情報システムの運用(第5回)

法務 (2)(ストラテジ系・企業と法務)


配布資料

第5回(問1~問16)
解答なし解答あり解説(要ID・パスワード)

訂正

(なし)


中分類2 「法務」

【位置付け】

表: ITパスポート出題範囲(ストラテジ系)
共通キャリア・スキルフレームワーク 出題範囲(出題の考え方)
分野 大分類 中分類





1企業と法務 1企業活動
  • 企業活動や経営管理に関する基本的な考え方を問う。
  • 身近な業務を分析し,課題を解決する手法や,PDCA の考え方,作業計画,パレート図などの手法を問う。
  • 業務フローなど業務を把握する際のビジュアル表現について問う。
  • 財務諸表,損益分岐点など会計と財務の基本的な考え方を問う。
2法務
  • 知的財産権(著作権法,産業財産権関連法規など),セキュリティ関連法規(不正アクセス禁止法など),個人情報保護法,労働基準法,労働者派遣法など,身近な職場の法律を問う。
  • ライセンス形態,ライセンス管理など,ソフトウェアライセンスの考え方,特徴を問う。
  • コンプライアンス,コーポレートガバナンスなど,企業の規範に関する考え方を問う。
  • 標準化の意義を問う。
2経営戦略 3経営戦略マネジメント
  • SWOT 分析,プロダクトポートフォリオマネジメント(PPM),顧客満足度,CRM,SCM などの代表的な経営情報分析手法や経営管理システムに関する基本的な考え方を問う。
  • 表計算ソフト,データベースソフトなどオフィスツール(ソフトウェアパッケージ)の利用に関する理解を問う。
4技術戦略マネジメント
  • 技術開発戦略の意義,目的などに関する理解を問う。
5ビジネスインダストリ
  • 電子商取引,POS システム,IC カード・RFID 応用システムなど,各種ビジネス分野での代表的なシステムの特徴を問う。
  • エンジニアリング分野や電子商取引での代表的なシステムの特徴を問う。
  • 情報家電や組込みシステムの特徴,動向などを問う。
3システム戦略 6システム戦略
  • 情報システム戦略の意義と目的,戦略目標,業務改善,問題解決などに向けた考え方を問う。
  • 業務モデルにおける代表的なモデリングの考え方を問う。
  • コミュニケーションにおけるグループウェアやオフィスツールなどの効果的な利用について問う。
  • コンピュータ及びネットワークを利用した業務の効率化の目的,考え方について問う。
  • クラウドコンピューティングなど代表的なサービスを通じて,ソリューションビジネスの考え方を問う。
  • システム活用促進・評価活動の意義と目的を問う。
7システム企画
  • システム化計画の目的を問う。
  • 現状分析などに基づく業務要件定義の目的を問う。
  • 見積書,提案依頼書(RFP),提案書の流れなど調達の基本的な流れを問う。

【小分類】

小分類4 「知的財産権」

【目標】
【説明】
【項目】
(1) 著作権法
音楽,映画,コンピュータプログラムなど,知的創作物には著作権が発生し,無断コピーなどは違法行為に当たることを理解する。また,歌手や放送事業者など,著作物を様々な手段で伝達する人々にも権利が発生し,無断で作品を公衆に伝達する行為は違法であることを理解する。
(2) 産業財産権関連法規
発明やデザインなどを登録することによって守られる権利があることを理解し,無断使用は違法であることを理解する。
用語例:特許法,ビジネスモデル特許,実用新案法,意匠法,商標法,トレードマーク,サービスマーク
(3) 不正競争防止法
著作権法,産業財産権関連法規では守られない,営業秘密などを保護する法律があることを理解する。
(4) ソフトウェアライセンス
権利者が他者と契約を結び,利用許諾を与える方法であることを理解する。
用語例:使用許諾契約,オープンソースソフトウェア,フリーソフトウェア,パブリックドメインソフトウェア
活用例:ライセンス条件の理解と目的に合った契約
(5) その他の権利
明文化された法律は存在しないが,判例によって認められた肖像権やパブリシティ権があることを理解する。

小分類5 「セキュリティ関連法規」

【目標】
【説明】
【項目】
(1) 不正アクセス行為の禁止等に関する法律
不正アクセスとはどのような行為であるかを知り,不正アクセスを防ぐにはどうすべきかを理解する。また,不正アクセス禁止法の基本的な考え方を理解する。

