コンプライアンスのための計画

い場合もありうる。また、無料ソフトウェアによっては特別に管理を実施しなくとも、コンプラ イアンス上の問題が発生しないことも考えられる。これは、組織においてどのようなソフトウェ アが利用されているのかについて網羅的に把握した上で管理対象を絞るということであり、初め から管理対象ソフトウェアありきではないことに留意いただきたい。管理対象範囲の決定につい ては、5 章で説明したように、リスクの大きいものから順に対応する「リスクアプローチ」を取 ることが多い。

コンプライアンスの観点からは、既に管理しているソフトウェアから、更により広範囲のソフ トウェアを対象にしていくことが望まれる。管理対象となるソフトウェアを拡大することに従っ て管理負担も増えていくことになるが、ソフトウェアの標準化（7.1.2 ポイント(1)）や利用禁止 ソフトウェアなどを併せて見直すことにより効率的かつ実効的な管理を行うことも望まれる。

ソフトウェアが利用されるハードウェア資産や利用者などについても、漏れなく管理対象とし て定めておく必要があることに留意したい。デバイスに紐付くソフトウェアライセンスの場合は、

ある特定のハードウェア上で当該ソフトウェアが利用されている場合、ハードウェアの所在がソ フトウェア利用状況の確定に必要な情報となるからである。利用者に紐付くソフトウェアライセ ンスについても同様であり、当該ソフトウェアを利用する利用者を漏れなく管理しておく必要が ある。

(2) 正確な情報の確保と可視化におけるポイント

コンプライアンスの観点からは、管理対象として決定されたソフトウェアに関して、そのライ センスの保有状況と使用状況について常に正確な状態を保持し、適時に管理状況を見える状態（見 える化・可視化）にしておくことが望まれる。このことにより、組織がコンプライアンスに対し て説明責任を果たすことが可能となる。このために必要となる施策について、以下に解説する。

① 管理台帳に関する管理手続の整備

正確性の確保に関してはデータベースの基本機能である CRUD（Create：新規作成、Read：

読み出し、Update：更新、Delete：削除）に留意して、各手続きと管理台帳への操作を漏れ無く 行えるよう整備しておきたい。特に「資産の登録」は重要であり、ここが漏れてしまうと保有資 産として認識されないため、適正な管理を行うことができない。「資産の登録」以外にもデータベ ースに操作が加わる管理業務については、その管理手続を確実に整備しておきたい。

表7-1 ライフサイクルにおける管理台帳への操作

新規作成 読み出し 更新 削除

調達時の参照 ○

資産の登録 ○

資産の利用 ○

資産の異動 ○

資産の棚卸 ○ ○ ○

資産の処分 ○

管理対象の拡大により管理対象となるソフトウェア関連資産が増えた場合は、その管理対象に ついての管理が適正に行われなければならないため、管理手続や管理台帳についても必要に応じ て見直すことが望まれる。特に部門で独自に管理する場合には、その手法や管理レベルが疎かに なりがちであるため、SAMを担当する部門が適切に指導に当たることが重要である。

② 棚卸の実施計画

資産管理において、管理手続を整備し、そのとおりに運用したとしても、例外的な取り扱いに よる手続きの漏れや、不正な利用、資産の紛失・盗難などによる滅損などにより、本来はあって はならないことであるが現状と管理台帳上の情報は次第に乖離していく。定期的に棚卸を実施し、

管理台帳上の情報を現物に一致させることにより、乖離している状況をなるべく最低限にするこ とができ、コンプライアンス違反を能動的かつ、速やかに是正することができるようになる。ま た、乖離が起きた原因を調査し、その芽を摘む施策を打つことでSAM の改善にも資することに なる。棚卸が説明責任を果たすことにつながることについても留意しておきたい。棚卸の実施に おけるポイントは「７．３ 棚卸の実施におけるポイント」で解説する。

棚卸の実施間隔は、本質的には管理対象の量や管理台帳に対する統制のレベルによって適正な 期間を設定すべきである。管理手続が整備され運用も適切に回っている場合は乖離が起こりにく いことから実施期間はある程度長くすることが可能であるが、逆の場合は頻繁に棚卸を実施しな ければ管理台帳は実態を示すものではなくなる。

