Chris Faraglia著
デジタル化が進み、ソフトウェア技術が急速に発展する現在の状況では、技術を活用するドメインの多くが規制対象業界に該当します。しかし、技術の導入が進むほど、さらに多くのソフトウェアが必要になり、それに伴って、さらにテストを行う必要があります。この記事では、規制対象業界のソフトウェアテストに固有の性質、課題、検討事項を取り上げます。
「規制対象」業界の定義
規制対象業界
特別なコンプライアンス、規制、政府による要件が課されたソフトウェアを利用する企業、団体、組織。要件のアカウンタビリティおよびトレーサビリティが文書化され、第三者によって監査可能。
多くの業界には個別のガイドラインやドメインによる微妙な違いがありますが、この記事では、包括的なコンプライアンス標準または法令によって統制される業界を「規制対象」業界と呼ぶことにします。
多くの場合、適用される標準によって、どのように標準を要件に織り込むか、また後で検証するかという点で、求められる深さ、アジリティ、全体的なソフトウェア開発ライフサイクル(SDLC)などが異なります。
以下は規制対象業界の例です。
- 医療
- 製造
- 銀行/金融
- エネルギー
- 通信
- 運輸
- 農業
- ライフサイエンス
規制対象業界固有の要件
規制対象の業界でソフトウェア品質/テスト要件を分析する際に遭遇する可能性が高い共通の課題として、次のようなものがあります。
- データプライバシー制限法への対応(HIPAAなど)
- 詳細な監査履歴/詳細なシステムアクションのログ記録
- 災害復旧および全体的なデータ保持(HITRUSTなど)
- トレーサビリティおよび監査への即応性に求められる高い水準
- 行政コンプライアンスおよび/または監督(FDAなど)
テストを計画して実行したり、監査およびトレーサビリティに必須の成果物記録品質を確立したりするうえで、上記のような共通の規制要件が重要です。
テストの検討事項および計画
現在、多くのテスターやテストチームが、シフトレフトなどの考え方のもとに予防的な取り組みを進め、SDLCの早期に関与するようになっています。規制対象業界では、開発およびテストを通じた早期の要件計画の一部として、特別な検討事項を考慮に入れる必要があります。
要件およびトレーサビリティ
- 手動テストと自動テストの両方の結果に対応する一元化されたテストリポジトリが重要です。
- テストと要件は緊密に結び付けられ、文書化されていなければなりません。
- コンプライアンスを確実にするため、プロダクトオーナーやステークホルダーがユーザー受け入れテストやデモに関与するべきです。
- テスト管理プラットフォームはJiraなどの要件管理プラットフォームと完全に統合されているべきです。
要件およびトレーサビリティを定義し、管理するためのプロセスを確立した後は、テスト記録の品質が許容される水準にあることを保証するだけでなく、必要なメンバーだけが記録にアクセスできるようにする必要があります。
特にテスト記録の正確性と信頼性が重要な役割を持つことがある監査においては、このようなアクセス管理が欠かせません。一般的に、このようなアクセス管理のアプローチは、「最小権限」の原則と呼ばれます。
規制対象業界でのテストのヒントと戦略をより詳しく知りたい場合、QAプロセスの合理化にすぐ役立つ35ページ以上の情報をまとめたEブック「Testing in Regulated Industries: A Tactical Guide for QA Managers」 をダウンロードしてください。
テスト記録のアクセス管理
- テスト管理の記録へのアクセスを必要最小限に制限します。
- 現在アクティブなチームメンバーだけがテスト記録にアクセスできるようにします。
- ピアレビューおよび承認の文化を根付かせ、品質とテストの正確さを促進します。
テストケースおよびテストランは、手動で作成されたり、TestRail CLIなどのテスト自動化フレームワークとの統合を利用して作成されたりするため、アクティビティの一貫した監査記録を維持することが重要です。規制対象業界では、監査要件および「抜き取り検査」によって、ある要件に対して作成および実行された任意のテストケースの履歴や完全性の調査が必要となる場合があります。
監査履歴