小分類6 「労働関連・取引関連法規」

【目標】
【説明】
【項目】
(1) 労働関連法規
労働基準法や労働者派遣法などの基本的な考え方を理解する。
①労働基準法
最低賃金,残業賃金,労働時間など,労働契約において最低限守らなければならないことが,決められていることを理解する。
用語例:フレックスタイム制,裁量労働制
②労働者派遣法(労働者派遣事業法)
労働者を派遣するには認可が必要であるなど,派遣事業者が守らなければならない規定があることを理解する。
③守秘義務契約
職務上知りえた秘密を守るべき契約があることを理解する。
④契約類型
契約の種類として,請負契約や派遣契約などの基本的な特徴を理解する。
用語例:(準)委任契約,雇用契約
(2) 取引関連法規
下請法(下請代金支払遅延等防止法)やPL法(製造物責任法)などの基本的な考え方を理解する。
①下請法
下請代金の支払遅延等を防止することで,下請事業者の利益を保護する法律であることを理解する。
用語例:特商法(特定商取引に関する法律)
②PL法
製造物の消費者が,製造物の欠陥によって生命・身体・財産に危害や損害を被った場合,製造業者などが損害賠償責任を負うことを理解する。

小分類7 「その他の法律・ガイドライン・技術者倫理」

【目標】
【説明】
【項目】
(1) コンプライアンス
企業等のコンプライアンス向上に資するため,業務遂行において,法律以外にも遵守すべき倫理規定などがあることを理解し,実践する。
①個人情報保護法(個人情報の保護に関する法律)
保護の対象となる個人情報,適用される事業者,義務規定などについて理解する。
②各種基準
コンピュータウイルス対策基準,コンピュータ不正アクセス対策基準,システム管理基準などが,情報システムに関する規範として利用されていることを理解する。
用語例:情報セキュリティ対策ガイドライン
③情報倫理
知的財産,個人情報,プライバシなどの保護,ネチケットなどのモラル,情報社会において行動する際に守るべき法令や規範を理解し,実践する。
用語例:プロバイダ責任制限法
(2) コーポレートガバナンス
顧客や市場などから信頼を獲得するための経営活動の健全化を目的とした,コーポレートガバナンスという取組があることを理解する。
用語例:公益通報者保護法,内部統制報告制度
(3) 行政機関への情報開示請求
行政機関が作成した文書について,誰でも開示請求を行えることを理解する。
用語例:情報公開法

小分類8 「標準化関連」

【目標】
【説明】
【項目】
(1) 標準化
標準化の必要性や意義を理解する。
用語例:デファクトスタンダード
(2) ITにおける標準化の例
ITにおける身近な標準化の例と特徴を理解する。
用語例:バーコード,JANコード,QRコード
(3) 標準化団体と規格
代表的な国際標準化団体や国内標準化団体と身近な規格例について理解する。
用語例:ISO(International Organization for Standardization:国際標準化機構),IEC(International Electrotechnical Commission:国際電気標準会議),IEEE(The Institute of Electrical and Electronics Engineers, Inc.),W3C(World Wide Web Consortium),JIS(Japanese Industrial Standards:日本工業規格),ISO9000(品質マネジメントシステム),ISO14000(環境マネジメントシステム),ISO/IEC27000(情報セキュリティマネジメントシステム)

小分類4 「知的財産権」

(詳細は前回)


小分類5 「セキュリティ関連法規」

(詳細は前回)


小分類6 「労働関連・取引関連法規」

(詳細は前回)


小分類7 「その他の法律・ガイドライン・技術者倫理」

(1) コンプライアンス

企業等のコンプライアンス向上に資するため,業務遂行において,法律以外にも遵守すべき倫理規定などがあることを理解し,実践する。

①個人情報保護法(個人情報の保護に関する法律)

