プロセスはチャンスが訪れるたびに改善する/パート2：プロセスと基準（後編）：The Rational Edge（2/3 ページ）

[Scott W. Ambler, Per Kroll，IBM]

コンプライアンスの組み込み

　コンプライアンスの組み込みは、規制および社内ポリシーや指針への準拠を可能な限り自動化すべきで、無理な場合はそれを文化もしくは日常業務の一部にすべきだとするコンセプトだ。準拠が簡単であれば、IT専門家が実際に準拠する可能性も高い。しかし、特にその作業が現場から見て厄介だと感じられるなど、準拠するために膨大な作業が必要になれば、コンプライアンスへの取り組みが開発チームによって覆される可能性は高い。

　コンプライアンスという「骨の折れる作業」の大半は、ツールによる自動化が可能だ。例えば、Sarbanes-Oxley（SOX）法では財務関連情報の継続保有方法、アクセス方法、そして修正方法について厳しい指針を定義している。SOXが要求する追跡作業の大半は、「Tivoli Access Manager」や「Tivoli Storage Manager」などのIBM (R) Tivoli (R)ベースの製品で自動化できる。同様に、FDA（食品医薬品局）の指針やCapability Maturity Model Integrated（CMMI）の指針では、要件からテストケース、そして設計からコードへのトレーサビリティの維持が要求されている。「IBM Rational RequisitePro (R)」「IBM Rational Software Architect」、そして「IBM Rational ClearQuest (R)」などのツールの組み合わせは、要件定義、デザインモデリング、そして欠陥追跡機能の統合を通じてトレーサビリティへの取り組みの大半を自動化する。

　ことコンプライアンスに関しては常に人間の介入が必要になる。その基盤にある原則とともに重要性を理解すれば、コンプライアンスは文化の一部となる。IT部門の全員がSOXの込み入った内容を理解する必要はないが、組織では、財務関連の数字がどのように出てきたかを示せなくてはならず、事実化した後に元データを変えてはならない。同様に、誰もがユーザビリティの専門家になる必要もないが、一貫性が重要で、組織のユーザーインターフェイス指針へのコンプライアンスが必要なことは理解する必要がある。啓蒙（けいもう）を通じて企業文化の中にコンプライアンスを組み込めば、社員が日常業務の中に自分の自由意思でコンプライアンスを組み込むようになり、コンプライアンス審査のような活動支援がはるかに実施しやすくなる。

・メリット

　コンプライアンスの組み込みには以下の4つのメリットがある。

　コンプライアンスのメリット。コンプライアンスには、ビジネスの継続力や、ISO-900XやCMMIなどへの準拠というマーケティング上の要求をはじめ、明確にメリットがある。さらに、大半のコンプライアンス活動は業務効率の改善につながる。

　コスト削減。コンプライアンスをツールやプロセスに組み込むことにより、コンプライアンスを達成するためのオーバーヘッドが低減される。面倒な外部資料や詳細な審査といった手作業によるコンプライアンスへのアプローチは、人が複雑なコンプライアンス活動をダメにするケースが多いため、かなりのコストが掛かり、非常に非効率的な方法であることが分かっている。

　プロジェクトチームによる先送りの削減。IT専門家の大半は、コンプライアンスのニーズから生じるものはもちろん、お役所仕事全般を好まない。組み込まれたコンプライアンスは可能な限り適切な行動が取りやすくなる。

　より高いコンプライアンス。すべてとはいわずも、コンプライアンスのニーズの大半が自動化されれば、プロジェクトチームが準拠し、それを証明するために必要な資料を作成する可能性も大きく高まる。例えば、要件トレーサビリティを保証するために、もしバージョンコントロールシステムで成果物のチェック担当者が作業中の要件や欠陥を指摘する必要があるなら、要件トレーサビリティが大幅に改善される。チェックのたびに10秒作業をするだけで、つらく、障害が発生しやすい数週間分もの作業をプロジェクトの最後で回避できる。対照的に、コンプライアンスを手作業で行う場合は、一般的には作業が土壇場まで先延ばしされ、いいかげんになってしまう。

・トレードオフ

　コンプライアンスの組み込みには以下のような複数のトレードオフがある。

　ツールの投資。コンプライアンス活動をできる限り自動化するためには新ツールへの投資が必要かもしれない。また、既存のツールでこれまで使っていなかった機能を使い始めるだけでもよいかもしれない。最低限、何らかの調査、トレーニング、およびツールのコンフィギュレーションは必要になってくる。

　文化的投資。組織内におけるコンプライアンス文化の構築に対する投資の必要もある。これには、トレーニングや教育に加え、参考にできる実際的な指針作成への投資も含まれる。

　プロセスの合理化。現行のコンプライアンスプロセスやコンプライアンスのニーズを検討し、既存のソフトウェア開発プロセスに組み入れるコンプライアンス関連作業を最小限に抑えながらコンプライアンスを実現する方法を決める必要がある。それには知識と投資が必要となる。

・アンチパターン

　法規制への準拠には以下のようなアンチパターンがある。

　膨大な資料。コンプライアンスの必要性が日常業務の必要性より優先され、不要な事務処理に組織が忙殺されていく。コンプライアンスに必要な作業を最小限に抑え、さらに、できればコンプライアンスを間接費用ではなくビジネスの成功要因にすることを目標にすべきだ。

　恐怖主導のコンプライアンス。組織は、コンプライアンスソリューションに投資をし過ぎる場合が多い。組織の目的は必要なコンプライアンスのレベルで異なるとの認識の下、大半の規制には余裕が設けられている。よく犯す間違いは、最前線のスタッフをコンプライアンス活動に組み込まず、新規定への実際的アプローチを特定する機会を低下させることだ。

・推奨デフォルト

定義する。これを達成するには、準拠の必要な規制を解釈するのに適した人材を割り当て、開発チームが従う指針を作成する。この取り組みに官僚を割り当てれば官僚的なソリューションが出来上がり、「指揮統制」型の人材を割り当てれば「指揮統制」型のソリューションが出来上がり、実際的で知識の豊富な人材を割り当てれば実際的で機能するソリューションが出来上がる。