このページはISO9000に関するQ&Aを掲げます《適宜、項目を追加する予定》

ソフトウェアの認証取得に関するFAQ

●ソフトウェアの品質管理手法と認証にはどんなスキームがありますか?

 よく知られているのは英国UKASのスキームであるTickITですが、オランダRvAのICITというスキームもあります。TickITはIT(Information Technology、つまりソフトウェア技術)にチェック印を入れるというところから来ており、ICITは Stichting Instituut ter bevordering van de keuring en Certificatie van Informatie Technologie またはInstitute for the advancement of approval and Certification of Information Techonology の略になっています。
 ソフトウェアの品質管理をどうすべきか、認証取得にはどんな点に注意すべきか、は英国規格協会が発行しているThe TickIT GuideやISO9000-3(ソフトウェアの品質保証)を参考にすべきです。審査はあくまでISO9001規格に基づいて行われますが、この規格はハードウェアを想定した規格になっており、そのままではソフトウェアに馴染みにくい点がないとは言えません。そこでThe TickIT GuideやISO9000-3に書かれたソフトウェアに対する要求事項的なものを参考にして、ISO9001規格のそれぞれの要求事項をソフトウェアにどう適用するかを考えればよいのです。

The TickIT Guide
A guide to Software Quality System Construction and Certification using ISO 9001:1994
1st October 1995 Issue 3.0
価格:UK Price £35(入手は日本規格協会で可能です)
 参考までに内容は次のようになっています。

1. Guide contents and readership

2. Overview of the TickIT Scheme

3. The TickIT infrastructure

4. The scope of TickIT

5. Accreditation

6. Certification

7. TickIT Auditor Qualifications and Restration

8. Guidance

9. Costs and benefits of certification

10. TickIT in the wider context

11. TickIT service improvement and complaints

12. References
 なお、ICITのスキームにもThe TickIT Guideがそのまま適用可能です。英国の認定機関(UKAS)とオランダの認定機関(RvA)は仲が良くないと噂されていますが、もともとオランダは取引上手な国(Dirty Dutchと陰口が聞かれるくらいです)とあって、RvAも人のフンドシで商売をするような面があるのかも知れません。

 ソフトウェアの品質保証(ISO9000-3 対訳と解説)も日本規格協会から入手できます。こちらの方は第1版のままで、ISO9001規格が1994年に第2版に改訂されていますので、細かなところでは1992年のISO9000-3はISO9001とは整合していません。いい加減といえばいい加減です。

●ソフトウェアに特有な要求事項はありますか?

 先に説明したように、ソフトウェアの場合でも審査にはISO9001規格が適用されますので、ソフトウェアだからと言って規格上は特別なものが要求されるわけではありません。しかし品質管理の面ではソフトウェアにはソフトウェアなりの配慮すべき事項があります。
 ここでは幾つかのポイントをキーワード的にリストアップしておきます。ソフトウェアの開発規模や特定客先の有無によって、どの項目をどのように適用すべきか判断は多少変わるでしょう。これらは品質マニュアルにも織り込むようにしなければなりません。
1.要求定義(客先と合意した内容の明確化、要求仕様書)
2.プロジェクト開発計画
3.外部仕様書・基本仕様書・設計仕様書・プログラム仕様書・検査仕様書
4.デバッグの記録(単体デバッグ・総合(結合)デバッグ、デバッグ作業日誌)
5.デバッグの終了基準
6.デバッグとテストのフェーズの切り分け
7.テスト条件の適切性・テスト条件の明確化
8.テストデータの管理(再テストのための設定パラメータの保存など)
9.ソフトの検査(正常系・異常系)
10.カバレッジ(検査網羅度)
11.例外規定・制約事項
12.リリースおよび承認の手順
13.進捗管理(リスク項目など)
14.連絡
15.構成管理(各モジュールのバージョン管理)
16.ツールの選択基準(採用のための妥当性の確認)
17.市販ソフト(コンパイラなど)の受入基準・受入検証(=採用のための手順)
18.外注管理
19.ソースコードのバックアップ
20.フィールドバグの修正・変更の手順とテスト・動作確認
21.保守計画
22.変更(基本仕様書の変更など)の記録
23.ソースへの変更履歴
 要は個人の技量に依存しやすいソフトウェアを如何にしてシステム的、客観的に品質管理をするか、がポイントです。

●ソフトウェアの審査は日本語で受けられますか?