保護の対象となる個人情報,適用される事業者,義務規定などについて理解する。

②各種基準

コンピュータウイルス対策基準,コンピュータ不正アクセス対策基準,システム管理基準などが,情報システムに関する規範として利用されていることを理解する。

用語例:情報セキュリティ対策ガイドライン

③情報倫理

知的財産,個人情報,プライバシなどの保護,ネチケットなどのモラル,情報社会において行動する際に守るべき法令や規範を理解し,実践する。

用語例:プロバイダ責任制限法

(2) コーポレートガバナンス

顧客や市場などから信頼を獲得するための経営活動の健全化を目的とした,コーポレートガバナンスという取組があることを理解する。

用語例:公益通報者保護法,内部統制報告制度

(3) 行政機関への情報開示請求

行政機関が作成した文書について,誰でも開示請求を行えることを理解する。

用語例:情報公開法


小分類8 「標準化関連」

(1) 標準化

標準化の必要性や意義を理解する。

用語例:デファクトスタンダード

(2) ITにおける標準化の例

ITにおける身近な標準化の例と特徴を理解する。

用語例:バーコード,JANコード,QRコード

(3) 標準化団体と規格

代表的な国際標準化団体や国内標準化団体と身近な規格例について理解する。

用語例:ISO(International Organization for Standardization:国際標準化機構),IEC(International Electrotechnical Commission:国際電気標準会議),IEEE(The Institute of Electrical and Electronics Engineers, Inc.),W3C(World Wide Web Consortium),JIS(Japanese Industrial Standards:日本工業規格),ISO9000(品質マネジメントシステム),ISO14000(環境マネジメントシステム),ISO/IEC27000(情報セキュリティマネジメントシステム)


小分類4 「知的財産権」

(詳細は前回)


小分類5 「セキュリティ関連法規」

(詳細は前回)


小分類6 「労働関連・取引関連法規」

(詳細は前回)


小分類7 「その他の法律・ガイドライン・技術者倫理」

1. コンプライアンス

コンプライアンスとは,法令を遵守することを含め,企業の社会的信頼を維持向上させるために必要となるガイドラインや指針を実践することである。

1.1 個人情報保護法(個人情報の保護に関する法律)

(1) 個人情報保護法

個人情報保護法とは,個人情報の有用性に配慮しつつ,個人の権利利益の保護を目的とした法律。

以下の2つの部分から構成される。

  1. 官民を通じた個人情報の取扱いに関する基本理念などを定めた部分
  2. 民間の事業者(個人情報取扱事業者)を対象とした個人情報の取扱いのルールを定めた部分
    (国の行政機関を対象としたルールは「行政機関の保有する個人情報の保護に関する法律」,地方公共団体を対象としたルールは「各地方公共団体の個人情報保護条例」で定められている)。

個人情報とは,生存する個人に関する情報で,特定の個人を識別が可能なもの。

個人情報取扱事業者の義務として以下のようなものがある。

見出し 概要
a. 利用目的の特定,利用目的による制限 個人情報を取り扱うに当たっては利用目的をできる限り特定し,原則として利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない。
b. 適正な取得 偽りその他不正の手段により個人情報を取得してはならない。
c. 取得に際しての利用目的の通知等 個人情報を取得する場合には,利用目的を通知・公表しなければならない。
なお,本人から直接書面で個人情報を取得する場合には,あらかじめ本人に利用目的を明示しなければならない。
d. データ内容の正確性の確保 利用目的の達成に必要な範囲内において,個人データを正確かつ最新の内容に保つよう努めなければならない。
e. 安全管理措置,従業員と委託先の監督 個人データを安全に管理し,従業員や委託先も監督しなければならない。
f. 第三者提供の制限 あらかじめ本人の同意を得ずに第三者に個人データを提供してはならない。
g. 保有個人データに関する事項の公表等 以下の事項を公開(本人の求めに応じて遅滞なく回答する場合を含む。)しなけれなばらない。
(1) 個人情報取扱事業者の氏名または名称
(2) すべての保有個人データの利用目的
(3) 開示,訂正等,利用停止等の求めに応じる手続き(手数料が必要な場合,手数料の額を含む)
h. 開示 事業者の保有する個人データに関し,本人からの求めがあった場合には,その開示を行わなければならない。
i. 訂正等 事業者が保有する個人データの内容が事実でないという理由で本人から個人データの訂正や削除を求められた場合,遅滞なく応じなければならない。
j. 利用停止等 ①利用目的による制限,②適正な取得,③第三者提供の制限のいずれかに違反しているという理由で本人から個人データの利用停止や削除を求められた場合,原則として遅滞なく応じなければならない。
k. 苦情の処理 個人情報の取扱いに関する苦情を,適切かつ迅速に処理しなければならない。
そのために,苦情受付窓口の設置,苦情処理手順の策定等の必要な体制を整備しなければならない。
(2) 個人情報保護等に関する審査・認定の制度

