いろいろある基準をどう考えて、どう使うか?システム部門Q&A(28)(1/3 ページ)

IT関連の基準には、プライバシーマーク制度やセキュリティ監査基準、COBIT、ITILなど、多くの基準が存在し、それらに準拠することが不可欠だといわれている。しかし、これらに準拠するのは大変だ。果たして、これらの基準に投資し、準拠するだけの価値があるのだろうか。

» 2005年12月13日 12時00分 公開
[木暮 仁,@IT]

質問

COBITなどIT関連の基準がたくさんありますが、本当に役立つのでしょうか?

COBITやPMBOKなど、IT関連には多くの基準があります。これらを導入することが必要だといわれていますが、理解するだけでもかなりの学習が必要なようですし、実際に導入するには多大な作業が掛かりそうです。実際のところ、それほどの手間を掛けるほど、役に立つものなのでしょうか?



質問の背景とおわび

 個人情報保護法のような法律は別として、プライバシーマーク制度や情報セキュリティ監査基準、ISMS認定基準、COBITCMM/CMMIEAITILITSSPMBOK……などなど、多くの基準が矢継ぎ早に紹介され、それに準拠することが健全なIT運営に不可欠だといわれています。

 これらの基準は、現在、企業のIT活用で重要な分野を対象にしたものであり、基準の有無にかかわらず、企業が取り組むべき事項です。しかも、これらの基準は、専門団体が多くの企業を研究して分析したベストプラクティスを基盤にしたもので、網羅性があり体系化されています。多くの先進的企業が導入を進めているのですから、それを活用する効果が大きいことは間違いありません。一企業内で素人が白紙から考えるよりも、はるかに効果的です。

 ところが、個人でちょっと勉強してみようとすると、案外難しいのですね。基準がインターネットで公開されているものもありますが、中には基準そのものが入手困難で、研修に参加しないと得られないものもあります。

 このような基準では、市販図書はあっても基準そのものが記載されていないので、隔靴掻痒(かっかそうよう)な感じがしますし、かなり高価だったりします。また、資格を伴うものでは、資格取得やその維持にかなりの費用が掛かるものもあります(資格取得試験対策は別としても、せめて基準そのものはパブリックソースとして無料公開してもらいたいものですね)。それに、基準書を読んだだけでは、どのように導入して活用すればよいのか分からず、解説書を読んだり講習会に参加する必要があります。

 さらに、導入を提案するには大きな壁があります。基準を導入して実施するには、膨大な調査や書類の整理、組織や業務の改革を伴いそうですし、コンサルタントの助力が必要になることもあります。しかも、これらの基準の大部分は、経営者をリーダーとする各種組織を作り、全社的かつ継続的な改善運動として進めるべきだとしています。これから出てくる基準も含めて忠実に導入しようとしたら、経営者は何人いても足りないし、委員会だらけになってしまいます。「これらを正当化するだけの効果を確信して提案できるか?」となるとちゅうちょしてしまいます。

 このように、効果はありそうだし自社にも必要だとは思いつつも、実際に導入を提案するまでの勇気がないというのが、ご質問の趣旨でしょう。筆者は効果については確信しているのですが、申し訳ありませんが、提案の壁を低くするノウハウを持っていません。

質問を変更して……

 ところで、これらの基準は対象は異なるにしても、その推進方法はかなり似通っています。

  • その分野の重要性について共通の認識を持つこと
  • 経営者をリーダーとする運営組織や中央の推進組織と各部門の推進・組織、モニタリングする組織などの組織体制を確立すること
  • 経営者がポリシーを作り、それを実現するための各種の文書を整備すること
  • PDCAサイクルにより成熟度を向上させること
  • それには、KGIやKPIなどの数値的測定尺度が重要であること

 すなわちマネジメントの方法論に立脚しています。理想的には、これらの基準の導入・実施に関してもこの方法論を採用できればよいのですが、それ自体を提案することに壁があるということで、堂々巡りになってしまいます。

 先に「効果については確信している」といいましたが、ともすると、目的と手段を混同してしまい、本来の効果が生み出せない危険があります。

 これらの基準は、厳密ではありませんが、次の3つに分類されます。

方法論
EAやITコーディネータガイドライン(特にβ版)のように、各プロセスを体系化したフレームワークを示して、そこで行うべき事項を示したもの
チェックリスト
COBITやISMSのように、ベストプラクティスをベースにあるべき姿を示して、現在、どれがどの程度実現されているかをチェックして、自社の成熟度を測定するとともに、将来の実現目標を考えさせようとするもの。監査や認定に関する基準はこれに当たる
知識体系
PMBOKやITSSのように、従事者が持つべき知識を網羅的に体系化したもの

 ご質問を変更させていただき、これらの基準を導入するのに当たって、本来の効果が生み出せない危険について、この分類ごとに考えることにします。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