ソフトウェア資産管理は“組織横断”が成功の秘けつ：コスト削減時代の資産管理（2）（1/3 ページ）

コンプライアンスやIT資産の全体最適化といった観点から、近年、アプリケーション資産管理が注目を集めている。その実践のための方法論も整備されているが、何より大切なのはアプリケーションが全社的に使われているものである以上、“ツールだけ”“IT部門だけ”で何とかできるなどとは考えないことだ。

　法令遵守、コンプライアンスといった観点から、ソフトウェアのライセンス管理が求められるようになって数年が経過した。だがシステム運用の現場では、ライセンス管理のための指標や方法論が明確になっていなかったのが現実である。

　では今日、ソフトウェアライセンスの管理とは、どのような指標、基準、方法論にのっとって行うべきなのだろうか？ そこで今回は、ライセンス管理を確実化するソフトウェア資産管理（Software Asset Management、以下SAM）について紹介しよう。

　SAMはISOが定めるISO19770において、その基準や指標が定められている。日本国内でも「ソフトウェア資産管理コンソーシアム（SAMコンソーシアム）」がその基準を提示しているほか、日本情報処理開発協会（JIPDEC）によるJIS化の動きがあるが、SAMを理解するうえでは、これらのベースとなっているISO19770による基準を基に、方法論を考えるべきだろう。

ソフトウェア資産管理の方法論を整理したISO19770

　ISO19770は、複数部で構成されたソフトウェア資産管理の国際標準である。「19770-1」 の序文に記載されているように、「ITサービスマネジメント全体の有効な支援となるに充分な規格を基準に、ソフトウェア資産管理（SAM）を実行していることを証明できるようにするもの」として開発されている。

　ISO19770で強調されているのは、「ISO/IEC20000との緊密な整合」と「ITILやITSM（ITサービスマネジメント）を支援するように意図されている」ということである。例えば「ISO/IEC 19770-2 ソフトウェア アイデンティフィケイション タグ」や、「ISO/IEC 19770-3 ソフトウェア エンタイトルメント タグ」などでは、「ソフトウェアの管理性を高め、サービスマネジメントを支援するために、ソフトウェアメーカーとユーザーが、ともに基準として実装することで、相互の利益を確保することが目的である」と明言している。

　また、ISO19770-1 の日本語訳の序文には、以下のような目的が明示されている。

（a）リスクマネジメント

• ITサービス中断のリスク
• ITサービスの品質低下のリスク
• 法的リスクの度合い及び規制上のリスクの度合い
• 上記のいずれかに起因する世評の失墜のリスク

（b）コスト管理

• 大量契約協定の利用の改善を通じて、有利な価格設定の交渉を行うことによる、また、古いライセンスが展開可能な場合、新規ライセンスの購入を回避することなどによる、ソフトウェアおよび関連資産の直接費の削減
• 情報の可用性の改善による、供給者との交渉のための時間および費用の削減
• 請求書照会の改善、予測および予算業務の正確さの改善など、財務管理の改善による費用削減
• 要求されたプロセスを効率的かつ有効なものにすることによる、ソフトウェアおよび関連資産の管理のためのインフラストラクチャ費用の削減
• 直接的にはITシステムの領域で、間接的にはエンドユーザーの領域で、SAMプロセスの品質によって大きく影響される「アプリケーションによる業務支援費用」の削減

（c）競争上の優位性

• より完全で透明性の高い情報を用いることにより、IT調達およびシステム開発の意思決定を、より迅速かつ確実に下せるようになる
• 市場の機会または需要に応じて、より素早く確実に、新しいシステムおよび機能を展開できるようになる
• 事業のニーズに、より合致したITを提供することで、すべてのユーザーが適切なソフトウェアおよびアプリケーションを確実に利用できるようになる
• 企業の取得や合併、あるいは分割時などに、ITインフラをより迅速に統合・整理できるようになる
• ITの問題を減らすことで、従業員の業務に対するモチベーションが高まり、顧客満足度も向上するようになる

“うっかり”で済まされない法的リスク

　さて、以上のようにSAMは、さまざまなメリットを約束する一方で、法的リスクを避ける意味でも重要な役割を果たす。特に、ソフトウェアの利用で最も起こりがちなのが、ライセンスなしで不正利用する“著作権侵害”である。特に会社全体など組織ぐるみで問題を起こせば、以下のように“うっかり”では済まされない事態となる。

組織ぐるみで著作権侵害事件を起した際の刑事罰と民事責任

1. 組織代表者：10年以下の懲役刑、または1000万円以下の罰金刑（または併科）
2. 法人格：3億円以下の罰金刑
3. 民事的責任：損害賠償（民法709条）
4. 株式会社：役員、株主代表訴訟（商法266条5項、267条）
5. 従業員：10年以下の懲役刑、1,000万円以下の罰金刑（または併科）
6. 従業員の著作権侵害行為を知りながら黙認した上司は「共犯」として刑事責任を問われる可能性あり

　「著作権侵害の刑事事件」とは、アダルトビデオを違法コピーして販売するのと同じレベルの犯罪である、という認識を持っている人は意外と少ない。

　ただ、SAMが企業活動を展開するうえで非常に重要であるとはいえ、その管理に膨大な手間を掛けるわけにもいかない。そもそも、SAMにはソフトウェアを供給するメーカーと、利用するユーザーの利害が大きく関与している。ソフトウェアメーカーにとっては「自社の知的財産を保護し、適正な利益を得る」こと、ユーザーにとっては、「ソフトウェアが提供する利便性を享受し、生産性を向上させる」ことがSAMの目的なのである。

　ここで気を付けたいのは、ユーザーの目的が「ソフトウェアを資産として管理すること」ではなく、あくまで「その利便性を享受して生産性を向上すること」にある点である。つまり、ソフトウェアの管理工数が大きいと、利便性から享受される利益を低下させてしまいかねないのである。従ってSAMを成立させ、有効に生かすためには、双方の目的と利益を確実かつ効率的に達成できるような基準と方法論が必要になるわけである。

　特に現在、ソフトウェア資産に関して企業が直面している現実的な課題は、「ソフトウェアメーカーが期待するコンプライアンスのレベルを証明する（利用しているソフトウェアに対して適性な対価を支払っていることを証明する）ための方法論」が求められていることであろう。 しかし、残念ながらSAMはライフサイクル管理と同様に、ツールを導入すれば何とかなるというものではない。

　加えて「SAMはツールで簡単にできますよ」とうたっているインベントリ収集ツールも存在しているが、それが収集するソフトウェア情報が「SAMを実践するうえで必要十分ではない」という場合も少なくない。さらに、ツールで必要なソフトウェア情報を収集できたとしても、 ソフトウェア購入データがきちんと管理されていなければ、両者をひも付け、突け合わせて「ソフトウェアに対して適性な対価を支払っている」と証明することはできない。

　では、「ソフトウェアによってもたらされる利便性」を損ねるほどの管理工数を掛けることなく、SAMの目的である「ITサービスマネジメント全体の有効な支援」や、「ソフトウェアメーカーに対するコンプライアンスの証明」を効率よく実現するためには、どうすればよいのか――そのために、次のページで紹介するSAM実践の基準や基本要件が用意されているのだ。