個人情報保護等に関する審査・認定の制度として,以下のようなものがある。

• プライバシーマーク制度
[プライバシーマーク(Pマーク)] 個人情報保護に関する日本国内での審査・認定の制度。
一般財団法人日本情報経済社会推進協会(JIPDEC)(旧(財)日本情報処理開発協会)が実施している。
審査基準はJIS Q15001(個人情報保護マネジメントシステム-要求事項)を用いる。
認証マークは“プライバシーマーク(Pマーク)”である。
• TRUSTeプログラム
[TRUSTeマーク 1] [TRUSTeマーク 2] ウェブサイト上での個人情報保護に関する国際的な審査・認定の制度のひとつ。
米国NPOのTRUSTeが認定した審査機関が実施している。
審査基準はTRUSTeが独自に策定したものを用いる。
認証マークは“TRUSTeマーク”である。
• プライバシーシールプログラム(BBB OnLine プライバシーシールプログラム)
[BBB OnLine プライバシーシール] 過去のウェブサイト上での個人情報保護に関する国際的な審査・認定の制度のひとつ。
現在は,TRUSTeプログラムに統合された。
米国BBB(Better Business Bureau)社が実施し,JIPDECの“プライバシーマーク(Pマーク)”との相互承認が行われていた。
認証マークは“BBB OnLine プライバシーシール”であった。

一方,以下はインターネット通販ホームページに関する審査・認定の制度である。

• Online Shopping Trustマーク制度(オンラインマーク制度)
[Online Shopping Trustマーク(オンライン)] インターネット通販ホームページの国内での審査・認定の制度。
(社)日本通信販売協会が実施している。
審査項目は以下の3点である。
認証マークは“Online Shopping Trustマーク(オンラインマーク)”である。
(3) JIS Q15001(個人情報保護マネジメントシステム-要求事項)

JIS Q15001とは,個人情報保護マネジメントシステムに関する日本工業規格。

ISO15001とは無関係であるが,ISO9001,ISO14001,ISO/IEC27001などと適合するように策定されている。

JIS Q15001では,各事業者の個人情報保護に関する理念や取組みを記載した文書である「個人情報保護方針」の作成と公開が要求されており,他のマネジメントシステム(ISO9001,ISO14001,ISO/IEC27001など)同様にPDCAサイクルの運用が要求されている。

プライバシーマーク制度での,審査基準としてJIS Q15001が用いられている。

1.2 各種基準

(1) コンピュータウイルス対策基準

コンピュータウイルス対策基準とは,コンピュータウイルスに対する予防,発見,駆除,復旧等について実効性の高い対策をとりまとめたもの。

本基準における,コンピュータウイルス(ウイルス)とは,第三者のプログラムやデータべースに対して意図的に何らかの被害を及ぼすように作られたプログラムであり,次の機能を一つ以上有するもの。

  1. 自己伝染機能:自らの機能によって他のプログラムに自らをコピーし又はシステム機能を利用して自らを他のシステムにコピーすることにより,他のシステムに伝染する機能
  2. 潜伏機能:発病するための特定時刻,一定時間,処理回数等の条件を記憶させて,発病するまで症状を出さない機能
  3. 発病機能:プログラム,データ等のファイルの破壊を行ったり,設計者の意図しない動作をする等の機能

コンピュータウイルス対策基準は,以下の5つの基準から構成される。

基準 内容
1. システムユーザ基準(18項目) システムユーザ(システムを利用する者)のための対策をまとめたもの。
以下の4事項からなる。
①ソフトウェア管理(2項目),②運用管理(12項目),③事後対応(3項目),④監査(1項目)
2. システム管理者基準(31項目) システム管理者(システムを導入,維持及び管理する者)のための対策についてまとめたもの。
以下の6事項からなる。
①コンピュータ管理(8項目),②ネットワーク管理(5項目),③運用管理(9項目),④事後対応(6項目),⑤教育・啓蒙(2項目),⑥監査(1項目)
3. ソフトウェア供給者基準(21項目) ソフトウェア供給者(ソフトウェアの開発並びにソフトウェア製品の開発,製造及び出荷を行う者)のための対策をまとめたもの。
以下の5事項からなる。
①開発管理(9項目),②製品管理(3項目),③事後対応(7項目),④教育・啓蒙(1項目),⑤監査(1項目)
4. ネットワーク事業者基準(15項目) ネットワーク事業者(パソコン通信等のネットワークを介して情報を提供する事業者)のための対策をまとめたもの。
以下の5事項からなる。
①システム管理(2項目),②運用管理(4項目),③事後対応(6項目),④教育・啓蒙(2項目),⑤監査(1項目)
5. システムサービス事業者基準(19項目) システムサービス事業者(システムの管理,保守,レンタル等のサービスを行う事業者)のための対策をまとめたもの。
以下の5事項からなる。
①システム管理(5項目),②運用管理(6項目),③事後対応(6項目),④教育・啓蒙(1項目),⑤監査(1項目)
(2) コンピュータ不正アクセス対策基準

