ITパスポート 令和3年度 問77：システム監査に関する問題

答えは d「A」 です。

PDCAは「やることをグルグル回して良くしていく」考え方で、P→D→C→Aの順です。それぞれ計画する→やってみる→点検する→直す、という流れ。

問題は「点検した結果を受けて、悪いところを直す」場面ですよね。これは最後の A（直す＝改善） にあたります。

👉 覚え方：「点検したあとに直す＝A（アクション）」。

ほかの選択肢：a P＝計画を立てる／b D＝計画どおりやってみる／c C＝うまくいったか点検する。問題は「直す」段階なので d。

なぜこれが正解か

正解は d（A：Act）。PDCAサイクルは Plan（計画）→ Do（運用）→ Check（点検・監視）→ Act（処置・改善）。問題文の「監視の結果を受けて、是正や改善措置を決定する」は、点検結果に基づいて手を打つ段階なので Act に該当する。

各選択肢の解説

• a P（Plan）：ISMSの方針・目標・リスク対応計画を策定する段階。
• b D（Do）：計画した管理策を導入・運用する段階。
• c C（Check）：監査や監視で運用状況を評価・測定する段階（＝結果を「得る」段階）。
• d A（Act）：Checkの結果をもとに是正・改善を決定し実施する段階（正解）。

覚え方・ひっかけ注意

C と A の混同が定番のひっかけ。「監視・測定そのもの＝C」「その結果を受けて直す決定＝A」。問題文に『結果を受けて』『是正・改善』とあれば A と判断する。

理論的背景

PDCA サイクルはデミング（W. Edwards Deming）とシューハート（Walter A. Shewhart）の思想を起源とする継続的改善フレームワーク。製造業の品質管理から出発し、現在は ISO 9001（品質）・ISO 14001（環境）・ISO/IEC 27001（ISMS）など多くのマネジメントシステム規格の共通基盤となっている。

各フェーズの定義（ISMS の文脈）：

| フェーズ | 活動内容 | ISMS での具体例 |

|---|---|---|

| Plan（計画） | 目標・方針・リスク対応計画の策定 | リスクアセスメント実施・管理策の選定・情報セキュリティポリシー策定 |

| Do（実行） | 計画した管理策の導入・運用 | 管理策の実装・教育訓練の実施 |

| Check（点検） | 運用状況の監視・評価・内部監査 | パフォーマンス指標の測定・内部監査・マネジメントレビュー |

| Act（処置） | 評価結果に基づく是正・改善の決定と実施 | 本問の「監視結果を受けて是正・改善措置を決定」 |

本問の活動は「監視の結果を受けて是正・改善措置を決定する」であり、これは Check（点検・評価）の結果を受けて行う Act（処置）に明確に対応する。

注意点：Check と Act の明確な区分

最多誤答パターンは「監視=C なら、その延長で C と答える」という混同だ。PDCA の厳密な定義では：

• Check: 「現状を計測・確認する」= 問題を把握する段階
• Act: 「把握した問題に対して手を打つ決定をする」= 対処する段階

本問の「監視の結果などを受けて是正や改善措置を決定」というフレーズの「受けて」が重要で、「受けて → 対処を決定する」という流れが Act の本質だ。

実務での位置づけ

ISMS の規格（ISO/IEC 27001:2022）は旧来の明示的な PDCA 構造から ISO 共通構造（Annex SL）へと移行したが、概念的な流れは同一だ。是正処置（Corrective Action）の活動では「不適合の再発防止に向けた根本原因（Root Cause）の除去」が求められており、単なる応急対処ではなく根本的な改善が期待される。是正処置要求（CAR: Corrective Action Request）として文書化し、効果を検証する一連のプロセスが内部監査・マネジメントレビューの Follow-up として位置づけられる。

ISMS の運用サイクルとリスクマネジメント（本バッチ batch_06 の eff17dca: リスクアセスメント）は密接に関連し、「リスク特定→分析→評価（P）→管理策実装（D）→有効性測定（C）→是正（A）」という連続的な流れとして理解すると体系化できる。

試験での位置づけ

ITパスポートのマネジメント系・セキュリティマネジメント系で PDCA は安定した頻出テーマで、各フェーズに具体的な活動を割り当てる問題が繰り返し出る。特に本問のように「C と A を取り違えさせる」設問が最も多い。「監視・測定・評価そのもの = C / 評価結果を受けて是正・改善の決定・実施 = A」という明確な区分を言語化して記憶するのが確実な対策。ITIL（IT サービス管理）・ISO 9001（品質管理）・ISO 14001（環境管理）でも同じ PDCA が用いられており、上位資格で横断的に問われる。

選択肢の発展補足

選択肢 a「P（Plan）」 はリスクアセスメントの実施・管理策の選定・情報セキュリティ目標の設定などの「計画立案段階」。「これから何をするかを決める」のが Plan であり、「既に実施した結果を受けて改善措置を決める」のは Plan ではない。

選択肢 b「D（Do）」 は計画した管理策を実際に「導入・実行する」段階。管理策のインストール・教育の実施・手順書の配布などの実行フェーズ。「結果を受けての是正決定」という本問の活動内容とは明らかに異なる。

選択肢 c「C（Check）」 は監視・測定・評価・内部監査・マネジメントレビューを行い「現状を確認する」段階。「監視の結果を受けて」という本問のフレーズで「監視 = C だから C」と誤答するケースが最多。しかし監視そのものは C であっても、「結果を受けての是正・改善措置の決定」は次フェーズの A であることを区別することが決定的に重要だ。