第 3 章 ASP・SaaS 導入から利用までの実施事項
3.3 ASP・SaaS 利用プロセスにおいて検討すべき事項
3.3.1 サービスの導入企画
(1) 対象業務の検討サービスの導入の企画にあたっては、まずは電子化を検討している業務において ASP・SaaSを利用すべきか、また対象業務に対して適切なサービスが提供されている かを検討する必要がある。
本書「付録1 地方公共団体の業務別に利用可能なASP・SaaS」においては、現時 点において地方公共団体向けに提供されているASP・SaaSを例示しているが、ここで 挙げられている業務以外の分野のサービスについても、今後提供されていくことが期 待される。
(2) 利用サービスの検討
利用サービスの検討においては、まず電子化を検討している業務に必要な機能が既 存のASP・SaaSにより提供されているかを確認した上で、既存のASP・SaaSが提供 する機能に業務プロセスを合わせることの可否を検討する。ASP・SaaS導入を機に基 本的にカスタマイズをせず業務プロセスの見直しを行うことが費用削減に向けた鍵と なるが、機能不足などの理由によりどうしても業務プロセスを合わせることができな い場合、カスタマイズの可否や従来の業務プロセスにより合致した他のサービスの存 否を調査・検討することとなる。
ASP・SaaS事業者が提供している基本的なサービスメニューをそのまま利用せず、
ローカルルールの存続など従前の業務の態様に合わせたカスタマイズを多岐にわたっ て行うと結果的に利用料金が高額になり、ASP・SaaS導入による本来の費用削減効果 を損なうおそれがあることに十分留意することが必要である。
このように、ASP・SaaSの導入にあたっては、業務プロセスの見直しなどの業務改 善を行うとともに必要最小限のカスタマイズでサービスを導入できるよう、システム 担当部門と業務担当部門との間で事前に十分な調整を行うことが必要となる。
(3) 予算の設定
ASP・SaaSのサービスは、従来のシステム構築の際の委託契約や請負契約とは異な り、サービスの利用に応じて料金が課金される契約形態になる。
したがって、ASP・SaaSの利用料金については、従来のシステム構築のように特定 の年度に多額の予算を計上するものではなく、また、リース契約やレンタル契約のよ うに各年度に定額の予算を計上するものでもなく、通信費などと同様にASP・SaaSを 利用した分だけ計上する予算項目として取り扱うことが必要となる。
このため、ASP・SaaSを導入する際に経費をどのように予算計上するのか財政部門 と事前に調整しておく必要がある。予算化についての詳細は「6.4 ASP・SaaS導入 の予算化」に記述している。
3.3.2 サービスの調達
8 (1) 調達仕様書の提示ASP・SaaSの調達にあたり、まずは地方公共団体から要求される機能やサービスの 品質などを調達仕様書として提示することとなる。調達仕様書の提示にあたっては、
業務の遂行に求められるサービスの品質を確認することが必要であり、不必要に高い サービス品質を要求するとその分利用料金に反映されることに留意する必要がある。
例えば、窓口業務を支援するASP・SaaSを調達する場合、窓口業務への影響を考慮 した上で最大何時間のサービスの停止が許容されるかを想定し、調達仕様書が求める 稼動率を設定することとなる。また、サービス利用時間については、即時性の確保が 求められる業務と処理時間に許容範囲がある業務があることを踏まえた検討を行った 上で調達仕様書の内容を決定する必要がある。
(2) サービス仕様・SLAの評価
調達仕様書に応じてASP・SaaS事業者から提示されるサービス仕様やサービスレ ベルを評価する。
サービス仕様はASP・SaaSのサービスの具体的な内容を定義したものであり、具体 的に提供されるシステムや機能、運用にあたっての作業などが記載されたものである。
サービスの選択にあたっては、サービス仕様が調達仕様書に示した要件を満たしてい
8 本節におけるASP・SaaSの調達プロセスは、地方公共団体において想定される一般的な調
達プロセスにもとづいて記述しているものであり、調達に緊急を要する場合などにおいて、必 ずしも本節に記述されるプロセスに従って調達が行われるとは限らない点に留意が必要であ る。
るかを確認するとともに、提案内容に調達仕様書に記載されていない優れたサービス や提案が含まれている場合の取扱いについて検討しておく必要がある。
サービスレベルの評価についての考え方やSLAの記載項目の例については本書「第 4章 ASP・SaaSにおけるSLA」に記載している。
(3) ASP・SaaS事業者の安全・信頼性の評価
地方公共団体がASP・SaaS事業者を評価選定するにあたり、参考とすべき既存の指 針(報告書)などとして以下のものがある。