コンピュータ不正アクセス対策基準は,コンピュータ不正アクセスによる被害の予防,発見及び復旧並びに拡大及び再発防止について,企業等の組織及び個人が実行すべき対策をとりまとめたもの。

本基準における,コンピュータ不正アクセスとは,システムを利用する者が,その者に与えられた権限によって許された行為以外の行為をネットワークを介して意図的に行うこと。

コンピュータ不正アクセス対策基準は,以下の4つの基準から構成される。

基準 内容
1. システムユーザ基準 システムユーザ(システムを利用する者)が実施すべき対策についてまとめたもの。
以下の6事項からなる。
①パスワード及びID管理(9項目),②情報管理(7項目),③コンピュータ管理(6項目),④事後対応(2項目),⑤教育及び情報収集(2項目),⑥監査(1項目)
2. システム管理者基準 システム管理者(システムユーザの管理並びにシステム及びその構成要素の導入,維持,保守等の管理を行う者)が実施すべき対策についてまとめたもの。
以下の8事項からなる。
①管理体制の整備(7項目),②システムユーザ管理(10項目),③情報管理(8項目),④設備管理(18項目),⑤履歴管理(4項目),⑥事後対応(6項目),⑦情報収集及び教育(4項目),⑧監査(1項目)
3. ネットワークサービス事業者基準 ネットワークサービス事業者(ネットワークを利用して,情報サービス及びネットワーク接続サービスを提供する事業者)が実施すべき対策についてまとめたもの。
以下の7事項からなる。
①管理体制の整備(2項目),②ネットワークサービスユーザ管理(7項目),③情報管理(3項目),④設備管理(5項目),⑤事後対応(6項目),⑥情報収集及び教育(3項目),⑦監査(1項目)
4. ハードウェア・ソフトウェア供給者基準 ハードウェア・ソフトウェア供給者(ハードウェア及びソフトウェア製品の開発,製造,販売等を行う者)が実施すべき対策についてまとめたもの。
以下の7事項からなる。
①管理体制の整備(2項目),②設備管理(2項目),③開発管理(7項目),④販売管理(4項目),⑤事後対応(6項目),⑥情報収集及び教育(2項目),⑦監査(1項目)
(3) システム管理基準

システム管理基準は,組織体が主体的に経営戦略に沿って効果的な情報システム戦略を立案し,その戦略に基づき情報システムの企画・開発・運用・保守というライフサイクルの中で,効果的な情報システム投資のための,またリスクを低減するためのコントロールを適切に整備・運用するための実践規範である。

システム管理基準は,以下の287項目からなる。

分野 内容
I. 情報戦略(47項目) 以下の6事項からなる。
1. 全体最適化(18項目),2. 組織体制(9項目),3. 情報化投資(6項目),4. 情報資産管理の方針(4項目),5. 事業継続計画(5項目),6. コンプライアンス(5項目)
II. 企画業務(23項目) 以下の3事項からなる。
1. 開発計画(9項目),2. 分析(8項目),3. 調達(6項目)
III. 開発業務(49項目) 以下の6事項からなる。
1. 開発手順(4項目),2. システム設計(15項目),3. プログラム設計(5項目),4. プログラミング(4項目),5. システムテスト・ユーザ受入れテスト(13項目),6. 移行(8項目)
IV. 運用業務(73項目) 以下の10事項からなる。
1. 運用管理ルール(4項目),2. 運用管理(16項目),3. 入力管理(5項目),4. データ管理(10項目),5. 出力管理(7項目),6. ソフトウェア管理(9項目),7. ハードウェア管理(6項目),8. ネットワーク管理(6項目),9. 構成管理(6項目),10. 建物・関連設備管理(6項目)
V. 保守業務(19項目) 以下の6事項からなる。
1. 保守手順(3項目),2. 保守計画(3項目),3. 保守の実施(3項目),4. 保守の確認(5項目),5. 移行(3項目),6. 情報システムの廃棄(2項目)
VI. 共通業務(76項目) 以下の7事項からなる。
1. ドキュメント管理(9項目),2. 進捗管理(6項目),3. 品質管理(4項目),4. 人的資源管理(13項目),5. 委託・受託(25項目),6. 変更管理(6項目),7. 災害対策(13管理)
(4) ソフトウェア管理ガイドライン

