ITパスポート 令和4年度 問40：ITガバナンスに関する問題

答えは c です。

ITガバナンスは、会社のトップ（経営陣）が『うちのITをどう活かして会社を良くするか』を考えて、ちゃんと方向づけ・管理する力のことです。船でいえば船長が舵を取って正しい方向に進ませる役割。

だから『経営陣が組織の価値を高めるために実践する行動・能力』というcが正解です。

👉 覚え方：ガバナンス＝『経営トップがITの舵を取る力』。

ほかの選択肢：a ITサービスの良いやり方集（ITIL）／b 開発作業を標準化したもの／d プロジェクトをうまく進める技術（プロジェクトマネジメント）。どれも“現場のやり方”で、トップの統治ではありません。

なぜこれが正解か

正解は c。ITガバナンスとは、経営陣が組織の価値を高めるために、情報システム戦略の策定・実現を方向づけ統制する組織能力・行動を指す。主語が『経営陣』で、目的が『組織の価値向上』である点がポイント。

各選択肢の解説

• a ITサービスマネジメントのベストプラクティス集＝ITIL（ITガバナンスではなく運用の手引き）。
• b 開発・取引の作業項目を標準化したもの＝共通フレーム（SLCP）の説明。
• d 知識・スキル・ツールをプロジェクトに適用する＝プロジェクトマネジメントの説明。

覚え方・ひっかけ注意

ガバナンス＝『統治』。誰が？→経営陣。何を？→ITを使って組織価値を高める。『現場のやり方（ITIL・共通フレーム・PM）』と『トップによる統治（ガバナンス）』を切り分ければ迷わない。主語が“経営陣／経営層”ならガバナンスを疑う。

理論的背景

ITガバナンスとは「経営陣が組織の価値を高めるために実践する行動であり、情報システム戦略の策定および実現に必要な組織能力」と定義される（正解c）。この定義の核心は「主語が経営陣（取締役・CIO等の上位マネジメント）」であることと、「目的が組織価値の向上に直結した戦略的意思決定」であることにある。

ITガバナンスの国際規格ISO/IEC 38500（2015年）では、「効果的で効率的かつ許容可能なITの使用に関するコーポレートガバナンス（企業統治）の枠組み」として定義し、6つの原則（責任・戦略・取得・パフォーマンス・適合・人間行動）を提示している。行動サイクルはEDMモデル（Evaluate：評価→Direct：方向づけ→Monitor：モニタリング）で表現され、経営陣がITへの投資・リスク・効果を繰り返し評価・監督する仕組みを示している。

コーポレートガバナンス全体の中でITガバナンスは「情報・テクノロジー（I&T）ガバナンス」のサブセットに位置づけられ、IT投資が経営戦略に整合しているか、リスクが許容範囲内に管理されているか、ITが生み出すバリュー（価値）が最大化されているかを経営レベルで継続的に確認するための仕組みである。

実務での使われ方

実務でITガバナンスを実装するための代表的フレームワークがCOBIT（Control Objectives for Information and related Technology）であり、最新版のCOBIT 2019（ISACA）ではガバナンス領域（EDMドメイン）とマネジメント領域（APO・BAI・DSS・MEAドメイン）を明確に分離している。ガバナンス（EDM）は取締役会・CIOが担い、マネジメント（運用・開発・保守）はIT部門が担うという役割分担がCOBITの根幹である。

日本では経済産業省が策定した「システム管理基準」「DX推進指標（デジタルガバナンス・コード）」がITガバナンスの実践指針として機能している。2022年に改訂されたコーポレートガバナンス・コード（東証上場基準）でも「取締役会のITリテラシー向上」「CISo（最高情報セキュリティ責任者）の設置」「サイバーセキュリティリスクの取締役会への報告」などが求められるようになり、ITガバナンスは今や上場企業の経営課題に直結している。

試験での位置づけ

ITパスポートでは「ITガバナンス・ITIL・共通フレーム・PMBOKの定義区別」が最頻出の組み合わせ問題である。選択肢aのITILは「ITサービスマネジメントのベストプラクティス集（ベンダー中立）」、選択肢bの共通フレーム（SLCP-JCF 2013）は「ソフトウェア取引適正化のための作業項目標準化ガイドライン」、選択肢dのPMBOKは「プロジェクトマネジメントの知識体系」であり、4者の主語・目的・対象を整理することが本問攻略の核心である。

基本情報技術者（FE）・システム監査技術者試験（AU）ではCOBIT、ISO/IEC 38500、EDMモデル、IT全般統制（ITGC：IT General Controls）と業務処理統制（Application Controls）の違い、内部統制評価（J-SOX対応）のIT依拠判定まで問われる。CIOと取締役会・監査役のITガバナンスにおける役割分担の理解が、AU試験合格の鍵となる。

選択肢の発展補足

選択肢aのITILはAxelos（現PeopleCert）が管理する著作権付きフレームワークで、ITIL 4（2019年）から「サービス価値システム（SVS）」「価値の共創」「アジャイル・DevOpsとの統合」に重点が移行した。ITガバナンスが「なぜ・何をするか（WHY/WHAT）を経営が決める」層であるのに対し、ITILは「どう運用するか（HOW）を現場が実践する」層であり、目的の階層が根本的に異なる。

選択肢bの共通フレーム2013（IPA発行）はISO/IEC 12207に準拠し、ソフトウェアライフサイクルを「企画プロセス→要件定義→設計→実装→テスト→移行→運用・保守・廃棄」に分け、各作業項目の定義と責任範囲を発注者・開発者の両者で共有する目的で策定された。特にユーザー企業側の要件定義責任を明確化した点が特徴で、「発注者のITガバナンス力向上」とも連動するが、それ自体はガバナンスの実践フレームワークではなく取引標準化のガイドラインに位置づけられる。