JIS Q 38500 情報技術 IT ガバナンス｜最新 JIS規格 一覧｜改正 更新情報｜制定

この規格は，組織の経営陣（オーナー，取締役会の構成員，経営者，パートナー，上級取締役又はその他これらと同等の人）のため，組織内で効果的，効率的と受入れ可能なIT利用に関する原則について規定する。この規格は，組織によって使われるITサービスに関係したマネジメントプロセスと意思決定のガバナンスに適用できる。

これらのマネジメントプロセスは，組織内のITの専門家若しくは外部のサービス提供者によって，又は組織内の事業部門によって管理することが望ましい。

さらに，この規格は，経営陣への助言，情報提供，支援などを行う人々への指針を示す。その人々には，次の者を含む。

• ● 上級マネージャ
• ● 組織内で資源を監視するグループの構成員
• ● 法律又は会計のような外部の業務又は技術の専門家
• ● 専門家，小売り関係者又は専門家の団体
• ● ハードウェア，ソフトウェア，通信とその他のIT製品の供給業者
• ● 内外のサービス提供者（コンサルタントを含む。）
• ● IT監査人

この規格は，公的と私的な企業，政府機関並びに非利益組織を含む全ての組織に適用できる。この規格は，極めて小さい組織から巨大な組織まで，そのITの利用の程度にかかわらず全ての組織に適用できる。

注記 この規格の対応国際規格とその対応の程度を表す記号を，次に示す。

ISO/IEC 38500:2008，Corporate governance of information technology（MOD）

なお，対応の程度を表す記号「MOD」は，ISO/IEC Guide 21-1に基づき，「修正している」ことを示す。

この規格の目的は，次の事項によって，全ての組織でITの効果的，効率的と受容可能な利用を促進することである。

• ● この規格に従えば，組織のITガバナンスで信頼を獲得できることを（消費者，株主と従業員を含む。）ステークホルダーに保証する。
• ● 組織のITガバナンスの利用について経営者に対する情報提供と指針を与える。
• ● ITガバナンスの客観的評価の基盤を提供する。

この規格で用いる主な用語と定義は，次による。

合理的又は有益であるとして示される可能性があるステークホルダーの期待を満たすこと。

組織を指示し，管理するシステム。

組織のITの現在と将来の利用を指示し，管理するシステム。ITガバナンスは，組織を支援するためにITの利用を評価することと指示すること，並びに計画を遂行するためにこのIT利用をモニタすることに関係する。これには組織におけるITの利用に関する戦略と方針を含む。

業務又は役割を遂行するために必要な知識，公式と公式でない技能，訓練，経験並びに行動属性の結合をもつこと。

組織の最も上位の執行役員会の構成員。所有者，役員会の構成員，共同経営者，上級役員又はそれらと同格の人，と法律又は規制で認められた役職者。

良好な状態とシステムのパフォーマンスを確実にするという意図をもって，システムの人間と他の要素との間の相互作用を理解すること。

注記 人々の必要性，願望と行動に基づいて，ITに関して多くの集団又はコミュニティが存在する。例えば，情報システムを利用する人々は，可用性とパフォーマンスと同様に，アクセシビリティと人間工学に関連した必要性を示す可能性がある。ITの利用のために仕事の役割を変更する人々はコミュニケーション，訓練，と再保証に関連した必要性を示す可能性がある。ITの能力の構築と運用に関係する人々は，作業環境と技能の開発に関係した必要性を示す可能性がある。

情報の取得，処理，保管と展開のために必要な資源。この用語は，通信技術［Communication Technology

（CT）］，とその合成語である情報通信技術［Information and Communication Technology（ICT）］を含む。

定められた目的と他の利益を達成するための人，資金とその他の資源の配分。

組織の経営者によって定められた戦略的目的を達成するために必要な管理と手続のシステム。マネジメントは，ガバナンスによる方針の指導とモニタの設定に従う。

会社，事業体，政府，非営利団体又は他の法的に設立された団体。これらには，自身の機能と監督権をもつ，協会，クラブ，共同経営体，政府の外郭団体，上場企業，私的企業と自営業者を含む。