 ソフトウェアの審査員にはTickIT Auditorという特別な資格が必要で、この資格取得にはソフトウェアの審査実績が問われるのはもちろん、英国で面接試験も受けなければならないこともあって、少し前までは日本人の資格取得者はいませんでした。
 そのような場合には、ソフトウェアの審査を引き受ける審査機関は海外からTickIT Auditorを招くことになるわけで、いきおい通訳が必要になったり、最小限の英文の資料が要ったりと手間がかかりました。
 最近はDNV、LRQA(ロイド)、JQAの審査機関がソフトウェアの審査が可能だとみられますが、日本人だけでソフトウェアの審査が出来るのは(このVol.07発行の時点では)DNVだけのように思われます。実際、このホームページの運営責任者(辻井浩一)はソフトウェアを含む品質マニュアルを作成し、管理責任者としてDNVから審査を受けたことがありますが、全て日本人による日本語対応で済んでいます。

●品質マニュアル作成上の注意はありますか?

 ソフトウェアの審査に適用される規格はISO9001になりますが、先に説明したようにISO9000-3とThe TickIT Guideは必ず品質システムの構築および内部監査の参考にしてください。そのほか品質マニュアル作成にあたっては「ISO90000に基づくソフトウェアの品質システム」(Charles H. Schmauch著、今泉益正翻訳監修・山座建太郎訳、日本規格協会)も参考になります。
 品質システムの構築/品質マニュアルの作成では特に「設計管理」に重きを置き、充実させなければなりません。ソフトウェアの開発にあたって、どのような工程(フェーズ)でどんな管理をすべきかは、たとえばSDEM90が参考になります。SDEM90は、Systems Development Engineering Methology 90の略で、富士通のソフトウェア開発マニュアルです(一般に入手が可能です)。この中に開発工程としてシステム企画・システム分析・ユーザインターフェイス設計・システム構造設計・プログラム構造設計・プログラミング・プログラムテスト・結合テスト・システムテスト・運用テスト・保守システム評価というフェーズ分けが示され、それぞれの工程で成すべきことの解説があります。
 ISO9001では設計管理は、開発計画・インターフェイス・設計へのインプット・設計からのアウトプット・設計検証・設計審査・設計の妥当性確認・品質記録の作成と機能別に要求項目が明示されていますので、ソフトウェアのそれぞれの開発工程で成すべき業務をこれらの要求事項にうまく当てはめる(マッチさせる)ように咀嚼することが必要でしょう。
 そのほかISO9001の「トレーサビリティ」はソフトウェアの構成管理(構成モジュールのバージョン管理など)、「製造工程の管理」はソフトウェアの複製、などとISO9001規格の各要求項目がソフトウェアの場合の何に当たるのか、考えて品質マニュアルを作成してみてください(こうでなければならない、という決まった考えはありません)。

《その他の参考図書》ISO9001とは直接関係ありません

  • 富士通における「ソフトウェア品質保証の実際」久保宏志監修 日科技連 \8,000
  • ソフトウェア・デザインレビュー 菅野文友監修 日科技連 \3,200
  • ソフトウエア品質工学 Michael S. Deutsch, Ronald R. Willis 著 成田光彰訳 日経BP社 \8,000
  • ソフトウェアのテスト技術 Michael S. Deutsch著 島崎恭一訳 企画センター \4,600
  • ソフトウェアの欠陥除去技術 Robert H. Dunn著 渡部研一訳 日経マグロウヒル社 \4,300
  • ソフトウェア生産工学ハンドブック 技術士ソフトウェア研究会監修 (株)フジ・テクノシステム \49,800

    • ●ソフトウェアの審査ではどこにポイントが置かれますか?