ソフトウェア管理ガイドラインとは,ソフトウェアの違法複製等を防止するため,法人,団体等を対象として,ソフトウェアを使用するに当たって実行されるべき事項をとりまとめたもの。

ソフトウェア管理ガイドラインは,以下の3つの事項から構成される。

事項 内容
(1) 法人等が実施すべき基本的事項(4項目) 法人等が,自己の組織内においてソフトウェアの違法複製等が行われることを防止するために行うべき最も基本的な事項についてまとめたもの。
(2) ソフトウェア管理責任者が実施すべき事項(3項目) 法人等におけるソフトウェアの使用等について責任を負う者(以下「ソフトウェア管理責任者」という。)が行うべき事項についてまとめたもの。
(3) ソフトウェアユーザが実施すべき事項(2項目) 法人等の事業所においてソフトウェアを使用する法人等の構成員(以下「ソフトウェアユーザ」という。)が行うべき事項についてまとめたもの。

1.3 情報倫理

• プロバイダ責任法(特定電気通信役務提供者の損害賠償責任の制限及び発信者情報開示に関する法律)
Webサイトの掲示板に個人のプライバシを侵害する書込みがあった場合などの事例に対し,プロバイダや掲示板の運営者の責任範囲を定めた法律。
• e-文書法(民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律)
商法や税法などで保管が義務づけられている文書について,電子化された文書ファイルでの保存を可能とする法律。
元から電子データとして作成された文書だけでなく,紙文書をスキャンして画像データも一定の要件を満たせば正規の文書として認められる。
損益計算書や貸借対照表など,企業決算にかかわる一部の重要書類は法の対象から外されているため,引き続き紙文書としての保管が義務づけられている。
• 電子署名法(電子署名および認証業務に関する法律)
電子署名とその認証に関する規約を定め,電子署名が手書き署名や押印と同様に通用する法的基盤を整備し,情報流通の促進を目的とした法律。

2. コーポレートガバナンス(企業統治)

コーポレートガバナンスとは,企業統治と訳され,企業が健全に経営されるための意思決定と監視の仕組みのこと。

以下のの2点を目的とする。

  1. 企業不祥事の発生の防止
  2. 企業の収益力の強化

会計,監査,コーポレートガバナンスの改革を目的として,米国で2002年 7月にSOX法(サーベンス・オクスリー法)が,日本で2006年 6月に金融商品取引法が制定された。

3. 行政機関への情報開示請求

行政機関が作成した文書について,誰でも開示請求を行えることを理解する。

用語例:情報公開法


小分類8 「標準化関連」

1. 標準化団体

• ISO(International Organization for Standardization,イソ,アイソ:国際標準化機構)
工業及び技術に関する規格統一や標準化を行う国際機関。
• IEC(International Electrotechnical Commission,アイイーシー:国際電気標準会議)
電気工学,電子工学,および関連した技術を扱う国際的な標準化団体。
標準の一部はISO(国際標準化機構)と共同で開発されている。
• ITU-T(International Telecommunication Union - Telecommunication Standardization Sector,アイティユー・ティ:国際電気通信連合 電気通信標準化部門)
ITU(国際電気通信連合)の下部組織で,電気通信の標準化をおこなっている機関。
ITU-T以外のITU下部組織としては,無線通信の標準化を行うITU-R(Radiocommunications Sector:無線通信部門),通信技術開発をを行うITU-D(Telecommunication Development Sector:電気通信開発部門)ある。
• W3C(World Wide Web Consortium,ダブリュスリーシー,ダブリュさんシー)
Webに関する技術の標準化を行い,HTMLやXHTML,XML,CSSなどの規格をとりまとめている団体。
• IETF(The Internet Engineering Task Force,アイイーティエフ:インターネット技術タスクフォース)
TCP/IPなどのインターネット上の標準を定める組織。
RFC(Request for Comments,アールエフシー)という一連の文書を発行している。
• IEEE(Institute of Electrical and Electronics Engineers,アイトリプルイー:米国電気電子学会)
アメリカに本部をもつ電気工学と電子工学に関する学会である。
LAN,その他のインタフェース規格の制定に尽力している。
• ANSI(American National Standards Institute,アンシ,アンジ:米国規格協会)
アメリカ国内の工業分野の規格を策定する民間の標準化団体であり,アメリカの代表としてISOに参加している。
• BSI(British Standards Institution,ビーエスアイ:英国規格協会)
英国国内の幅広い産業分野に対する国家規格である英国規格(BS:British Standards)を策定する民間の標準化団体。
• 日本工業標準調査会(JISC:Japanese Industrial Standards Committee)
工業標準化法に基づき経済産業省に設置される審議会。
日本国内の鉱工業品に関する国家規格であるJIS(Japanese Industrial Standards,ジス:日本工業規格)原案を調査審議し,主務大臣(経済産業大臣,国土交通大臣,厚生労働大臣,農林水産大臣,文部科学大臣,総務大臣,環境大臣の7大臣)への答申を行う。
なお,JISは主務大臣により制定される。

