令和元年度 秋期 ITパスポート試験 問68 解説 PDCAサイクル

「監査」や「評価」「確認」という言葉が出てきたら、PDCAサイクルの「C（Check）」であると即座に判断しましょう。問題文にある「適切に運用されていることを確認する」という部分が、そのままCheckの定義そのものです。

PDCAサイクルは、業務を継続的に改善するための枠組みであり、以下の4つの要素で構成されています。

P（Plan）：計画を立てる。目標を設定し、そのための手順やルールを作成するフェーズです。情報セキュリティポリシの作成自体はこのPにあたります。 D（Do）：計画に基づいて実行する。作成したルールを実際の業務に適用するフェーズです。 C（Check）：評価・確認する。実行された内容が計画通りに進んでいるか、適切に守られているかを検査するフェーズです。今回の問題にある「監査」や「点検」はここに含まれます。 A（Act）：改善する。評価の結果を受けて、問題点があれば対策を考え、次回の計画に反映させるフェーズです。

この問題のポイントは、PDCAの各段階が何に対応しているかを正確に分類することです。「作成したものを確認する」という動作は、まさにサイクルを回すための「答え合わせ」の工程にあたります。

試験では、このPDCAサイクルの各要素がどの業務を指しているのかを問う問題が頻出します。例えば、「方針を策定する」ならP、「研修を実施する」ならD、「ログを分析して不備を見つける」ならC、「見つかった不備をもとに手順を修正する」ならAといった具合です。

特に情報セキュリティマネジメントの分野では、一度ルールを作って終わりではなく、このように継続的な監視（チェック）と改善（アクション）が不可欠であるという考え方が非常に重要視されます。単に「監査＝C」と暗記するだけでなく、組織がより良く変化するための「確認ステップ」であるというイメージを持つと、応用問題にも対応しやすくなります。

• 情報セキュリティポリシ（基本方針）策定と運用 - IPA（独立行政法人 情報処理推進機構）