コンプライアンスとITILの本当の関係：ブライアン・ジョンソン ITILの文脈（3）（1/2 ページ）

短期集中連載でお届けするITIL執筆メンバーのブライアン・ジョンソン氏からのメッセージ。今回は最終回として、ITILとSOX法やコンプライアンス一般の関係、新たに登場したITILバージョン3の意義、どんな企業がどうITILの取り組みを始めるべきかについて語る

コンプライアンスはITIL導入の最大要因になるか

本連載は、2007年4月、＠IT情報マネジメント編集部がブライアン・ジョンソン氏に行ったインタビューを構成したものです。文責は当編集部にあります。

ブライアン・ジョンソン氏

　コンプライアンスはITIL導入の最大の理由になるのでしょうか。規格に対応しなければならないのであれば、答えはイエスです。ただ、例えば日本版SOX法は、米国でのSOX法と同様に法規制です。まず、法規制に対するコンプライアンスのために、監査で何を証明しなければならないのかを考えるべきです。そのうえで何が必要かを考えなければなりません。ITILは必要かもしれませんが、それ自体は規格ではありません。規格に準拠していることを証明するために、目的ではなく手段として用いるべきです。

　米国ではよく、SOX法に対応するならITILが必要だといいます。しかし、それは部分的にしか正しいとはいえません。SOX法とITILは（直接ではなく）多重にネストされた関係にあります。米国版SOX法ではさまざまなものがどのように関連付けられるかについてCOSOを参照する必要があります。さらに実際に何をするべきかについての助けとなるCOBITが求められます。その次にITILがあります。監査のフレームワークであるCOBITとベストプラクティスであるITILには直接の関係はありませんが、ITILは目的に対する手段として用いることができます。

　英国とカナダでは、政府にITサービスを提供しようとする場合、ISO 20000の認定を受ける必要があります。ISO 20000に至る最もスムーズな方法はITILを用いることです。ITILを使えば完璧だといっているわけではありません。しかし、まず何を実現し、望むところまでどのように進んでいくかについてかなりの助けを与えてくれます。

　ISO 20000認定においても、ITILが必須だというわけではありません。自分たちで正しい解釈をすることができ、自分たちで実装を行うことができれば、それでいいのです。しかし、ITILによって、自分たちの組織において実行すべきことを明確化するとともに、プロセスを加速できます。アポロ13号を題材としたシミュレーションを体験していただければ、問題はITそのものだけではなく、人々、プロセス、企業文化といったものに大きく関係しているのだということがよく分かります。こうしたことを理解したうえで、良いソフトウェアを用い、ROIを考えるべきです。