「公共ITにおけるアウトソーシングに関するガイドライン」(総務省)
「ASP・SaaSの安全・信頼性に係る情報開示指針」(総務省)
「ASP・SaaSの安全・信頼性に係る情報開示認定制度」(財団法人マルチメディア 振興センター)
「ASP・SaaSにおける情報セキュリティ対策ガイドライン」(総務省)
「総合行政ネットワークASPガイドライン(3.5版)」(総合行政ネットワーク運営 協議会)
「SaaS向けSLAガイドライン」(経済産業省)
「データセンターの安全・信頼性に係る情報開示指針」(総務省)
ASP・SaaS事業者の安全・信頼性の評価にあたり、特に重要となるのは「ASP・
SaaSの安全・信頼性に係る情報開示指針」であり、同指針は、「公共ITにおけるアウ トソーシングに関するガイドライン」や「ASP・SaaSにおける情報セキュリティ対策 ガイドライン」をもとに、ASP・SaaS事業者の安全・信頼性に係る情報開示項目を網 羅的に示したものである。本指針に適合しているサービスは、(財)マルチメディア振 興センターが「ASP・SaaSの安全・信頼性に係る情報開示認定制度」の下で認定を行 い、認定を受けたサービスのリストが同センターのウェブサイトにて公開されている。
また、ASP・SaaSを導入する場合、処理されるデータは庁舎外のASP・SaaS事業 者のシステムの管理下に置かれることとなるため、住民情報をはじめとする個人情報 や機密性の高い行政情報の取扱いについては、各地方公共団体において定められてい る条例や個人情報保護審議会などとの関係、情報セキュリティポリシー、行政情報の 取扱規則などを事前に確認し、その規定に照らして導入が可能なサービスを選定する 必要がある。なお、データの庁舎外保存(処理)の安全・信頼性については、「データ センターの安全・信頼性に係る情報開示指針」にもとづく情報開示の内容からも評価 を行うことができる。
なお、ASP・SaaS事業者の情報セキュリティ対策の運用状況を確認するためには、
第三者からの証明を受けた公的資格(プライバシーマーク9やISMS10など)の取得の 有無を確認することも有用である。
(4) 契約の締結
本章の検討の中心であるレディメイド型のASP・SaaSは、利用申込書をASP・
SaaS事業者に提出することによりサービス利用契約が成立するのが一般的である。
他方、地方公共団体におけるASP・SaaS の導入にあたっては、業務の特性にてらし てASP・SaaS 事業者との協議や調整が必要となることも考えられる。地方公共団体 がASP・SaaSを導入する場合の契約における留意点や考え方については本書「第6章 ASP・SaaS利用に関する契約の進め方」、また、実際の契約書のサンプルについては
「第7章 ASP・SaaSにおける契約書(サンプル)」にそれぞれ記述している。
なお、ASP・SaaSの中には単一の事業者が単独でサービスを提供するもののほか、
複数の事業者のサービスを組み合せて一つのサービスとして提供するものもある。ま た、ASP・SaaSの利用にあたっては、ASP・SaaS事業者の他にもネットワーク事業 者やデータセンター事業者といった様々な者が関係してくる。例えば、サービスに障 害が発生した際の責任の所在などを明らかにするためには、契約の相手方である ASP・SaaS事業者の責任範囲や関係各者との責任分界などについて、事前に十分に確 認しておく必要がある。
3.3.3 サービスの利用
ASP・SaaSの導入後は、利用者である地方公共団体において、サービスの品質を維 持・管理するためにPDCAサイクルなどのマネジメントサイクルを実施していくこと が重要となる。その具体的なプロセスやドキュメント、組織体制などについては本書
「第5章 ASP・SaaSにおけるSLM」に記述している。
3.3.4 サービスの変更・中止
ASP・SaaSのサービスの利用開始後、他のASP・SaaS事業者がより良い条件のサ ービスを提供している、地方公共団体の情報システムの大規模な更新が行われる、な どの理由により、サービスを変更したり、利用を中止したりすることもありうる。特 にサービスを変更する場合においては、行政サービスへの影響を最小限に止めるべく、
地方公共団体とASP・SaaS事業者の双方が次のサービスへの円滑な移行のための措
9 プライバシーマーク:日本工業規格「JIS Q 15001個人情報保護マネジメントシステム―
要求事項」に適合して、個人情報について適切な保護措置を講ずる体制を整備している事業者 などを認定する制度。
10 ISMS:組織としての情報セキュリティマネジメントを確立するために、企業における技術
的なセキュリティ対策と組織全体のマネジメントの両面からの取り組みを評価・認証する制度。