平成25年度 秋期 ITパスポート試験 問57 解説 ISMSのPDCAサイクル

この問題は、PDCAサイクルの各フェーズが何を指しているかを整理することで即座に解けます。ポイントは「過去の実施結果（監査）に対する是正措置である」という点を見抜くことです。

PDCAサイクルの見分け方

問題文にある「監査で指摘を受けた」という事実は、PDCAのチェック（評価）段階が終わったことを意味します。その結果を受けて「是正して改める」という行為は、現状のシステムを改善し、次回のサイクルへつなげる行動です。したがって、これは改善を意味するAct（A）に該当します。

PDCAの各フェーズが果たす役割

ISMS（情報セキュリティマネジメントシステム）では、以下の4つのプロセスを繰り返すことでセキュリティレベルを維持・向上させます。

Plan（計画） 目標を達成するための計画を策定するフェーズです。リスクアセスメントを実施し、情報セキュリティ方針や手順書を作成します。

Do（実施） 計画に基づいてセキュリティ対策を実行し、運用するフェーズです。社員への教育や、具体的なセキュリティツールの導入などが行われます。

Check（評価） 実施した対策が計画通りに行われているか、有効に機能しているかを点検するフェーズです。内部監査や経営陣によるマネジメントレビューがここに含まれます。

Act（改善） Checkの結果を受けて、不適合な部分の是正や、より良い状態への改善を行うフェーズです。今回のように監査で見つかった不備を修正することは、まさにこのActの役割です。

なぜこの問題が試験に出るのか

この問題の教育的意図は、PDCAサイクルを単なる「用語」としてではなく、「業務プロセスの改善の連鎖」として理解できているかを問うことにあります。

実務の現場では、ルールを作って（Plan）、守って（Do）、点検して（Check）、終わってしまうケースが非常に多いです。しかし、監査で見つかった問題を「指摘されたから直す」という受動的な姿勢だけでなく、それを組織のプロセス改善（Act）として捉えることで、初めてセキュリティレベルは向上します。試験作成者は、受験者が「監査」という言葉を見たときに「Check」と反射的に選ぶのではなく、その後の「改善アクション」までを見通せているかを評価しようとしています。

この考え方はISMSだけでなく、品質管理（ISO 9001）やソフトウェア開発の現場など、あらゆるプロジェクトマネジメントにおいて共通する重要な概念です。

参考リンク

• ITパスポート試験ドットコム｜PDCAサイクル
• Qiita｜個人開発でPDCAを回してみた話
• JIS Q 27001:2023（情報セキュリティマネジメントシステム）の概要