組織でなされた決定を条件付ける好ましい方向性と行動の明確かつ測定可能な表明。

なされた決定に適用できる利益，コスト，リスク，機会と他の要素の編集物（事業計画案を含む。）。

人々，手順，ソフトウェア，情報，装置，消耗品，基盤，資金と運用ファンド，並びに時間。

事象の発生確率と事象の結果との組合せ。

注記 結果は，組織への影響である。通常の使い方では，負の方向の場合をいい，また，正の方向では「機会」を使う。

リスクに関して組織を指揮し管理する調整された活動【ISO/IEC Guide 73:2002参照】。

意思決定又は活動に影響を与え得る，影響され得る又は影響されると認知している，あらゆる個人，団体，又は組織。

組織の将来活動において，組織を支援するための資源の効果的な利用を記載した，組織の成長の全体計画。これには，目的の設定と活動のための案の提出が関係する。

事業のニーズを満たすための，ITの計画，設計，開発，装備，運用，管理と適用。これには，内部の事業単位，特別なIT単位，又は（サービスとしてソフトウェアを提供する供給者のような）外部の供給者とサービス業者のための，ITサービスの需要と供給を含む。

この箇条は，良好なITガバナンスのための六つの原則を提供する。原則は，ほとんどの組織体で適用できる。

この原則は，意思決定のための望ましい行動を示す。それぞれの原則は，何が望ましいかを表明しているが，具体的に，どのようにして，いつ，誰がすべきかを指示している訳ではなく，その原則を実施する個別の組織からは独立している。経営陣は，これらの原則が適用されることを要求することが望ましい。

■原則1：責任（Responsibility）[3.1.1]

組織内の個人と部門は，ITの供給と需要の両面の役割について，その責任を理解して受け入れる。処置に責任を負う人もまた，その処置を遂行する権限をもつ。

■原則2：戦略（Strategy）[3.1.2]

組織の事業戦略は，ITの現在と将来の能力を考慮する。ITの戦略計画は，その現在と進行中の事業戦略のニーズを満たす。

■原則3：取得（Acquisition）[3.1.3]

ITの取得は，適切で継続的な分析を基礎として，明確で透明な意思決定による正当な理由に基づいて行う。短期的と長期的の両面で利益，機会，コストとリスクを適切に均衡させる。

■原則4：パフォーマンス（Performance）[3.1.4]

ITは組織を支援し，現在と将来の事業のニーズに合うサービス，サービスレベルとサービス品質を提供する点で目的に適合する。

■原則5：適合（Conformance）[3.1.5]

ITは，必須である全ての法律と規制に適合する。方針と指針は，明確に定義，実施と強制される。

■原則6：人間行動（Human Behaviour）[3.1.6]

ITの方針，指針と決定は，プロセスにおける人間の全ての現在と発展するニーズを含み，人間行動を尊重する。

■一般[3.2.1]

経営者は，三つの主な職務によってITを統制することが望ましい。

• a) 現在と将来のIT利用について評価する。
• b) IT利用が事業の目的を合致することを確実にするために計画と方針の準備と実施を指示する。
• c) 方針への適合と計画の実績をモニタする。

評価－指示－モニタのサイクルのITガバナンスモデルを図1に示す。図1に続く文章は描かれた要素とそれらの関係を説明する。

■評価[3.2.2]

経営者は，現在と将来のIT利用について調査し，戦略，提案と供給の手配（内部と／又は外部のいずれかで）を含んで，判断することが望ましい。

経営者は，IT利用の評価において，技術的変化，経済的・社会的傾向，政治的影響などの，事業の遂行に影響を与える外部又は内部の圧力を考慮することが望ましい。

経営者は，圧力の変化に応じて継続的に評価し続けることが望ましい。

経営者は，現在と将来の事業のニーズも考慮することが望ましい。評価している戦略と提案の特定の目的と同様に，競争の優位性を維持し，達成することが望ましい。

■指示[3.2.3]

