平成29年度 秋期 ITパスポート試験 公開問題 問49 解説 ITガバナンスの責任

ITガバナンスに関する問題では、誰が決定権を持ち、誰に責任があるのかという「組織の階層」に注目するのが正解への近道です。ITガバナンスとは、ITを経営戦略の一部としてコントロールする仕組みであるため、組織の最高決定権を持つ経営者が責任を負うのが原則です。

ITガバナンスの定義と経営者の役割

ITガバナンスとは、企業がITを活用して経営目標を達成し、ITに関連するリスクを適切に管理するための仕組みや体制を指します。重要なのは、これが単なるシステムの管理ではなく、経営戦略と直結しているという点です。

経営者は、IT投資が適切に行われているか、システム導入によってリスクが生じていないかを監督し、企業価値を最大化する責務があります。現場の判断やシステム部門の技術力だけでコントロールできる範囲を超えているため、組織全体の方針を決定する経営層が主導しなければなりません。

他の選択肢が不適切な理由

株主は企業の所有者であり、経営者に対して評価や委任を行う立場ですが、日常的なITの統制や戦略策定を直接実行する責任者ではありません。

システム監査人は、ITガバナンスが正しく機能しているかを客観的に評価する立場です。チェックする側と、チェックされる側（経営者）は明確に分離されるべきであり、監査人がガバナンスの確立に責任を持つことはありません。

システム部門長は、ITの実務や運用を統括する管理職です。経営戦略に基づいたITの実行部隊としての責任はありますが、ITガバナンスを経営全体として確立・推進するのは経営陣の役割です。

ITガバナンスが問われる文脈

ITパスポート試験では、ガバナンスに関連して「責任の所在」を問う問題が頻出します。ITガバナンスのほかにコーポレートガバナンスについても同様の考え方をします。「経営目標の達成に向けた統制」というキーワードが出てきたら、現場や専門部署ではなく、組織のトップである経営者（取締役会など）が主体であると判断してください。また、情報セキュリティガバナンスについても同様に、最終責任は経営者に帰属するという原則が適用されます。

https://www.meti.go.jp/policy/netsecurity/it_governance.html https://www.ipa.go.jp/security/guideline/about_guideline.html https://it-passport.biz/it-governance/