     個々の問題については先のFAQの内容を参照していただくとして、 基本的なポイントとして次の4項目を上げておきます。

    開発計画がきっちりと出来ているか
    ソフトウェアの品質確保には開発工程の管理(開発日程を含む)が肝要で、そのためには成すべきことが開発計画段階でどれだけきっちりと開発計画書(品質計画書といってもよい)に織り込まれているか、が重要になります。新しい要素が入る場合はリスク項目も明確にし、その管理をきちんと行うように計画する必要があります。

    進捗管理が出来ているか
    開発計画書に含まれている(はずの)それぞれの開発フェーズの進捗管理がどのように行われているか、は重要なことです。工程管理(とりわけ進捗管理)がソフトウェア開発の使命を制する、と言っても過言ではないほどです。ともすれば開発担当者個人の胸の内に埋没しがちなソフトウェア開発上の、とりわけ進捗面の切り口から見た問題が把握され、必要なフィードバックがかけられていることが大切です。

    どのように検証できているか
    開発されたソフトウェアがそれぞれのフェーズでどのように検証されているか、は重要な確認のポイントになります。ソフトウェアは開発工程での品質の作り込みが欠かせません。テストの記録はきめ細かく行い、前回のテスト記録を参照してリグレッションテスト(regression test、後戻りしないテスト)を心がける必要があります。

    出た不具合の処置をどうしているか
    ソフトウェアの開発工程ではバグ等の不具合が付き物ですが、これをどのように処置したかが分かるようにしておく(記録を残す)必要があります。それらの処置内容・結果がきちんとレビューされていなければなりません。

    ●ソフトウェアの認証取得はどのくらいあるのでしょうか?

     実は、これがよく分からないのです。
     このあたりの網羅的な情報を持っている機関は、国内にはないのかも知れません。
     TickITの話に限れば、全世界では1996年1月現在で約1,100件あるそうですが(右図を参照ください)、国内ではどうかと言えば情報がありません。
     ただ、1996年11月に(株)品質保証総合研究所から発行された「欧州主要国の情報サービス産業におけるISO9000シリーズ適用の現状」によると、各国情報処理産業のISO9000シリーズ普及率として次表のようなデータが示されています。

    フランスオランダドイツイギリス日本
    総情報サービス企業数(A)?-約2,000約9,000約4,400
    (A)の認証取得件数(B)約150-約390約88040〜50程度
    普及率(B/A)X100%?10%程度約19%約10%0.9〜1.1%

    各国情報処理産業のISO9000シリーズ普及率
    「欧州主要国の情報サービス産業におけるISO9000シリーズ適用の現状」((株)品質保証総合研究所より)

     この表によれば、欧州では情報サービス企業の約1割がISO9001などの認証を取得しているのに対して、国内では1%前後というわずかな程度にとどまっている、と言えます。
     産業別に見ると、次表のようになります。

     
    全社数(A)認証取得件数(B)普及率(B/A)X100%
    電気・電子機械17,2071,4438.3%
    一般機械13,7264273.1%
    化学製品6,5474166.3%
    情報サービス(注)3,421約501.4%

    (注)資本金1千万円以上の本社、単独事業所
    国内主要産業のISO9000シリーズ普及率(同上より引用)

     国内の情報サービス企業(大手企業の情報サービス部門を含む)の認証件数は、確かにまだまだ少ないのが実情です。しかし近年、着実に伸びており、96年9月末現在の主要審査機関における認証件数では、電気機械、一般機械、化学製品に次ぐ4位であるものの、申請ベースでは化学製品を追い抜いて第3の成長産業分野になるようです(申請ベースでは産業分野別構成比率では8.3%になる)。

     参考までに欧州系審査機関の情報サービス企業の認証状況は、次のようになります。

     
    AFAQ(フランス)DQS(ドイツ)KEMA(オランダ)BSI(イギリス)
    全産業の認証件数(同国の審査機関シェア)約6,000(85%)約3,700(33%)約1,200(54%)約30,000(51%)
    情報サービス企業の認証件数13013097571(うちTickITは378)
    情報サービス企業の比率(%)1.3%3.5%10.7%1.9%

    情報サービス産業分野の審査機関別ISO9000シリーズ認証件数(同上より引用)
    データはAFAQが96年1月末、その他は96年7月現在
    KEMA以外の審査機関別の認証件数は、BV(13件)、LRQA(10件)、DNV(3件)、KPMA(2件)。

    ホームページに戻る