NEWS TOPICS

会員向け情報はこちら

第4回 ISO/IEC 20000-2 改訂のポイント(後半)

IT サービスマネジメントシステム規格

第4回
ISO/IEC 20000-2 改訂のポイント(後半)

5.要求事項と手引の表現

 JIS Q 20000-1:2020は、サービスマネジメントシステム(SMS)の要求事項を規定した規格であり、現在の第3版にいたるまで、一貫して要求事項の各箇条/細分箇条において対応国際規格の‘shall’に対応する表現形式を‘…(し)なければならない’としている。
 これは、JIS Z 8301の「7 記述事項の表現形式」では、指示又は要求の意味を表す表現形式(国際規格での対応英語として“shall”が用いられている場合)として、文の末尾を“…(し)なければならない”、“…する”、“…とする”、又は“…による”のいずれかとする、と規定されていることに基づくものである。
 JIS Q 20000-2:2023については、前版(第2版)であるJIS Q 20000-2:2013においては、手引を表現する方法として、各箇条/細分箇条における文章に‘should’が利用されていた。“should”は、“…することが望ましい”の訳があてられており、推奨事項を示している形となっていた。
 一方で、今回、制定された第3版(JIS Q 20000-2:2023)において、規格内の手引(guidance)文章で‘should’は多用されていない。対応国際規格(ISO/IEC 20000-2:2019)では、‘should’以外にも、‘can’‘need’‘may’といった動詞(言語)が多く使われており、訳案作成にあたっては、日本語として日常使用されている訳語を使用するなどの留意が図られている。

6.適用範囲と適用

 この規格では、適用範囲に関して次のように述べている。

 この規格は,JIS Q 20000-1 に基づくサービスマネジメントシステム(SMS)の適用についての手引を示す。この規格は,組織が,JIS Q 20000(ISO/IEC 20000)規格群の他の部及び他の関連規格を参考にすることを含めて,JIS Q 20000-1 を解釈し,それを適用可能であるようにするための例及び推奨事項を示す。

出典:JIS Q 20000-2:2023

注:太字は筆者による。

 JIS Q 20000-1:2020の箇条4から箇条10で、規格の要求事項としている文章を、解釈し、組織が適用可能にするための例及び推奨事項を、手引として提供していることを示している。
 適用に関しては、次のような説明がある。

 この規格は,汎用的であり,組織の形態若しくは規模又は提供するサービスの性質を問わず,全ての組織に SMS を適用可能であることを意図している。これは“組織の形態若しくは規模又は提供するサービスの性質を問わず”使用可能であるが,JIS Q 20000-1 はIT にその起源をもつ。これは,技術及びデジタル情報を用いるサービスのサービスマネジメントを意図している。この規格において示す例は,JIS Q 20000-1 の様々な使い方を説明する。

出典:JIS Q 20000-2:2023

 JIS Q 20000-1:2020は認証の基準として利用することができる。第三者監査による認証名はITSMSである。JIS Q 20000-1:2020の箇条4から箇条10までの要求事項には、「IT」の文言は出てこないが、「JIS Q 20000-1 はIT にその起源をもつ。」ことに鑑みても、名称がSMS認証でなく、ITSMS認証となることに、ご理解いただけるだろう。

7.この規格の箇条/細分箇条の構造

 JIS Q 20000-2:2023の箇条/細分箇条の構造は、前版(第2版)までの形式と異なっている。前版では、20000-1の箇条の各要求事項の文章に付随し、対応する形で、手引の文章が構成されていた。
 この規格では、各箇条又は細分箇条の構造が変更されていて、ISO/IEC 27003と同様の構造を取り入れている。具体的には、箇条4 以降では,各箇条又は細分箇条のすべてにおいて、三つのセクションから構成する形を取っていて、それぞれのセクションのタイトルが“要求される活動”,“説明”,“その他の情報”としている。
 この規格の各セクションの説明は次のとおりである。

1.3 構造
a) 要求される活動
 JIS Q 20000-1 の箇条で要求されている活動の要約。JIS Q 20000-1の要求事項文を繰り返すものでも,新しい要求事項を追加するものでもなく,単純にその活動を記載していることに留意する。

出典:JIS Q 20000-2:2023

1.3 構造
b) 説明
 箇条の目的の説明,並びにJIS Q 20000-1 の要求事項の実施方法に関する例及び推奨事項を含む箇条の内容についての実務的手引。関連する場合は,JIS Q 20000(ISO/IEC 20000)規格群の他の部及び他の関連規格を参照している。