経営者は，計画と方針に関する責任を割り当てることが望ましく，それらの準備と実施を指示することが望ましい。計画は，ITプロジェクトとIT運用における投資の方向性を定めることが望ましい。方針は，IT利用における健全な行動を定めることが望ましい。

経営者は，プロジェクトの運用状態への移行が適切に計画され，管理されていることを確実にすることが望ましい。そのためには，既存のITシステムに対する影響と同様に事業と運用の実施への影響も考慮することが望ましい。

経営者は，管理者がときを得た情報の提供，方向性への適合と六つの良好なガバナンス原則への遵守によって，組織の良好なITガバナンスの文化を醸成することが望ましい。

経営者は，必要な場合，特定されたニーズを取り扱う承認のための提案を提出するよう指示することが望ましい。

■モニタ[3.2.4]

経営者は，適切な測定システムによってITの実績をモニタすることが望ましい。経営者はその実績が計画どおりかを，特に事業目的に関して再認識することが望ましい。

経営者は，ITが外部からの義務（法律，規制，慣習法と契約）に適合し，また，内部の業務手順に沿っていることも確認することが望ましい。

注記 ITの特定された局面では，組織の中の管理者に権限移譲が可能な場合がある。しかし，ITの組織による効果的，効率的かつ受容可能な利用と提供の説明責任は，依然として経営者にあり権限移譲できない。

この箇条では，優れたITガバナンスの原則とその原則の実現に必要な実践のための手引を提供する。記載した実践例で全てを網羅していないが，ITガバナンスにおける経営者の責任を議論する上での出発点となる。すなわち，記載した実践は良好なITガバナンスの原則の手引を示す。

個々の組織には，組織の特性を十分考慮し，IT利用のリスクと機会の適切な分析を行った上で，該当する組織として，原則の実現に必要な処置を識別する責任がある。説明の基礎として，記載している実践例は，通常，ほとんどの組織（大組織から小組織まで）において適用することができる。いかなる変更についても，十分に考慮することが望ましい。

■評価[4.2.1]

経営者は，組織の現在と将来のIT利用の観点から，責任の割当てに関する複数の選択肢を評価することが望ましい。選択肢の評価において，経営者は，現在と将来の事業目的を支援する点で，効果的，効率的かつ受容可能なITの利用と提供を求めることが望ましい。経営者は，ITに関する意思決定の責任を与えた人に力量があるかを評価することが望ましい。事業の価値とプロセスを理解したITの専門家の支援を受ける人々は，一般的に，組織の事業目的とパフォーマンスに対しても責任をもつ事業の管理者であることが望ましい。

■指示[4.2.2]

経営者は，割り当てたITの責任に従って，計画を実行するように指示することが望ましい。

経営者は，自らの責任と説明責任を果たすために必要な情報を受け取ることを指示することが望ましい。

■モニタ[4.2.3]

経営者は，適切なITガバナンスの仕組みを確立することをモニタすることが望ましい。

経営者は，責任を与えられた人々が自らの責任を認識し，理解することをモニタすることが望ましい。

経営者は，ITガバナンスについて責任を与えた人々（例えば，ステアリングコミッティに参加する人々，又は経営者に提案を上げる人々）のパフォーマンスをモニタすることが望ましい。

■評価[4.3.1]

経営者は，将来の事業のニーズをITが支援することを確実にするために，ITの開発と事業のプロセスの進展を評価することが望ましい。

計画と方針を考慮するに当たって，経営者は，ITの活動が変化する環境での組織の目的に沿い，よりよい実践の方法を考慮し，かつ，他の主要なステークホルダーの要求事項を満たすことを確実にするために，ITの活動を評価することが望ましい。