現物と情報の乖離

棚卸し 棚卸し 時間

現物と情報の乖離

棚卸し 棚卸し 時間

現物と情報の乖離

棚卸し 棚卸し 棚卸し 棚卸し 時間

現物と情報の乖離

棚卸し 棚卸し 棚卸し 棚卸し 時間

図7-1 統制レベルによる乖離度合の違い

棚卸についてもリスクアプローチを適用し、ソフトウェアのリスクに応じて棚卸の実施間隔を

変えることによりリソースを最適配分することが可能であり有効である。なお、ISO/IEC 19770-1 で推奨されている棚卸の実施間隔は下表のとおりであり、参考にするとよい。統制のレベルや対 象となるソフトウェアのリスクを考慮しながら、管理対象に対しては確実に棚卸を実施すること が望まれる。

表7-2 棚卸実施間隔の推奨値（ISO/IEC 19770-1を基に作成）

実施間隔 実施対象

インストール済みのソフトウェアとインストール申請手続きなど 証跡との照合

３ヶ月に１回以上

保有ライセンスと使用ライセンスの確認と調整 ハードウェア資産の所在確認

６ヶ月に１回以上

ソフトウェアが記録された媒体の所在確認

ソフトウェアライセンス証書や契約文書の所在確認

（真正性、完全性の確認を含む）

年に１回以上

保有するライセンスの数量の確認

③ ソフトウェアの不正利用に対する統制の見直し

上記でも示したとおり、現状と管理情報が乖離する一因として不正インストールなどによるソ フトウェアの不正利用がある。過失か故意であるかを問わず、ソフトウェアを利用している事実 が管理台帳に反映されない場合は、ソフトウェアライセンスの利用状況が現状と乖離し、やがて ソフトウェアライセンスの違反につながることとなる。

ソフトウェアの不正利用に対する技術的な統制としては、「インストール権限の剥奪」や「外部 記憶デバイス（特に CD-ROMドライブ）を使用不可にする」などの対策が多く見られる。ただ し、業務利用目的などによってはこれらの対策を講じることにより業務効率の低下などを招く場 合もあるため、予防・発見、技術的・人的による統制の組み合わせにより、組織に適した対策を 実装していくとよいだろう。言うまでもなく、技術的なソフトウェアの不正利用に対する予防統 制を取り入れていない場合は、導入ソフトウェアの棚卸し実施間隔を短くし発見統制を強めるこ とも必要であろう。

なお、インストール権限を与えていないから棚卸は不要であるという考え方は、大きな間違い である。インストールが不要なソフトウェアがあることはもちろんのこと、ハードウェアの移動 及び異動の確認、ライセンス関連部材の実在の確認も必要であり、スタンドアロンのように、現 場で管理者権限を持って利用している場合もある。したがって、いかなる場合であっても棚卸と いう行為は必要である。

表7-3 ソフトウェアの不正利用に対する統制例

技術的 人的

予防

・ インストール権限の剥奪

・ CD-ROMドライブの使用禁止設定

・ ファイルサーバへのアクセス制御

・ ソフトウェア利用申請手続き

・ 教育や罰則の設定

発見 ・ インベントリツールによる情報 収集

・ 手作業による導入ソフトウェア情報の 収集

④ 従業員への教育や周知の徹底

従業員によるソフトウェアの不正利用に対しては、コンプライアンス教育を実施することによ る抑止効果が期待できる。著作権の重要性を教育した上で、ソフトウェアの不正利用による法的 な制裁や、組織における罰則を知らしめることにより、不正利用を行う動機は相当に減少すると 考えられる。しかし、利用者たる従業員に教育するだけでは充分ではない。SAMに従事する者、

特にソフトウェアの利用手続に関与する管理者及び担当者に対しては、より強いコンプライアン スと管理手続遵守の意識を植え付けなければ、管理手続は序々にほころび始めるであろう。

ソフトウェアライセンスの体系や条件などについて教育を実施することもライセンス違反を防 止する上で有効であり、SAM に従事する者に対してはもちろんのこと、従業員に対してもソフ トウェアライセンスに関する基本的な知識を身に付けるための教育の実施が望まれる。

教育の実施を計画する上では、従業員とSAM に従事する者とで教育や周知の内容、頻度を変 えることにより、最適なリソースで効果的な統制効果を生み出すことが期待できる。

以上、コンプライアンスのための計画のポイントを解説したが、やみくもにコストをかけて SAMを実施しても、SAMの効果を最大限享受できたとはいいがたい。ソフトウェア関連資産の 管理や調達にかかるコストを合理化し、最低限のコストで最大限の効果を上げることが、経営の ためのツールとしての「SAM」に求められる。コスト削減・合理化のための施策には何があるの か、次項にて解説する。