出典:JIS Q 20000-2:2023

1.3 構造
c) その他の情報
 役割及び責任に関する手引,並びにSMS の実施を支援する文書化した情報に関する手引。更なる関連情報を含めることが可能である。

出典:JIS Q 20000-2:2023

インシデント管理における手引の構造(細分箇条/箇条の構成)
 セクションを理解する一助として、この規格における手引の具体な例として、インシデント管理を取り上げる。
 サービスマネジメントシステムに取り組む必要のある多くの組織では、インシデント管理は対応を必要とする重要な取り組みの一つであり、手引の内容もイメージしやすいと考えるからである。
 インシデント管理は、JIS Q 20000-1:2020、JIS Q 20000-2:2023共に細分箇条8.6.で扱われているが、この規格の細分箇条8.6.1における手引は、前述のように、“要求される活動”,“説明”,“その他の情報”の三つのセクションから成り立っている。

 手引のセクションの説明の前に、まず、JIS Q 20000-1:2020の8.6.1におけるインシデント管理の要求事項を押さえておく。インシデント管理では、次のような要求事項から成り立っている。

8.6.1 インシデント管理
 インシデントについては,次の事項を実施しなければならない。
 a) 記録し,分類する。
 b) 影響及び緊急度を考慮して,優先順位付けをする。
 c) 必要であれば,エスカレーションする。
 d) 解決する。
 e) 終了する。
 インシデントの記録は,とった処置とともに更新しなければならない。
 組織は,重大なインシデントを特定する基準を決定しなければならない。重大なインシデントは,文書化された手順に従って分類し,管理しなければならない。
 トップマネジメントは,重大なインシデントについて常に通知されるようになっていなければならない。
 組織は,重大なインシデントのそれぞれを管理する責任を割り当てなければならない。インシデントが解決された後,重大なインシデントを報告し,改善の機会を特定するためにレビューしなければならない。

出典:JIS Q 20000-1:2020

 インシデント管理の要求事項が、2つのパートから構成されていることが理解できる。
「インシデントの管理」と「重大インシデントの管理」の二つである。この規格の、インシデント管理の最初の手引「要求される活動」セクションは、次のとおりである。

8.6.1.1 要求される活動
 組織は,サービスを中断又は中断する可能性のある計画外の事象の解決を管理する。インシデントは,重大インシデントを管理する特定の手順を用いて,記録から終了まで管理する。

出典:JIS Q 20000-2:2023

 上記の文章内での「サービスを中断又は中断する可能性のある計画外の事象」は、JIS Q 20000-1:2020の用語3.2.5で定義されるインシデントを意味している。上記の文章は、インシデントの管理と重大なインシデントの管理をする活動を意味している。
 このように「要求される活動」が、JIS Q 20000-1:2020 のインシデント管理の要求事項の要約であり、単純にその活動を記載しているということが理解いただけるだろう。

 次に、JIS Q 20000-2:2023の二番目の手引「説明」セクションでは、目的を説明し、JIS Q 20000-1:2020 の要求事項の実施方法に関する例及び推奨事項を含む箇条の内容についての実務的手引を提供するとしている。
 この規格の、インシデント管理の「説明」セクションは、次のとおりである。

8.6.1.2 説明
 この要求される活動の目的は,インシデント後,可能な限り速やかに,また,合意されたサービスレベル目標の範囲内で,影響を受けたサービスを回復することである。
インシデント管理の活動は,サービスの品質に与える影響を最小限にすることが可能である。インシデントが特定されると,記録及び分類される。分類は,緊急性,影響,性質,サービスの種類,又は影響を受ける利用者の種類若しくはインシデントの明確な特定及び優先度付けの決定が可能であるその他の手段によって行ってよい。

~中略~

 重大なインシデントが速やかに解決できない場合,SLA 又は顧客の事業目的に大きな影響を与えることがある。重大なインシデントを特定する基準,例えば,全ての顧客に影響するインシデント,情報セキュリティに大きな影響を与えるインシデントを定める。重大なインシデントに対する手順は,次を含む。
 a) 通常の日常活動に対する解決活動の優先度付け
 b) 代替(回避)サービス提供方法に対する計画の実行
 c) 重大なインシデントの状態及びその処理方法に関する顧客への伝達
 d) 重大なインシデントの報告の,トップマネジメントへのエスカレーション
 重大なインシデントが解決したら,学んだ教訓を継続的改善活動で利用可能であるように報告し,レビューし,分析する。インシデント解決のために実施した全ての処置は記録し,分析及び監査のため利用可能であるようにする。組織は,サービスが利用できなくなる期間又は品質が低下する期間,SLA 及びCI に影響を与えたトレーサビリティ,これらのインシデントを解決するために起票された変更要求若しくはサービス要求,又は付随する問題などをインシデントの各側面として記録する場合がある。

