// シス担のミカタ
ガバナンス・管理

ITガバナンス あいてぃーがばなんす

ITガバナンスIT統治COBITIT戦略リスク管理コンプライアンス
ITガバナンスについて教えて

簡単に言うとこんな感じ!

ITガバナンスは「会社のIT活動を正しい方向に導き、リスクをコントロールするための仕組み・ルール・体制」のことだよ。会社を船に例えると、「どこに向かうか(戦略)」「嵐に備えるか(リスク管理)」「船員がルールを守っているか(コンプライアンス)」を管理するのが船長の役割=ITガバナンスだね。「誰でも好きなシステムを好きに使う」状態を防いで、IT投資の効果を最大化するための経営の仕組みなんだ!

ITガバナンスとは

ITガバナンス(IT Governance) とは、経営者・取締役会が主導して、組織のIT活動に方向性を与え(戦略の整合)、リスクを管理し(リスクコントロール)、IT投資の価値を確保する(価値の実現) ための体制・プロセス・制度の総称です。

単なる「IT部門の管理」とは異なり、ITガバナンスは経営レベルの関与が前提です。「IT投資にどれだけ予算を使うか」「セキュリティインシデントが発生したときに誰が意思決定するか」「ベンダーとの契約をどう管理するか」といった意思決定の仕組みを整えることが目的です。

ITガバナンスの国際標準として COBIT(Control Objectives for Information and Related Technology) があります。また日本では上場企業向けの「コーポレートガバナンス・コード」にもIT・デジタル関連の項目が追加されており、経営者のデジタルリテラシー向上・IT投資の説明責任が求められるようになっています。

ITガバナンスの5つの焦点領域(COBIT準拠)

領域内容主な取り組み
戦略的整合ITとビジネス戦略を一致させるIT戦略策定・IT投資委員会の設置
価値提供IT投資の効果を最大化するROI測定・ポートフォリオ管理
リスク管理ITリスクを特定・軽減するセキュリティポリシー・BCP策定
資源管理IT人材・資産を最適配分する人材育成・ライセンス管理・調達ポリシー
パフォーマンス評価IT活動の成果を測定・報告するKPI設定・監査・経営報告

ITガバナンスに必要な主要ポリシー・文書

ポリシー・文書内容
IT戦略・ロードマップ中長期のIT計画と優先順位
情報セキュリティポリシーセキュリティに関する基本方針と規則
調達・ベンダー管理方針IT調達の承認プロセス・ベンダー評価基準
データガバナンス方針データの所有・品質・アクセス権の管理ルール
IT投資管理プロセスIT予算の申請・承認・効果測定の手順

歴史と背景

  • 1996年:ISACA(情報システム監査・コントロール協会)がCOBIT第1版を発行。IT統制のフレームワークとして初めて体系化される
  • 2002年:米国SOX法(サーベンス・オクスリー法)成立。財務報告の信頼性確保のためITガバナンスへの法的要求が強まる
  • 2003年:ISO/IEC 38500(ITガバナンスの国際標準)の前身となる規格がオーストラリアで発行
  • 2008年:ISO/IEC 38500正式発行。取締役会・経営者によるITガバナンスの責任を国際標準として規定
  • 2012年:COBIT 5発行。バリュー・デリバリー・リスク管理・資源管理を統合
  • 2019年:COBIT 2019発行。デジタル変革・アジャイル・クラウドへの対応を強化
  • 2021年:東証コーポレートガバナンス・コード改訂で「デジタルトランスフォーメーションへの対応」が明記

ITガバナンスの体制イメージ

ITガバナンスの体制イメージ 取締役会・経営陣 IT投資委員会・IT戦略委員会 情報システム部門 IT戦略の実行・運用管理 情報セキュリティ部門 リスク管理・インシデント対応 内部監査部門 IT統制の評価・報告 各事業部門(ユーザー部門) ITサービスの利用・ニーズの提示・現場でのポリシー遵守

関連する規格・RFC

規格・標準内容
ISO/IEC 38500ITガバナンスの国際標準。経営者・取締役会の責任・原則を規定
COBIT 2019ISACAが提供するITガバナンス・管理フレームワーク
コーポレートガバナンス・コード(東証)上場企業に求めるデジタル技術活用・ITガバナンスの方針

関連用語