レポート

デジタルビジネス時代のITサービスマネジメントシステム

~改定ISO/IEC 20000への期待~


JIPDEC ITSMS専門部会 主査
洛ITサービス・マネジメント株式会社
塩田 貞夫 氏

2025年の崖

洛ITサービス・マネジメント株式会社 塩田様

 平成30年に出された『経済産業省 デジタルトランスフォーメーションに向けた研究会 DXレポート』によると、将来の成長、競争力強化のために、新たなデジタル技術を活用して新たなビジネス・モデルを創出・柔軟に改変するデジタルトランスフォーメーション(DX)の必要性について多くの経営者が理解しているが、レガシーシステムが存在することによるリスク・課題を多くの企業が抱えていることがわかっており、この課題を克服できない場合、DXが実現できないのみでなく、2025年以降最大12兆円/年(現在の約3倍)の経済損失が生じる可能性(2025年の崖)が叫ばれている。
 レガシーシステムの定義は①技術面の老朽化、②システムの肥大化・複雑化、③ブラックボックス化の状態が存在している状況とされるが、ISO/IEC 20000はブラックボックス化の解消に役立てることができる。

ISO/IEC 20000とは

 ISO/IEC 20000は、サービスマネジメントシステム(SMS)を確立し、実施し、維持し、継続的に改善するための要求事項について規定するために作成されたITサービスマネジメントの国際規格である。運用管理のベストプラクティスであるITILを規格化したものがBS 15000であり、これを国際規格化したものがISO/IEC 20000であるため、ISO/IEC 20000はITILと整合し、補完する関係にあるとされている。なお、ISO/IEC 20000を国内規格にしたものがJIS Q 20000である。
 ISO 9001、ISMSの情報セキュリティの規格といった、他のマネジメントシステムの規格と比べると、ISO/IEC 20000は、SMSの要求事項と同時にITサービスへの要求事項も兼ねている点が特殊である。

ISO/IEC 20000-1:2018規格改定の概要

 2005年に第1版、2018年9月に第3版が発行され、現在、JIS原案作成委員会が英語対訳版をもとにJIS制定に向けて活動しており、2020年にはISO/IEC 20000-1:2020が発行される見込みである。
 2018年の改定では内容に大きな変更はないが、MSS(Management System Standard)というISOが定義した章立ての型にはまるよう構造が大幅に変更されている。
 旧版にあったPlan-Do-Check-Actの参照は削除されている。マネジメントシステム規格に関しては多くの改善方法が利用でき、附属書SLにおいては、これが特別に利用されているわけではないためである。

ISO/IEC 20000-1:2018のSMS

 ISO/IEC 20000-1:2018では、SMSの特徴を「SMSの採用は組織のための戦略的決定であり、組織の目的、経営陣、サービスのライフサイクルに関与する他の関係者、及び効果的で柔軟性のあるサービスの必要性に対して影響を受ける。」と述べている。つまり、サービスマネジメントの定義は2011年版とほぼ同様であるが「価値を提供するための一連の能力及びプロセス」がサービスマネジメントであり、これを指揮しコントロールするマネジメントシステムがSMSである。
 SMSは、サービスの計画、設計、移行、提供及び改善を含むサービスライフサイクルの管理を支援するものであり、合意された要求事項を満たし、顧客、利用者及びサービスを提供する組織に対して価値を提供するものである。運用管理の仕組みを導入することによって価値を提供すると覚えておけば良い。
 
 この規格は、意図的に特定の手引きから独立しており、組織は、一般的に受け入れられている枠組みと自身の経験とを組み合わせて用いることができる。中小企業にとってはツールは必ずしも必要ではなく、構成管理をするのにCMDB(Configuration Management Database)が必要かというと第3版ではCMDBという文言が消されている。しかし、ある一定の規模の企業になると維持運用管理をするにはそれなりのツールが必要になるため、サービスマネジメントの適切なツールは、SMSの支援に使用できるということでツールの使用を排除していない。

旧版からの主な変更点

 旧版からの主な変更点は、
  a. (ISO/IEC専門業務用指針第1部の統合版ISO補足指針の附属書SLから)、全てのマネジメントシステム規格で使用される上位構造へと再構成した。これによって、組織の状況、目的達成のための計画、並びにリスク及び機会への取り組みという、新しい共通要求事項を導入した。例えば、文書化した情報、資源、力量及び認識など、従来の要求事項を更新した共通要求事項もある。

  b. サービスのコモディティ化、内部又は外部のサービスインテグレータによる複数の供給者の管理、及び顧客に対するサービスの価値を判断する必要性などのトピックスを含む、サービスマネジメントの成長傾向を考慮した。

  c. 詳細記述の一部を削除し、組織が、何をすべきかに焦点を合わせ、要求事項を満たす手段に自由度を与えた。

  d. 知識及びサービスの計画に関する要求事項の追加のような、新たな特徴を含めた。
という点である。

つまり、MSSに章立てを合わせて再構成されたことにより、マネジメントシステムの共通項が一緒になり、統合が容易になった。さらに、SIAM、Agile、DevOps、IT4IT、VeriSMといった新しいフレームワークやベストプラクティスとの併用がし易くなっている。

