業務に浸透した標準化

 「国際標準」という言葉はあまり目立たないもので、我々の通常の仕事や生活にほとんど関係がないことだと考える人が多いのではないだろうか。ところが、これをカタカナ言葉にして「グローバルスタンダード」と言い換えれば、よく新聞に登場する言葉で自分の生活や仕事にある程度の影響を持つものと思う人の割合が多くなるであろう。

 ソフトウェアの世界でも同様で、「国際標準規格」の言葉では耳慣れないが、実は我々情報サービスの提供を業務としている企業に関連するあらゆる側面で国際標準が影響を持っている。

SI企業で必ず利用されるリソースと標準化

 情報サービス産業である我々の業務は、お客様である様々な企業、官公庁、その他の組織のアプリケーション・ソフトウェア、あるいは関連基盤システム、ネットワークなどを構築する、あるいは運用・管理することである。この業務が取り扱う対象は様々なソフトウェアやネットワークであり、多様な基盤や部品(OS、ミドルソフトウェア、開発言語、ネットワーク機器、ネットワークプロトコル...)から構成されている。また一つのソフトウェアあるいはシステムを構築する、運用する業務は多くの場合、プロジェクト体制を組んで行われる。そこでの成果物は定義された品質を保証する製品であり、定義された基準を満たした運用サービスである。

 実際に稼働するシステムは、単体としても多様な構成要素が複雑に組み合わされたものである。ひとつのシステムのみで機能する場合もあるが、現在では多くのシステム群がネットワークを通じて地球規模で結合することで、はじめて企業活動上の期待された役割を果たすことができる。

 こうした構成要素間の組合せ、システム間の結合性を保証するものが、実は「国際標準」である。国際標準にはISOやIECが策定したデジュール標準と、それ以外の民間標準化機関や世界市場で多くのシェアを持った企業やコンソーシアムが定義するデファクト標準があるが、これら双方を拠りどころとして、様々な製品の結合性や互換性が保証されている。また、製品の品質やプロジェクトの成果、サービスレベルなど、ともすれば考え方や概念、用語が国、企業、業界などで差異がある分野である。この分野でも国際標準が概念、用語、評価方法についての共通の物差しを提供している。

システム基盤での標準化

 まず、システムで取り扱うデータ、あるいはプログラムなどは文字符号で記述される。世界各国の言語をビットパターンに対応させるルールが各国や業界で異なっていれば、コミュニケーションの根底が崩れる。JTC1のSC2専門委員会(符号化文字集合)が規定したISO/IEC646やISO/IEC10646などで、文字符号の国際標準が定義され、システムの利用者は意識することなく、これを用い情報の伝達を行っている。

 すべてのソフトウェアは何らかの言語によって記述されるが、主要な言語に関しては、SC22専門委員会(プログラム言語他)で規格化されている。高級言語としては最も古いCobol、Fortran、をはじめ、C、C++、C#などの一般的な手続き型言語、Lisp、Prologなどの論理型言語の仕様も規定されている。しかし、Visual Basic、Java、Rubyなどの最近のデファクト言語は、デジュールであるJTC1の範囲にはまだ含まれていない。

 開発言語とともに、ほとんどのシステムで用いるデータベースに関しては、SC32専門委員会(データ管理/交換)でSQL言語が規格化され、データ交換や管理のデファクト標準になったXMLに対応する拡張などもWGで検討されている。

 ネットワーク関連の標準化は国連の下部機構である国際電気通信連合(ITU)の中の電気通信標準化部門(ITU-T)が、伝送システムやディジタル・ネットワークに関するGシリーズ勧告、マルチメディアシステムなどに関するHシリーズ勧告などの詳細仕様を定義している。ISOでも情報交換の方式について、SC6専門委員会(通信とシステム間の情報交換)が各種のプロトコルの定義を行っている。この委員会ではネットワークレイヤーの各層の標準化が規定され、現在では超高速の無線LAN、Power Line Communicationなど、最新通信技術に関連する国際標準化を進めている。

プロジェクトマネジメントの標準化

 プロジェクトマネジメントの手法に関する規格は、現在のところデジュールの国際規格として発効しているものはプロジェクトマネジメントの品質にかかわるISO10006のみである。デファクトとして広く普及しているPMBOK(ProjectManagement Body of knowledge)、それをもとにしたアメリカの国内規格、BS6079というイギリスの国内規格などが普及している。わが業界でもPMBOKをベースとしたプロジェクトマネジメント手法が多く取り入れられている。

