遵守率 | 99.18% | 年間トラブル○件以内 |
それでは、社内部門向けITSMSは、具体的にどのように運用されているのだろうか?
インフォメーション・ディベロプメントでは、ITサービスの内容やレベルに関して、経営会議において、その内容やレベルを明記した文書を承認することで、合意を交わしている。社内向けのサービスであり契約書を取り交わす性質のものではないことから、これがSLAとして、いわゆる“顧客”との間で取り交わす唯一の文書となる。
ITサービスの内容とは例えば、サービス提供時間やサービス停止手続き、インシデント発生時の対応や日常の監視などを指す。インシデントとしては具体的に、「ヘルプ」「トラブル」「運用変更」「改善要求」などを想定している。
ITサービスのレベルは、4分野・21種類・46項目にわたる各サービスに設定している。「共通サービス」の一つ、「メールサービス」を例に取ると、「サーバー保守・維持管理」という項目に関しては、「年間サーバー稼働率」で示される設定値を99.91%にするなど、46項目にわたる設定値を目標要求一覧として定めた。
業務管理部システムMgtグループでは、これらの合意を踏まえたうえで、ITサービスに対する要求や期待が実現できているか、PDCAのマネジメントサイクルを継続的に実行・運用する中でこれらを確認し、サービス品質の改善を図っている。
SLAの適用範囲と運用イメージ
認証取得から丸1年たって、どのような効果が出ているのか―。
山本氏はまず、「内部統制のあり方に関して、監査法人から疑義は出ていません」と、満足げに語る。日本版SOX法の施行で浮かび上がってきた「『ITへの対応』をどう担保するか」という課題に対しては、認証取得で応えることができた。
社内システムに関するトラブルの減少という効果もみられる。「2008年10月から2009年3月までの半年間、運用ミスにかかわるトラブル件数は軽微なヒヤリハットも含めて4件発生しました。それが、2009年4月から12月までの9ヵ月間で、最も軽微な1件に減少しました。集計期間は3ヵ月ほど長いにもかかわらず、件数は大幅に減っています。認証を取得したプライドもあるのでしょう、記憶に頼ることなく、決められた手順を踏んでシステムを運営管理する習慣が根付いてきました。今後、自社におけるQMSやITSMSの構築や運用の経験を生かして、他の企業や組織にコンサルティングできればと考えています」(山本氏)。
それまでは些細なインシデントは記録に残らないものもあったが、きちんと手順を踏むことでインシデントの発生しやすい傾向を分析できるなど、トラブルの予防や運用改善に反映できるようになっている。
企業活動はいま、社内のITサービスを抜きには成り立たない。ところが、利用できて当たり前という意識が強いあまり、リスク認識を欠いているのではないか。日常業務に支障をもたらすリスクを認識して、そこに対応策を講じるという観点から、ITSMSに対する認証取得は有効といえそうだ。
所在地 | 東京都千代田区二番町 |
---|---|
設立年月日 | 1969年(昭和44年)10月20日 |
資本金 | 5億9,234万円 |
従業員数 | 1,727名(2009年9月30日現在) |
業務内容 | システム運営管理、ソフトウェア開発 |
ISO 9001初回登録 | 2001年12月(受託開発部門) |
2004年12月(システム運営管理部門) | |
ISO 14001初回登録 | 2005年12月(システム運営管理部門) |
ISO 27001初回登録 | 2007年2月(ビジネスプロセスアウトソーシング部門) |
ISO 20000初回登録 | 2009年3月(社内システム運営管理部門) |
ホームページ | http://www.idnet.co.jp/ |