このところ、ソフトウェア資産管理(以下、SAM − Software Asset Management)に注目が集まっています。これは、ソフトウェア利用者を取り巻くさまざまな法整備(著作権法の改定、個人情報保護法、公益通報者保護法など)や、国際基準の新制度(ISO/IEC19770-1)の導入など、法制化が進んだことが最大の要因と考えられます。いまや国際的にSAMが要求される時代となっています。このコーナーでは、複雑で管理を始めると煩雑になってしまうSAMについてご紹介します。皆さまの企業・組織でのソフトウェア資産管理にお役立てください。
ソフトウェア資産管理(SAM)とは?
SAMは、ソフトウェアだけを管理するものではありません。SAMのプロセスを定義している「ISO/IEC 19770-1」によると、SAMが適用される資産とは「適用範囲内のソフトウェアを使用または管理する必要があるという特性を持つ、そのほかすべての資産である」とあります。SAMの管理対象にはソフトウェアだけでなく、ハードウェア資産も含めることが必須といえます。使っているソフトウェアとそのライセンスだけの管理ではなく、ソフトウェアの稼働環境であるハードウェアからきちんと把握していくことが本来のSAMの考え方です。SAMは、ライセンスコンプライアンスに加え、情報セキュリティの維持・向上・IT投資の最適化を目的とするもので、ライセンス管理よりも広範とされています。
IT資産管理とソフトウェア資産管理の関係
SAMが運用できている状態とは?
- ライセンスの導入時に使用許諾条件を確認している
- どのコンピュータもしくは誰が使用するのかが明確になっている
- 上記1と2を台帳に記録している
- 利用先のコンピュータや利用者に変更があった場合には台帳を修正している
ISO / IEC 19770-1 SAMプロセスの概要
SAMの組織的な管理プロセス |
---|
|
中枢SAMプロセス |
---|
|
SAMの1次プロセス・インターフェース |
---|
|
なぜ、SAMが必要なのか
2006年5月にSAMがISO化されて以降、ソフトウェア利用における企業を取り巻く環境は、大きく変化しました。個人情報保護法などの法制度の施行で、プライバシーマークや、ISMS(ISO/IEC27000)が制定されるなど、コンプライアンス強化の要求は急速に高まり、今後ますます加速していくと予測されています。そのため、企業には、違反を予防するための体制構築と、説明責任が求められています。著作権にかかわるコンプライアンス違反についての報道を目にすることがあると思いますが、そういった問題を起こさないために、ソフトウェア資産を適切に管理し、法的問題を生じさせない対策を行うことが、今後ますます重要となってきます。SAMを導入し、ソフトウェア資産管理の運用・改善を行うことは、Winnyに代表されるファイル共有ソフトウェアなどの不正なソフトウェア利用によるセキュリティ事故の抑止となり、法的リスクへの有効な対策であることも、SAMの重要度が高まっている要因といえます。
また、ライセンスコンプライアンスへの対応をしていても、管理対象が有償のソフトウェアのみであることが多く、フリーウェアなどの無償ソフトウェアを管理対象から除外されていることがあります。しかし、実際にはフリーウェアであっても、著作権法の対象となるものもあり、有償のソフトウェアの管理だけでは、ライセンスコンプライアンスの目的が十分に果たされません。
そういったことからも、ソフトウェア資産管理(SAM)を構築し運用することで、より効果的で効率のよい管理を行うことが重要となっています。
SAMを実施していない場合のリスク
企業・組織においてSAMが適切に行われていない状況では、ソフトウェアの不正コピーが行われるなどのライセンス違反が発生している可能性があります。また、必要なライセンス数を把握できていないために、不要なライセンスを購入してしまうなど、余計なコストがかかるなどのリスクを抱えたり、再利用可能なライセンスを破棄してしまうこともあります。さらに、適切なセキュリティパッチの適用が難しくなる、セキュリティ上問題のあるソフトウェアが使用されるなど、情報セキュリティ上の問題も起こります。それにより、企業の信用失墜といった事態にもなりかねません。
企業・組織が抱えるリスク
民事で訴えられた場合のリスク
- 使用差止請求による業務の沈滞(著作権法第112条:差止請求権)
- 損害賠償請求による賠償金の支払(民法第709条:損害賠償請求権)
刑事で訴えられた場合のリスク(2007年7月1日施行)
- 著作権侵害は、10年以下の懲役、又は1,000万円以下の罰金、もしくはこれらの併科(著作権法第119条)
- 法人の業務内で起こった著作権侵害は当該法人に対して、3億円以下の罰金(著作権法第124条:両罰規定)