テストケースの作成と実行に関する履歴データを参照できるようなログを維持することが重要です。これは、要件の検証トレーサビリティに関していつでも監査可能な状態を維持するのに役立ちます。
最後に、チームがソフトウェアの開発、テスト、デリバリーに集中するには、災害復旧および作成された成果物のデータ保持に注意を向ける必要があります。
テスト対象システムの災害復旧と同じよく考え抜かれたプロセスによって、テストおよびリリースの記録品質も、コンプライアンス要件および監査に対応可能な一貫性を持っていなければなりません。復旧機能が組み込まれた一元化されたテスト管理プラットフォームが望ましいですが、さまざまなツールやプロセスによって目的を達成できます。
自己評価および内部監査
反復的にエンジニアリング、テスト、全体的なSDLC改善に取り組むすべてのチームにとって、自己評価に時間を割くことは重要です。
規制対象業界のソフトウェアテストおよび品質に関して、自己評価はプロセスのギャップや不足を発見するための非常に効果的なツールになる可能性があります。
自己評価/監査評価条件
自己評価や監査体制の検証に含めるべき重点領域の例として、以下が挙げられます。
- すべてのテストが対応する要件成果物(Jiraの課題や欠陥など)にリンクされており、完全なトレーサビリティが確保されているかどうか
- 計画され実行されたテストが特定のリリースイベント/品目にリンクされているかどうか
- 特定のリリースまたはスプリントで失敗したテストが欠陥成果物(Jiraの欠陥など)にリンクされているかどうか
自己評価または内部監査を実施したら、具体的に対処可能な情報を収集します。たとえば、要件トレーサビリティの改善策やより詳細な災害復旧関連文書などをまとめ、コアコンプライアンスのベストプラクティスや標準に重点をおいて全体的なSDLCの改善に利用します。
結論
規制対象業界でチームを運営する場合、SDLC全体にわたって検討するべき事項や要件が増えます。これら追加の要件にチームメンバー全員で迅速に取り組むことは、監査やその他の規制評価においてコンプライアンスを確保し、全体的な成功を確実にするうえで重要です。
キーポイント
- トレーサビリティを重視し、確実にテストと要件をリンクします。
- セキュリティとアクセス制御のテストをより重視します。
- バックアップ/データ保持機能を持つ1つのリポジトリにすべてのテスト成果物を集約します。
- 災害復旧の計画を立て、検証します。
規制対象業界におけるテスト方法をより詳しく知りたい場合、TestRailのYouTubeチャネルでウェビナーをご覧ください。TestRailのソリューションアーキテクトであるChris Faragliaが金融、エネルギー、医療などの規制対象業界におけるソフトウェアテスト固有の課題や特性についてご案内しています。
Chris FaragliaはTestRailのソリューションアーキテクトであり、テスト推進活動にも関わっています。Chris は、原子力発電からヘルスケアITまでの幅広いドメインで、15年以上にわたるエンタープライズソフトウェアの開発、統合、テストの経験を持っています。主な専門分野は、規制対象業界におけるテスト管理/品質保証、テストデータ管理、オートメーション統合などです。
(この記事は、開発元Gurock社の Blog 「Software Testing In Regulated Industries」2024年2月5日の翻訳記事です。)
関連する製品
テスト管理ツール TestRail
テストケースの管理やテスト結果の記録、チームでの情報共有など、Excelを使ったテスト管理の業務に限界を感じていませんか?TestRailはシンプルで使いやすいUIを提供し、テストにかかるさまざまな管理コストの削減に貢献します。
■ TestRailの特長 ■
- テストにさまざまな情報を関連づけて一元管理
- Webブラウザー上でテストケースを簡単に入力や編集可能
- テスト実施の準備と結果の共有が容易
- 進捗や比較などのレポートを提供
- 要件 / 課題管理ツールやテスト自動化ツールと連携
日本国内では、テスト管理にExcelを使っていたお客さまからの乗り換えが多く、Web上で完結するテスト管理を実現されています。
TestRail でテスト管理のお悩みを解決しませんか?