2. 各種規格

(1) ISO9000シリーズ

ISO9000シリーズは,ISO(国際標準化機構)が策定した,品質マネジメントシステムに関する国際規格群の総称。

品質保証を通じて顧客満足の向上や顧客の安心・安全に対する信頼を高めること,また継続的な改善の実現を目的とする。

ISO9001(JIS Q9001)として,品質マネジメントシステムの満たすべき必須事項が定められている。

(2) ISO14000シリーズ

ISO14000シリーズは,ISO(国際標準化機構)が策定した,環境マネジメントシステムに関する国際規格群の総称。

組織が環境保全上の目標と共に経済的目標をも達成することを助けることを目的とする。

ISO14001(JIS Q14001)として,環境マネジメントシステムの満たすべき必須事項が定められている。

(3) ISO/IEC27000シリーズ

ISO/IEC27000シリーズは,ISO(国際標準化機構)とIEC(国際電気標準会議)が共同で策定した,情報セキュリティ管理に関する国際規格群の総称。

ISMS(Intormation Security Management System:情報セキュリティ管理システム)の要求仕様,および,情報セキュリティ管理の実践のための規範などからなる。

ISO/IEC27001(JIS Q27001)として,ISMS(情報セキュリティ管理システム)の満たすべき必須事項が定められている。

ISO/IEC27002(JIS Q27002)として,情報セキュリティマネジメントの実践のための規範を示しており,ベストプラクティスとしてさまざまな管理策が記載されている。

• BS7799(British Standard 7799)
BSI(英国規格協会)が策定した,情報セキュリティの管理に関する規格。
最初は1995年に策定された,BS7799:1995という1つの規格である。
国際標準化の目指し1998年に,Part 1(BS7799-1:1998)の情報セキュリティ管理実施基準と,Part 2(BS7799-2:1998)の情報セキュリティ管理システム仕様の2部構成となった。
BS7799-1:1998がISO/IEC17799:2000という国際規格になった後,2005年にISO/IEC17799:2005に改正され,さらに,2007年にISO/IEC27002:2005と名称変更となった。
BS7799-2:1998はBS7799-2:2002と改正された後にISO/IEC27001:2005という国際規格となった。
• ISMS(Information Security Management System)適合性評価制度
JIS Q27001:2006(ISO/IEC27001:2005に対応)策定以前は,(財)日本情報処理開発協会(現一般財団法人日本経済社会推進協会(JIPDEC))がBS7799-2:2002をベースとして制定したISMS認証基準をもとに適合性評価が行われていた。
2002年4月制定のISMS認証基準(Ver.1.0)と2003年4月に制定されたISMS認証基準(Ver.2.0)がある。

(4) その他

• JIS Q15001
個人情報保護マネジメントシステムに関する日本工業規格。
ISO15001とは無関係であるが,ISO9001,ISO14001,ISO/IEC27001などと適合するように策定されている。
• IEEE802.3
IEEE(米国電気電子学会)が策定した,有線LANに関する規格。
Ethernet(イーサネット)と呼ばれる。
• IEEE802.11
IEEE(米国電気電子学会)が策定した,無線LANに関する規格。

