レポート

ITガバナンスの国際標準化(ISO/IEC38500シリーズ)の最新動向とその取組み
公益財団法人未来工学研究所 客員研究員
JTC1/SC40専門委員会委員  WG1メンバー
 
力 利則 氏

はじめに

力氏

 今回ご紹介する国際標準である「ITガバナンス」は特に経営者・役員層に対して世界の動きを知ってもらいたい内容であり、IT部門、監査関係の立場からも、ぜひ、経営者層に対しITガバナンスの重要性を紹介してもらいたい。

国際標準化の背景

 企業経営におけるIT戦略の1つとして、ITガバナンスの導入と確立が重要かつ効果的と考えられており、ISO/IECは2008年にISO/IEC38500(2015年改訂)を、その後38501、38502、38504、38505-1をそれぞれ発行した。現在、諸外国でその受容性が理解され、取組みが本格化してきている。
 ISO(国際標準化機構)とIEC(国際電気標準会議)の第1合同技術委員会(JTC1)の総会で承認された「SC40専門委員会(ITサービスマネジメントとITガバナンス)」において、ITセキュリティおよびインフラの適用範囲を除外したITガバナンスおよびITサービス管理に関する標準、ツール、枠組み、ベストプラクティスおよび関連文書の作成が検討されており、今回紹介するITガバナンスの検討はWG1が担当している。
 なお、日本では2015年7月に「JIS Q 38500:2015 情報技術 ITガバナンス」のみがJIS化されている。

注)ISO38500シリーズの規格は正式には英文のみとなり、和訳版は存在しない。今回紹介する規格は日本システム監査人協会による和訳であり、公式のものではない。なお、「JIS Q 38500 情報技術 ITガバナンス」の詳細はここでは割愛する。

ISO/IEC38500の概要

(1)ISO/IEC38500(ITガバナンス)
 本規格は、組織のガバナンスを実施する経営者層に対し、①評価(Evaluate)②指示(Direct)③モニタ(Monitor)の3つを実践することが経営者としての役割、と定義している。

  • 現在と将来のITの利用について評価する(Evaluation)
  • ITの利用が組織のビジネス目標に合致するよう、計画とポリシーを策定し、実施する(Direct)
  • ポリシーへの準拠と計画に対する達成度をモニタする(Monitor)

 これをEDMモデルといい、このモデルをもとに、経営者には以下の行動が求められている。

  • ビジネス環境からの要求や市場に合わせて企業としての方針を決定する。
  • 企業の執行部門からの活動をモニタして、目標との乖離を調べる。
  • その結果と執行部門からの提案を統合的に評価して、実施部門に対して指示を行う。

 すなわち、経営者はITの投資や利用について決定し、その結果をモニタして改善を行うことが求められているのである。

 ISO/IEC38500の適用範囲は「組織のディレクタ(経営者)のために、その組織内でのITの効果的、効率的で受容可能な使用に関するガイドとなる原則を提供すること」で、公的、私的、規模の大小に限らず、あらゆる組織が対象となる。EDMモデルを基に、経営者が6つの原則(責任、戦略、取得、パフォーマンス、適合、人間行動)に沿って取り組むべきことが示されている。
 なお、従来のマネジメントモデルであるPDCAの上位にガバナンスモデルとしてEDMがある、というのが国際標準の考え方である。
 ISO/IEC38500の概要は図1のとおり。

図1.ISO38500の概要

図1.ISO38500の概要

(2)良質なITガバナンス実践のための6原則
 前述のとおり、経営者が役割を果たすべき考え方として6つの原則がある(図2)。これらの原則を考慮の上、EDMモデルを実践することが重要と考えられている。

図2.良質なITガバナンスのための6原則

図2.良質なITガバナンスのための6原則

ISO/IEC38500シリーズの概要

(1)ISO38501(導入ガイド)
 本規格は、ISO/IEC38500の役割・原則について、JIS化の環境をどのように作るべきか、ITガバナンスの運用をどう回せばよいか、を示した具体的な導入ガイドである。参考として、ITガバナンスを実施している評価のスキームが書かれており、原則どおり実践しているかを評価する。
 ISO38501は図3に示すとおり、ITガバナンスの運用のまわりに継続的改善、見直しと、ステークホルダとしての役割を回していくことになる。
 なお、付属書Bには、6原則に対し経営者層がどのようなことを実践すれば評価されるか、の尺度が示されている。

図3.ISO38501(導入ガイド)の概要

図3.ISO38501(導入ガイド)の概要

(2)ISO38502(フレームワークとモデル)
 本規格はITガバナンスとマネジメントの関係をフレームワークの要素として示したものである(図4)。

図4.ISO38502(フレームワークとモデル)の概要

図4.ISO38502(フレームワークとモデル)の概要

(3)ISO38504(原則基盤の標準ガイド)
 ITガバナンスの原則とは何か、を追求したもので、原則をどう見ればよいかを詳細に示したもので、ITガバナンスの標準の目的、原則基盤の指針、ガバナンスの原則を実践するために必要な情報を示したものである。

(4)ISO38503について
 本規格についてはシステム監査基準/システム管理基準(経済産業省公表、2004年)を英語化し、日本発案でISO化する検討から始まった。その後、SC40直下のWG1にてITガバナンスのWGに統合され、監査ではなくアセスメントに目的が変更された。その後大幅な内容見直しが図られ、マネジメントレベルからガバナンスレベルに変更され、現在はWG1にて検討中である。2018年の国際会議で承認されることを目指している。

注)「ISO38505-1(データガバナンス)」の詳細は、原田氏の講演録を参照のこと。

ISO/IEC38500シリーズのJIS化に向けて

 ISO/IEC38500を除く各規格については、現段階でJIS化されていない。グローバル的にはISO/IEC38500シリーズの重要性が浸透しているが、日本では38500のJIS化により、ようやく「EDMモデル」を含め、ITガバナンスの重要性が認識されつつあるが、まだ具体的な導入には至っていない。日本の経営者層に浸透させるために、ぜひ日本語化するべきであると考えている。