情報システムの運用・管理体制全般に関する国際規格。認証取得には、システムの変更管理や予算管理などで幅広い取り組みが求められる。

　工場Aの情報システム担当者Bさんは、その道20年の大ベテラン。工場Aで使っている生産管理システムはBさんが独力で構築したものです。システムの全体像はBさんの頭の中にあり、ほかの人には手が出せません。「新しい機能がほしい」と口頭で頼めば、Bさんはすぐにプログラムを変更して機能を追加します。「システムが故障した」と言えば、Bさんは経験と勘で問題の所在を突き止めて、すぐに直してくれます。

　以前なら、このような工場でも特に問題はなく、むしろ素早く問題を解決できるメリットが大きかったかもしれません。しかし、情報システムが複雑になり、適用業務が多岐に及ぶ昨今では、リスク要因になります。

　Bさんがプログラム変更でミスを犯せば、業務は大きく混乱します。「日本版SOX法」が求める内部統制の観点からも、Bさんが在庫を過少に計算する不正プログラムを仕込めば、この企業の財務報告に影響が及びます。

　問題を避けるには、相応のシステム運用・管理体制が必要です。「ISO20000」は、こうした体制に関する規格の1つです。

システム運用を確実にし内部統制強化

　ISO20000は昨年12月、英国規格BS15000が国際規格化される形で制定されました。英国の政府機関が先進企業のシステム管理の取り組みをガイドラインとしてまとめた「ITIL（ITインフラストラクチャー・ライブラリー）」を基に拡張したものです。

　ISO20000では、情報システムを用いたサービスの運用・管理方法を「サービスレベル管理」「変更管理」「予算・会計管理」など13のプロセスで定義。例えば、情報システムに変更を加える時には申請書を出して承認手続きを踏む、障害が発生したら内容や対応などを記録する、といった取り組みを求めています。さらにこうした狭義のシステム運用だけではなく、顧客とのサービスレベルの合意や、システムにかかわる予算管理など、情報システム部門外との関係も含めた幅広い内容を規定しています。

　冒頭の工場AでISO20000に沿った取り組みをすれば、Bさんに依存する状況を解消し、内部統制の強化にもつながることでしょう。

ネット証券のシステムで取得

　ネット専業証券大手のカブドットコム証券は、今年8月にオンライン取引サービス提供体制を対象にISO20000の認証を取得しました。9月から夜間取引市場の新サービスを開始するに当たり、顧客や株主からの信頼を高める狙いがあります。与信管理サービスのリスクモンスターも今年3月に取得しました。

（清嶋　直樹＝日経情報ストラテジー）

出典：日経情報ストラテジー 2006年11月号29ページより