平成27年度 春期 ITパスポート試験 公開問題 問1 解説 システム管理基準

キーワードから正解を導く方法

この問題を解く鍵は、問題文に含まれる「経営戦略との連動」「全ライフサイクル（企画・開発・運用・保守）」「IT投資の効果とリスク低減」というフレーズです。情報システムを単なる道具としてではなく、経営を支える仕組みとして適切に管理（コントロール）するためのガイドラインを指しているため、選択肢の中から「管理」という言葉を含む「システム管理基準」を選びます。

システム管理基準の役割と構成

システム管理基準は、経済産業省によって策定された、組織がITガバナンスを実現するための実践的な指針です。企業が情報システムを導入・利用する際に、独りよがりな運用に陥らないよう、客観的な管理の枠組みを提供しています。

この基準の大きな特徴は、情報システムの誕生から消滅までを「企画」「開発」「運用」「保守」といったライフサイクルに分けて定義している点です。それぞれのフェーズで、経営層やIT部門がどのような責任を持ち、どのような管理手順を踏むべきかが具体的に示されています。これにより、投資に見合った効果が得られているか、あるいは情報漏洩やシステムダウンといったリスクに対して十分な備えができているかを、組織全体で評価できるようになります。

混同しやすい「監査基準」との違い

試験対策として最も重要なのが、選択肢イの「システム監査基準」との区別です。これら二つはセットで策定されていますが、その役割は明確に異なります。

システム管理基準は、情報システムを利用する組織自らが「適切に管理するために守るべきルール」です。 一方でシステム監査基準は、監査人が「管理が正しく行われているかを評価・確認するためのルール」です。

いわば、管理基準が「試験を受ける生徒が守るべき勉強の進め方」だとすれば、監査基準は「採点する先生が使う採点基準」のような関係性にあります。問題文に「コントロールを適切に行うための実践規範」とあれば、それは生徒側のルールである管理基準を指しています。

ITガバナンスと実務への適用

システム管理基準を学ぶ意義は、ITを「技術の問題」から「経営の問題」へと視点を引き上げることにあります。現代のビジネスにおいて、経営戦略と情報システム戦略は切り離せません。

例えば、新しい会計システムを導入する際、単に「正しく計算できること」だけを目指すのではなく、それが「経営判断のスピードアップに繋がるか（投資効果）」や「不正なデータ改ざんを防げるか（リスク低減）」という視点が必要です。システム管理基準という規範があることで、プロジェクトの各段階でこれらのチェック項目が漏れることを防げます。

また、情報システム安全対策基準やコンピュータ不正アクセス対策基準などは、セキュリティという特定分野に特化したものです。それらを含むより広い概念として、組織のIT全体を最適化するための羅針盤となるのがシステム管理基準であると理解しておくと、実務や上位試験の学習でも役立ちます。

参考リンク

• システム管理基準（ITパスポート試験用語辞典）
• 【ITガバナンス】システム管理基準を読んでみた
• システム管理基準及びシステム監査基準の改訂について（経済産業省）