PR

情報システムの企画から開発、保守・運用を幅広くカバーするガイドラインが相次いで発表された。9月末には「日本初」をうたう、企業向けSLA(サービス・レベル・アグリーメント)作成のガイドラインが登場。10月には経済産業省がシステム管理基準を公表した。

 「日本初」と関係者が話すSLAのガイドラインは、電子技術情報産業協会(JEITA)が作成したもの。正確には「民間向けITシステムのSLAガイドライン」。SLAとは、情報システムに関連する製品やサービスの品質を保証する契約や取り決めのことだ。

 ガイドラインを作成した、JEITAソリューションサービス事業委員会SLA/SLM専門委員会の及川和彦委員長によれば、「2年ほど前、システム運用の業務全般を体系化したITILへの関心が高まり始めていた。ITILについて調べていったところ、実際に企業がITILを導入しようとすると、SLAが不可欠なことが分かった。だが、具体的にSLAをどう導入すべきかをまとめたものがないことが分かった。そこで、我々がSLAに特化したガイドラインを作成した」と語る。

 JEITAによれば、従来は総務省や経済産業省が自治体や官公庁向けにまとめたSLAのガイドラインや、インターネット・データセンター(IDC)事業者などの団体iDCイニシアティブが作成したIDC向けのガイドラインしか存在しなかった。

図●JEITAの民間向けITシステムSALガイドラインの対象範囲
 これに対して、JEITAのまとめたガイドラインは広く民間企業全体を対象にする。SLAの適用の仕方について、JEITAでは11業種と16業務を設定([拡大表示])した。

 「ガイドラインの作成には複数のベンダーが参加。個別の契約でSLAを導入している実例を参考にして内容をまとめた。大半の企業がどこかに当てはまるはずだ」(及川委員長)という。

 さらに、このガイドラインには、260を超す個別のITサービスの項目や基本契約書・個別契約書・SLA合意書・SLA状況報告書のひな型が添付してある。このため、ガイドラインに示された手順で進めれば、ユーザーとベンダーとの間でSLAを含めた契約を結ぶことができる体裁になっている。ユーザー企業だけでなく、ベンダーがSLAを含めた契約を締結する際に利用することも可能だ。

 及川委員長は、「ITILを導入しようという企業に有用なのはもちろんだが、SLAの導入に興味のある企業に役立つものになっている。サービス・レベルが想定以下の場合にペナルティを課すことよりも、ベンダーによりよいサービスを提供しようというインセンティブを与えるものにした」と話す。

幅広くカバーするシステム管理基準

 もう一つのガイドラインは、経済産業省が10月に公表した「システム管理基準」である。1985年に初めて公開されたシステム監査基準を改訂するなかで、システム管理基準とシステム監査基準の2本立てになった。

 基準を発表した経産省の商務情報政策局情報セキュリティ政策室によれば、「システム管理基準は、情報システムを持つ企業がどう行動すべきかをまとめたもの。一方の新しいシステム監査基準は、システムの監査人がどのように行動すべきかを示した」という。

表●経済産業省が10月に発表したシステム管理基準の構成
( )内は関連項目数
 そのため、名前はシステム管理基準だが、実態はシステム全般にかかわる広範なガイドラインになっている。その内容も情報戦略から企画・開発・運用・保守・共通業務までを対象とし、280項目を超えるチェックの基準を定める([拡大表示])。さらに付則として、経産省が昨年公表した情報セキュリティ管理基準の活用をうたっている。

 システム管理基準は、個別の項目の細かな実施方法などには触れていない。だが、上流から下流までのすべての業務にわたる視点を網羅的に示しているので、どういったことに留意してシステムを管理すべきかを考える際に参考になる。

 システム管理基準を実際に作成した日本情報処理開発協会(JIPDEC)は、「対象は広範囲だが、あくまでこれは一つの管理基準。それぞれの企業が自社のシステムの在り方に応じて利用の仕方を考えていけば、さらに有効に活用できるのではないか」としている。

 システム管理基準で特徴的なのは、ITの最上流である情報戦略について47項目の基準を新設したこと。全体最適化計画の作成やその運用、情報システム化委員会の設置、情報化投資や情報資産管理の存り方、事業継続計画やコンプライアンスの必要性などについて触れている。

 ユーザー企業の立場を代表して基準改訂の検討委員会に参加した、日本情報システム・ユーザー協会(JUAS)の千枝(ちえだ)和行セキュリティ研究部会委員は、「ベンダーとの契約に関連する部分やユーザー受け入れテストなどの部分の強化に力を入れた。まずは運用に関する部分から導入するのがいいのではないか」と話す。

 JEITAの民間向けITシステムのガイドラインは定価1万円(11月16日までは8000円)で販売中。システム管理基準はシステム監査基準とともに、経産省のWebサイトで公開中だが、導入例や趣旨を解説した有償の説明書を、JIPDECが年内にも発行する予定だ。

中村 建助