ITSMS事例紹介

ISO/IEC 20000-1:2018によるITガバナンスの強化と実効性の向上


~ビジネスに貢献するISO/IEC 20000の適用実践事例~

SOMPOシステムズ株式会社
ITサービス本部 シニアアドバイザー 岸 正之氏

 本講演では、ISO/IEC 20000適用実践事例のポイントをご紹介します。ITサービスマネジメント規格であるISO/IEC 20000-1(要求事項)は大変有用性が高い規格ですが、国内認証取得事業者数は200件前後とまだ少ないため、当社の取組み実践事例をご紹介し、認証取得の一助となればと思います。

ISO/IEC 20000認証取得の背景と必要性

ITガバナンス&ITマネジメント強化に向けて

 当社は損害保険ジャパン社のIT戦略機能会社として、顧客の安心・安全・健康に資する最高品質のサービスを提供すること、そして損害保険業として、不慮の事故や自然災害時に絶対に止められないサービスの提供を使命としています。
 損害保険会社も2000年当初から再編の波が起きており、当社も企業合併とそれに伴うグルーバル戦略を契機に、COBITのフレームワークを活用したITガバナンス、ITマネジメントの強化が経営決定され、最高品質のITサービス提供を継続させる具体的な手段としてISO/IEC 20000導入を決定しました。

ITガバナンスへの貢献

 COBITは、ITガバナンスを確立するためのコントロールフレームワークであり、グループ全体の事業効果の実現、リスクの最適化、資源の最適化など、価値の創出を図ることを支援するものです。COBITでは、5つの領域、37の管理プロセスがあり、これらを満足させることでIT統制ができている企業ということになります。
 ISO/IEC 20000はCOBITとの親和性が高く、COBITのプロセスとISO/IEC 20000の活動は整合がとられています。このため、COBITに対応する20000の箇条8「SMSの運用」のプロセスを活用し、そのアウトプットから得られた成果や効果によって、ITガバナンスの強化、自社ビジネスへの貢献につながる具体的な成果物を定期的に挙げています。

ISO/IEC 20000適用の成果

ISO/IEC 20000適用の成果として、以下の7点があります(図1参照)。

図1.ISO/IEC 20000導入の価値

 以下、各項目について説明します。

・ITサービスの見える化
 ISO/IEC 20000の要求事項(組織の状況、リーダーシップ及びコミットメント、計画、SMSの支援、パフォーマンス評価、改善)の箇条はISO/IEC 27001、ISO 9001、ISO 14001など、他の規格の箇条と共通していることから、何種類かのISO認証を持つ企業にとって、このように共通の箇条があることは認証取得・活動においてメリットになります。
 ISO/IEC 20000の「SMSの運用」ではITサービスマネジメント活動のすべてを規定していますが、これはITIL®※のプロセスが活用されています。ITILを活動に組み込むことで最善・最適なITサービスマネジメント活動が実施できます。
 当社はJIPDEC発行のユーザーズガイドをベースに短期間でISO/IEC 20000に沿ったITサービスマネジメントを構築することができました。組織のビジョン・方針作り、顧客の期待やニーズ、業務要件の把握、組織の役割・権限付与、ステークホルダーの特定、コミュニケーション機会の定義、リスクアセスメント、リスク軽減、指標/SLA等の定義づけにより、実際の運用につなげ、人の育成も合わせて行ってきました。
 活動に対する評価の実施も重要です。内部監査での是正処置、経営層への報告により、ITサービスマネジメントがビジネスに貢献できているかの効果を定義し、ISO/IEC 20000の活動を進めています。
 ISO/IEC 20000導入には会社組織の運営上、元々ある取組みが含まれており、これらをまとめることでISO/IEC 20000の要求事項に応えることができるのです。

 ITILv3をベースとして、戦略、設計、運用とその改善を日常活動にちりばめて活動することが、安心・安全・健康に資する最高品質のサービス提供につながり、ビジネス・事業活動に貢献することで当社の存在価値アップにつながるのです。