 ソフトウェアの分野ではSC7専門委員会のWGで、プロジェクトマネジメント計画を中心としたISO/IEC16326の策定が進んでいる。また、ソフトウェア業界だけではなく、建設業界、プラントエンジニアリング業界を統合したプロジェクトマネジメントの規格として、JTC1とは別にISO PC236委員会で、PMBOK、BS6079、ドイツのDIN規格など、各国のプロジェクトマネジメント規格の共通コンセプトをまとめたISO21500の規格策定が進んでいる。

品質保証の標準化

 品質保証に関する最も有名な規格は、品質マネジメントシステム一般に関するISO 9001である。この規格は製造業の製品に関する品質管理が中心であったが、ソフトウェアやシステムを構築するマネジメントシステムの品質などにも適用され、わが国の多くの情報サービス企業でも適用を行っている。この規格は汎用的なものであり、JTC1以外の委員会で策定されている。

 JTC1では、SC7専門委員会のWG6で、ソフトウェア製品の品質特性、品質要求と評価などについて、ISO/IEC9126シリーズで規格化が行われている。このWGは継続的にわが国の主導のもとに規格化が行われたものである。現在は、ソフトウェア品質評価の次世代規格群であるISO/IEC25000シリーズの規格化が開始されている。

サービスその他の標準化

 情報サービスのサービスレベルとして、近年非常に重要視される課題はセキュリティーに関するものである。セキュリティーに関する国際規格は、JTC1のSC27専門委員会(セキュリティー技術)で取り扱われている。従来ISMSと呼ばれていた情報セキュリティーマネジメントシステムは、この委員会のWG1でISO/IEC27000シリーズとして規格化され、現在も関連ガイドラインなどの整備が進行中である。

 また情報技術に関連した製品及びシステムが、情報技術セキュリティの観点から、適切に設計され、その設計が正しく実装されていることを評価するための国際標準規格ISO/IEC15408シリーズ(Common Criteria)が、WG3のセキュリティー技術小委員会で策定されている。

 セキュリティー以外にも情報サービスに関連しては、英国商務省の策定したITIL(Information Technology Infrastructure Library)が、イギリスのBS15000(IT Service Management)として英国標準に規格化された。これをもとにいくつかの改善が行われたISO/IEC20000シリーズが、SC7専門委員会のWG25でISO/IEC規格として策定され、現在も関連ガイドラインの策定が進んでいる。

 こうした情報サービス関連の規格は、ISO9001と同様に認証制度を持っており、これら規格に準拠した製品・サービスであることを顧客に代わって第三者機関が保証する仕組みが出来上がっている。これらの製品・サービスを提供する企業にとっては、ビジネス上も大きな影響を与える存在になっている。

国際規格と認証制度

 ISOやIECが策定する国際標準規格は、国際間の製品・サービスの輸出入に大きく関連している。ある国が他国の製品を輸入する場合、他国の製品の技術水準や品質をどのように評価するが問題となる。国際的に共通な標準に基づいた製品やサービスであれば、輸入する側は安心して取引ができる。WTO(世界貿易機構)の主導で、世界の主要国が調印している「貿易の技術的障害に関する協定(TBT協定)」では、「国際基準の尊重」と「国際的な適合性評価の仕組みの実施」を強く奨励している。

 適合性評価の仕組みもISOとIECで規格化され、ISO/IEC17000シリーズに規定されている。ここで規定された適合性評価は「製品、プロセス、システム、要員又は機関に関する規定要求事項が満たされていることを実証する活動」をいう。規定要求事項とは、様々な国際標準として規定されたものである。製品を製造する場合の品質マネジメントシステムに関する要求事項はISO9001に、環境に関連する要求事項はISO14001に、情報セキュリティーマネジメントシステムに関しては、ISO/IEC27001に規定された要求事項というようになっている。

 適合性評価には、試験、検査及び認証の方法や、適合性評価サービスを行う機関の認定が含まれる。適合性評価は、製品・サービスの提供者や消費者ではない第三者機関によって行われることが多い(第三者適合性評価活動)。国によってこの適合性評価機関の能力の評価方法や基準がバラバラであると、他国の評価自体が信用できなくなる。ISOとIECでは、直接製品・サービスの生産者を評価する適合性評価機関と同時に、適合性評価機関の評価を行う認定機関の双方に関して、要求事項や評価の手順を規定した規格を定めている。

 適合性評価の国際規格はヨーロッパの各国が主導して策定され、これらの国々に輸出するためには、認証を受けることが必要条件に近くなったため、わが国でもISO9001、ISO14001などの認証を取得する企業が非常に増えている。ISO9001の取得企業は51,000社を超え(2009年10月現在以下同様)、ISO14001は29,000社程度である。情報サービス産業が含まれる情報技術の分類ではISO9001の取得企業が1521社、ISO14001の取得企業が488社となっている。