用語及び定義

 2018年版では、箇条3の用語及び定義を3.1 マネジメントシステム規格に固有の用語(21個)、3.2 サービスマネジメントに固有の用語(29個)という2つの細分箇条に分割している。 旧版からの用語の主要な変更点は以下のとおりである。
  ● 「マネジメントシステム(3.1.9)」は「方針、目的及びその目的を達成するためのプロセスを確立するための、相互に関連する又は相互に作用する、組織の一連の要素」と書かれており、旧版(2011年版)にはこの定義はなく、新出用語である。

  ● マネジメントシステムの用語に「目的(3.1.13)」、「方針(3.1.17)」を追加、サービスマネジメントの用語に「資産(3.2.1)」、「利用者(3.2.28)」を追加した。

  ● MSSのSLで「組織」という用語が使われているため、2018年版では「サービス提供者」を「組織」という名前に置き換えた。

  ● 旧版では「内部グループ」と「供給者」という分け方をしていたが、内部グループを「内部供給者」、供給者を「外部供給者」に置き換えた。

  ● 情報セキュリティ(3.2.6)の定義をISO/IEC 27000と一致させ、旧版でアクセス性と訳していたAvailabilityを可用性と変え、従来使われていた可用性はサービス可用性という表現に置き換えられた。

  ● 旧版の用語で定義されていた用語、「文書」はSLテキストの用語の文書化した情報(3.1.6)に置き換えられた。

マネジメント規格のHLS(上位構造)

 箇条の構造(すなわち、箇条の順序)、3.1の用語及び多くの要求事項は、マネジメントシステム規格の共通上位構造(HLS)として知られるISO/IEC専門業務用指針第1部の統合版ISO補足指針の附属書SLから採用されている。HLSを採用することによって、組織は、複数のマネジメントシステム規格の整合を図る、又は統合することができる。例えば、SMSはISO 9001に基づく品質マネジメントシステム、又はISO/IEC 27001に基づく情報セキュリティマネジメントシステムと統合することができる。
 第3版では、箇条6「計画」に「6.3 サービスマネジメントシステムの計画」が、7「支援」に7.6 「知識」が追加された。

2011年版から2018年版への箇条対応

 箇条の構造は、組織の方針、目的及びプロセスを文書化するためのモデルというより、むしろ要求事項の一貫した表現を提供することを意図している。各組織は、要求事項をプロセスにどのように結び付けるかを選択できる。

 箇条の名称が同じでも、要求事項が全く同じという訳ではない。2011年版の段落単位で複数の箇条へマッピングされていることに注意が必要である。例えば、旧版6.1「サービスレベル管理」は8.2.4「サービスカタログ管理」、8.3.3「サービスレベル管理」、8.3.4「供給者管理」に分けられる。
 
 旧版6.2「サービスの報告」は2018年版では箇条8~9に分解されており、旧版6.2の項目f)は「顧客満足度測定やサービスに対する苦情の報告」を要求しているが、2018年版の事業関係管理(8.3.2)では「サービスに対する苦情を記録し、終了まで管理し、報告しなければならない」としている。

2018年版の箇条8の概要

 旧版の箇条5~9で要求されている14のプロセスのうちの多くが、2018年版の箇条8~9にマッピングされる。

 MSS附属書SL共通テキスト箇条6「計画」をどうやるか書いているのが「8.1 運用の計画及び管理」である。
「8.2 サービスのポートフォリオ」には新規に「8.2.1 サービスの提供」、「8.2.2 サービスの計画」が加わり、旧版の「4.2 他の関係者が運用するプロセスのガバナンス」が基になっている「8.2.3 サービスのライフサイクルの関与する関係の監理」では、要求事項を更新してサービス及びサービスコンポーネント並びにプロセスを含めた。SMSの適用範囲内の全てのサービス、サービスコンポーネント若しくはプロセスの提供又は運用に他の関係者を利用する場合、組織は、この規格に規定する要求事項への適合を実証できないことを明確にした。

新規の箇条

 2018年版に新規の箇条として盛り込まれたものは、「4.1 組織及びその状況の理解」、「6.2.2 目的を達成するための計画」、「7.6 知識」、「8.2.2 サービスの計画」である。6.2.2には、目的をどのように達成するかが5W1Hで非常に明確に書かれている。

まとめ

 経済産業省が公表している『サイバー・フィジカル・セキュリティ対策フレームワーク』でも、「組織は、取引先(サービスプロバイダー)の選定に当たり、JIS Q 20000に基づくITSMS認証等を取得するか、あるいは自己適合確認により認証取得相当の対策の実装を確認しており、提供するITサービスのマネジメントを効率的、効果的に運営管理するサービスプロバイダーを選定することが望ましい。」と書かれており、ITSMSの有効性が認められている。また、平成27年度のITSMS認証取得組織に対するアンケートによると、ITSMSの認証取得によって、顧客満足度の向上、競争力強化といった外部的な効果を実感している企業も多い。IT戦略、経営戦略の立案にITSMSを活用して頂きたい。