出典:JIS Q 20000-2:2023

注:太字は筆者による。

 ここでは、インシデント活動の目的を、「インシデント後,可能な限り速やかに,また,合意されたサービスレベル目標の範囲内で,影響を受けたサービスを回復すること」としている。その後に続く文章において、実施方法に関する例と実務的な手引を提供している。

 三番目の手引「その他の情報」セクションでは、役割及び責任、SMS の実施を支援する文書化した情報、関連情報を含めることが可能であると説明している。
 この規格のインシデント管理の「その他の情報」セクションは、次のような内容である。

8.6.1.3 その他の情報
 文書化した手順は,重大なインシデント管理に必要であるが,他の種類のインシデントにとっては任意である。組織は,全てのインシデントを管理する手順又は作業指示を策定し,伝達することの有用性を認識する場合がある。インシデントの記録は,各インシデントの性質,解決策及びインシデント解決活動を通じて実施した処置に関する情報の管理を支援するツールを使用して作成してもよい。
 各クラスのインシデントの処理に責任をもつ,組織の要員又は部署を特定する。トップマネジメントは,重大なインシデントが発生した場合,及びインシデントの解決の過程において,定期的に情報を受ける。
 特定の責任及び,含めるのが適切な場合は,権限を,組織内で重大なインシデントを管理する個人に割り当てる。これらの責任及び権限は,インシデントをエスカレーションし,解決を調整し,顧客及びその他の利害関係者と連絡し,また,重大なインシデントの解決に当たる要員を指導する能力を含む場合がある。
 重大なインシデントを開始から解決まで処理しレビューするために,特定の又は専任の要員を任命してもよい。

出典:JIS Q 20000-2:2023

 上記の8.6.1.3「その他の情報」セクションから、文書化した手順と役割と責任を抜き出して要約すると、次のようになる。
文書化した手順:
 ・重大なインシデントの文書化した手順
 ・重大なインシデントの報告
 ・インシデントの記録と管理の手順又は作業指示

役割と責任:
 ・インシデントの処理に責任をもつ,組織の要員又は部署
 ・重大なインシデントが発生した場合,及びインシデントの解決の過程において,定期 的に情報を受けるトップマネジメント
 ・重大なインシデントを管理する個人に割り当てる責任と権限
 ・重大なインシデントを開始から解決まで処理しレビューするための,特定の要員
 JIS Q 20000-1:2020で必須となる“文書化した情報”は、この規格の附属書Aに網羅的に列挙されているので、参考になるだろう。
 JIS Q 20000-1:2020の要求事項では,“文書”の個所を“文書化した情報”に統一しているが、それ以外の表現でも“文書”を意味する場合があることに留意しておく必要がある。例えば、“記録”、〝報告“などである。”文書化した情報”の形式は問われない。ワード文書,スライド、手書きなど、いずれも可能である。
 文書化した情報は、組み合わせて、一つの文書にすることも可能である。例えば,重大なインシデント手順をインシデント管理プロセスの文書と組み合わせる場合などが想定される。また、SMS 適合において更なる証明が必要となる場合には,文書類を追加することも可能である。

8.おわりに

 SMSを構築しようとする組織(サービス提供者)は、JIS Q 20000-1:2020の要求事項の短い文章から、「どのようにするのか」あるいは、「どのように実施するのか」を解釈することが必要になる。JIS Q 20000-1:2020の要求事項では、主として「何をすべきか」に焦点が当てられているためである。JIS Q 20000-2:2023の3つのセクションから成る手引の構造は、「どのように実施するか」に対する有用な情報を提供している。
 この規格以外にも、規格の要求事項を解釈し、適用してゆくために参考となる文書類があるので、併せて紹介しておく。
 ・ISO/IEC 20000 IT SERVICE MANAGEMENT - A PRACTICAL GUIDE:2019(ISO/IEC 20000 IT サービスマネジメント-実践ガイド:2019) 
 本書は、規格ではないが、JSA(日本規格協会)のWebdeskから購入可能である。ITサービスマネジメントの実践ガイドとして、規格の概要と関連するフレームワークの紹介も含まれている。