3. ISO9001:2008認証

ISO(国際標準化機構)によって,2008年に改訂された,品質マネジメントに関する要求事項を規定する国際規格。

この規格は,次の二つの事項に該当する組織に対して,品質マネジメントシステムに関する要求事項について規定する。

  1. 顧客要求事項及び適用される法令・規制要求事項を満たした製品を一貫して提供する能力を持つことを実証する必要がある場合
  2. 品質マネジメントシステムの継続的改善のプロセスを含むシステムの効果的な適用,並びに顧客要求事項及び適用される法令・規制要求事項への適合の保証を通して,顧客満足の向上を目指す場合

概要は以下の通り。

ISO9001:2008は,ISO9001:2000(2000年に改訂)の小規模な修正(要求事項の明確化,曖昧さの除去,ISO14001との整合性の向上)である。

なお,ISO9001:2000では,ISO9001:1994からISO9002とISO9003の統合を含む大幅な変更が行われた。

4. ITにおける標準化の例

• JAN(Japanese Article Number)コード
バーコードとして商品に表示されるコード。
JANコードは,国際的な共通商品コードであるEAN(European Article Number)や,アメリカ・カナダの商品コードのUPC(Universal Product Code)とも互換性がある。
JANコードには,13けたの標準バージョンと8けたの短縮バージョンがある。
13けたの標準バージョンの構成:
  1. 国コード(2けた)
  2. メーカコード(5けた,または,7けた)
  3. 商品コード(5けた,または,3けた)
  4. チェックディジット(1けた)
8けたの短縮バージョンの構成:
  1. 国コード(2けた)
  2. メーカコード(4けた)
  3. 商品コード(1けた)
  4. チェックディジット(1けた)
• ISBN(International Standard Book Number,国際標準図書番号)コード
書籍ごとに割り振られる識別番号。
2007年以降に用いられる13けたのISBN-13と2006年まで用いられていた10けたのISBN-10の2種類がある。
ISBN-13の構成:
  1. 接頭記号(3けた,「978」または「979」)
  2. グループ記号(出版された国,地域,言語圏を表す)(1~5けた)
  3. 出版社記号(けた数可変)
  4. 書名記号(けた数可変)
  5. チェックディジット(1けた)
ISBN-10の構成:
  1. グループ記号(出版された国,地域,言語圏を表す)(1~5けた)
  2. 出版社記号(けた数可変)
  3. 書名記号(けた数可変)
  4. チェックディジット(1けた)
ISBN-13は標準バージョンのJAN/EAN/UPCコードと互換性がある。
• 2次元コード
縦横の2方向の面として情報をもつため,小さな領域に多くの情報を詰め込むことができ,読取り時に一部が読めなくても正しく読み出せるようなエラー訂正機能をもつコード。
代表例はQRコード。
• QRコード
2次元コードの一種で,小さな領域に多くの情報を詰め込むことができ,読取り時に一部が読めなくても正しく読み出せるようなエラー訂正機能をもつ。
数字・英字に加えて,かなや漢字の情報も記録できる。
3個の位置検出要素パターン(切り出しシンボル)により,読取り方向を自動的に認識し,360°全方向からの読み取りが可能。
マス目状に縦横に並んだ「モジュール」と呼ばれるセル状の単位で構成される(バーコードを積み重ねたスタック型バーコードではない)。
• EPC(Electronic Product Code)コード
ICタグでの利用を目的に開発されたコードで,非接触型の商品管理に用いることができる。
• 全銀協コード
正式名称は,統一金融機関コード。
全国銀行協会連合会(全銀協)が策定した,金融機関に付与された4けたの数字のコード。
• EDI(Electronic Data Interchange:電子データ交換)
商取引に関する情報を標準的な書式で統一して,企業間で電子的に交換するために必要な規約をまとめたもの
• Unicode
ISO(国際標準化機構)が策定した,各国の文字を一つの体系で表現する統一文字コード。
• 改行コード:OSにより異なる。
Windows系:CR+LF
MacOS系:CR
UNIX系:LF
• 文字コード:OSにより異なる。
JIS漢字コード,ShiftJIS漢字コード,EUC-JP漢字コードなどがある。

その他

• 監査
独立した立場の第三者が,企業活動について点検・評価を行い,事業者の長に対して助言・勧告をするとともにフォローアップを行うことである。
• リスク管理(リスクマネジメント)
リスクを分析し,経済的に許容できる範囲でリスクの影響を最小限に抑えるように管理すること。
• ステークスホルダ
株主や顧客・従業員・取引相手のような,企業と利害関係で結びついている相手のことである。

すぎうら しげき <>