・コミュニケーション機会の強化
 顧客、サービス利用者、経営層、従業員、サプライヤ、業界関連団体、規制当局等のステークホルダーごとに要求事項(具体的な期待)を明確にし、特性に応じたコミュニケーション機会を設定しています。さらにサービスレベル目標を設定し、定期的に報告するとともに、苦情調査や満足度調査も定期的に実施しています。

・プロアクティブな目標管理
 当社はサービス提供部門として、利用者に対しサービスの種類、対象範囲などをわかりやすく一覧化したサービスカタログを提供しています。手順をナレッジデータベース(DB)化し、全オペレーション手順を搭載、検索可能なカタログを定義しております。そして、サービス提供をするうえで、保証の段階に入ります。
 この段階では、サービスカタログから提供に至るまでの目標を設定し、事業要件にスキル、体制、資機材、プロセスの成熟度を勘案し、マネジメント上のリスクをアセスメントし、品質評価を得たうえで指標化しています。
 サービスを指標化したサービスレベル目標(SLO)を作成し、このSLOに対する具体的な成果(サービス)レポートを提出します。サービスの指標化によって、提供側として何を守れば存在意義を供給できるのか、顧客、利用者との最適なコミュニケーション機会を作ることや、説明責任を果たすことができるのです。
 一方、このようなSLOにより、プロアクティブな目標管理の中で最適なコスト管理も可能となることから、ISO/IEC 20000はコスト管理面でも有益であることがわかりました。

・人材育成と成長の機会(力量への対応)
 当社は独立行政法人 情報処理推進機構(IPA)のITスキルスタンダード(ITSS)を参考にしつつ、独自のスキルフレームワークを実装しています。人材像定義、スキルセット、キャリアパスをベースに、PJT(プロジェクト)管理、企画フェーズなどのスキル項目をチェックし、全職員が自らを高める育成に取り組んでいます。

・サービス品質に関する活動
 ISO/IEC 20000は管理プロセスが多いため、ビジネスの側面、サービスの側面、それぞれに最適なストーリーを分けて考えるとよいでしょう。そしてISO活動で最も重要なプロアクティブな対応として、問題の発見(潜在リスクを顕在化する前に予防処置をとること)が重要です。
 成果としては、ビジネスの貢献として、迅速な保険金支払いやスムーズな契約、公共性の高い保険ビジネスに貢献できているかを、COBITおよびビジネスの観点で見ていきます。ITサービスマネジメントでビジネスの価値が得られたか、あるいはセキュリティの観点では、情報を漏らさないことがゴールではなく、各ステークホルダーから信頼を得られているか、が重要なポイントとなります。

ISO/IEC 20000による風土改革

 ISO/IEC 20000の活動で心がけていることは、全員参加で成果が共有できる、人として成長できることです。ISO/IEC 20000の活動は特別なことではなく、さまざまな環境変化に向き合うことが、組織・人の成長に繋がります。これが風土改革にもメリットをもたらしており、自らが自らの意思で変化を捉え、最善・最適な活動へ導くことが、自社の存在価値につながるとともに、業務遂行への自信と誇り、有識者との出会いなど、好循環サイクルの確立につながります。サービスマネジメントがビジネスの未来を変えていくものと考えております。

※ITIL® is a Registered Trade Mark of AXELOS Limited.

SOMPOシステムズ株式会社
ITサービス本部 シニアアドバイザー 岸 正之氏


SOMPOホールディングス・損害保険ジャパン社のIT戦略会社であるSOMPOシステムズ社のITサービス本部に在職し、主に損害保険ジャパン社のITガバナンス、ITサービスマネジメントシステムにおけるサービス管理責任者として企画・統制、さらに部門の風土改革・人材育成の推進役として各種施策の企画・立案・推進を担当。現職のITサービスマネジメント/風土改革・人材育成のほか、経営企画・人事部門を歴任するなど、幅広い経歴を持つ。