 ・ITSMSユーザーズガイド~JIS Q 20000-1:2020(ISO/IEC 20000-1:2018)対応~
 JIPDEC(一般財団法人日本情報経済社会推進協会)が提供する、JIS Q 20000-1:2020の要求事項について一定の範囲でその意味するところを説明しているガイドである。
 上記のリンクからたどると、ガイドをダウンロード可能となっている。

 ・特定非営利活動法人itSMF JapanのISO/IEC 20000特集ページでは、itSMF JapanによるISO/IEC 20000関連情報の紹介ページを設けていて、itSMF Japan会員以外でも参照できる独自コンテンツを揃えている。上記のリンクから参照可能である。

 本稿では、JIS Q 20000-2:2023の改訂のポイントとインシデント管理の概説を加えてきた。SMSの実践を目指す組織(サービス提供者)に役立つことを期待したい。



【執筆者情報】
洛ITサービス・マネジメント(株)代表取締役
塩田 貞夫
    外資系ベンダーにて運用現場におけるサポートエンジニアとして、長年にわたりミッションクリティカルシステムを担当。その後、コンサルタントとしてITシステムの運用/可用性サービス、ITILベースのアセスメント/コンサルティングサービスを提供。NPO団体itSMF Japanの設立から参画し、ITサービスマネジメントの普及・啓蒙に貢献。ISO/IEC 20000の国内委員会(ISO/IEC JTC1 SC40/WG2)の委員を務め、現在はアドバイザーとして参加。
    ITILV2/V3/2011Edition/ITIL4などのITIL書籍の英語版/日本語版の書籍レビュァー、ISO/IEC20000 JIS化原案作成WG委員を務める。
    直近では、ITSMコンサルタントとして、ITILベースのアセスメント、プロセス設計、運用改善サービスの提供に加えて、ISO/IEC 20000認証取得支援、ITIL教育コースの講師を行っている。

    【団体/委員】(2023年3月)
    ・ITSMS適合性評価制度技術専門部会 主査(一般財団法人 日本情報経済社会推進協会)
    ・情報マネジメントシステム運営委員会 委員(一般財団法人 日本情報経済社会推進協会)
    ・ SC40/WG2 ITサービスマネジメント国内小委員会 アドバイザー(一般社団法人 情報処理学会)
    【著書/共著】
    ・ISO/IEC 20000活用ガイドと実践事例(日本規格協会) ISBN 978-4-542-30535-9
    ・ISO/IEC20000-1:2005(JIS Q 20000-1:2007)情報技術‐サービスマネジメント 第1部:仕様 要求事項の解説(日本規格協会) ISBN 978-4-542-30536-6
    【主な資格】
    ・ITIL 4 マネージングプロフェッショナル
    ・ITIL V3 Expert
    ・ITIL V2 Manager
    ・EXIN ISO/IEC 20000 Foundation
    ・EXIN ISO/IEC 20000 コンサルタント・マネージャ

ITサービスマネジメントシステム関連 日本規格協会の商品
ISO/IEC 20000-1:2018
情報技術-サービスマネジメント-第1部:サービスマネジメントシステム要求事項
※Redline版はこちら
JIS Q 20000-1:2020
情報技術―サービスマネジメント―第1部:サービスマネジメントシステム要求事項
ISO/IEC 20000-2:2019
情報技術-サービスマネジメント-第2部:サービスマネジメントシステムの適用の手引
※Amendmentはこちら
JIS Q 20000-2:2023
情報技術―サービスマネジメント―第2部:サービスマネジメントシステムの適用の手引
ISO/IEC 20000-3:2019
情報技術-サービスマネジメント-第3部:ISO/IEC 20000-1の適用範囲の定義及び適用性の手引
ISO/IEC TS 20000-5:2022
情報技術-サービスマネジメント-第5部:ISO/IEC 20000-1の実施の手引
ISO/IEC 20000-6:2017
情報技術-サービスマネジメント-第6部:サービスマネジメントシステムの審査及び認証を行う機関に対する要求事項
ISO/IEC 20000-10:2018
情報技術-サービスマネジメント-第10部:概念及び用語
ISO/IEC TS 20000-11:2021
情報技術-サービスマネジメント-第11部:ISO/IEC 20000-1:2011とサービスマネジメントフレームワーク:ITIL(R)間の関係の手引
ISO/IEC 27013:2021
情報セキュリティ,サイバーセキュリティ,プライバシー保護-ISO/IEC 27001及びISO/IEC 20000-1の統合的実施の手引
ISO/IEC 20000シリーズ規格集(全3規格) ISO/IEC 20000 IT サービスマネジメント-実践ガイド:2019