コンプライアンス基準を満たすテストプロセス：Column

テストによってコンプライアンスの課題に対処する上で重要なポイントは、コンプライアンス要件を理解し、それを厳格に定義・管理されたテストプロセスに適用することだ。本稿では、コンプライアンスに取り組む際の出発点を示す。

[David W. Johnson，TechTarget]

　プロのソフトウェアテスターやQA（品質保証）／テストコンサルタントにも、コンプライアンス（法令順守）という課題に対処するよう求められることが多くなってきた。どんな企業であれ、コンプライアンス基準の導入は組織全体としての機能に大きな変化をもたらすとともに、ソフトウェアのテストに対しても新たな要求を突きつけるものである。

　コンプライアンスの目的については誤解も存在する。コンプライアンスとは基本的に（特に政府の法規制に対するコンプライアンスの場合）、その国で合法的な事業運営を行うのに必要な最低基準を満たすことである。事業運営を行う上での最低基準を標準化することを目的としたガバナンス組織を設立する企業もある。こういった基準は基本的に、法的な限界あるいは責任範囲の最低ラインを設定するために存在する。コンプライアンスの目的は、個々の製品の開発、テスト、実装に価値を付加することではない。特定の基準の制約の中で事業運営を行うことを可能にするのが目的なのである。

　テストという視点から見れば、コンプライアンスはテストプロジェクトに追加コストを発生させる。コンプライアンスは製品に価値を付加するわけではないが、テスト業務のプロセス改善につながる可能性がある。コンプライアンスはテスト担当部門に大きな負担を与える可能性もある。なぜなら、コンプライアンスのためのテストの目的はリスクを減らすことではなく、コンプライアンスを証明することだからだ。そのためには、テスト担当部門がコンプライアンスを証明する記録、言い換えれば監査証跡を作成・維持・管理する必要がある。これは単に、適切なレベルのテストが行われたことを信じられるかどうかという問題ではない（たとえ実際にはそうだとしても）。適切なレベルのテストが行われたことを証明しなければならないのである。テスターに対する信用がコンプライアンスを構成するのではない。監査可能な証拠だけがコンプライアンスを立証できるのである。

　本稿では、コンプライアンスという課題に取り組むに際しての出発点を示したい。以下では例として、社内監査コンプライアンスグループが、現行のテスト手法は「リスクパラメータの許容範囲内に収まる製品の提供を可能にするが、コンプライアンス基準は満たしていない」と判断したというケースを取り上げる。