経営者は，IT利用が，関連する国際と国内の規格に規定されているように，適切なリスクのアセスメントと評価を受けていることを確実にすることが望ましい。

■指示[4.3.2]

経営者は，組織がITの開発から確実に効果を得られるような計画と方針を準備し，活用するように指示することが望ましい。また，経営者は，組織が新しい機会又は挑戦へ対応し，新規事業を立ち上げ，又はプロセスを改善することを可能とするITの革新的な利用のための提案を提出するように促すことが望ましい。

■モニタ[4.3.3]

経営者は，必要な期間と割り当てられた資源の下で目的を確実に達成するために，承認されたITの提案の進捗をモニタすることが望ましい。

経営者は，意図する効果の達成を確実に得るために，IT利用をモニタすることが望ましい。

■評価[4.4.1]

経営者は，承認された提案を実現するために，リスクと投資金額に見合う価値とのバランスを取りつつ，ITの提供に関する複数の選択肢を評価することが望ましい。

■指示[4.4.2]

経営者は，IT資産（システムと基盤）が，必要な能力が確実に提供される形で，適切な文書とともに，適切な方法で取得するように指示することが望ましい。

経営者は，供給の取決め（内部と外部の両方の供給契約の取決めを含む。）が組織における事業のニーズを支援するように指示することが望ましい。

■モニタ[4.4.3]

経営者は，IT投資を通じて必要な能力が確実に提供されるように，IT投資をモニタすることが望ましい。経営者は，IT取得に関する組織の意向に関して，組織と供給者がどの程度共通認識を理解しているかについて，モニタすることが望ましい。

■評価[4.5.1]

経営者は，ITが必要な能力と容量をもって事業プロセスを支援することを確実にするために，管理者によって提案された手段を評価することが望ましい。

これらの提案は，事業の継続的かつ正常な運用とIT利用に関連したリスク対応に対処することが望ましい。

経営者は，IT活動から生じる事業の継続的な運用に対するリスクを評価することが望ましい。

経営者は，関連した知的財産と組織の情報を含む，IT資産の保護と情報の完全性に対するリスクを評価することが望ましい。

経営者は，事業目標を支援する点でIT利用について効果的かつ適時な意思決定を保証する選択肢を評価することが望ましい。

経営者は，ITガバナンスのための組織におけるシステムの有効性とパフォーマンスを定期的に評価することが望ましい。

■指示[4.5.2]

経営者は，その合意した優先順位と予算上の財政的制約に従って，ITが組織の必要性を満足するように，十分な資源を配分することを確実にすることが望ましい。

経営者は，ITが，事業上必要な場合，損失又は誤用を除き，正確かつ最新のデータを用いて事業を支援することを確実にする責任をもつ人に指示することが望ましい。

■モニタ[4.5.3]

経営者は，ITが事業を支援する範囲をモニタすることが望ましい。

経営者は，事業目的に従って，配分された資源の範囲と予算の優先順位付けについてモニタすることが望ましい。

経営者は，例えば，データの正確さとITの効率的な利用のために，適切に従っている方針の範囲をモニタすることが望ましい。

■評価[4.6.1]

経営者は，ITが義務（法律，規制，慣習法と契約），内部の方針，規格，と専門指針を満足する範囲を定期的に評価することが望ましい。

経営者は，ITガバナンスのためのシステムに対する組織内部の適合を定期的に評価することが望ましい。

■指示[4.6.2]

経営者は，ITの利用が現状の義務（法律，規制，慣習法と契約），規格と指針に遵守することを確実にする定常的な仕組みを確立することに責任をもつ人々に指示することが望ましい。

経営者は，組織がIT利用について内部の義務を満たすことができるように，方針を確立し，実施することを指示することが望ましい。

経営者は，IT要員が専門的な行動と開発のための関連する指針に従うことを指示することが望ましい。

経営者は，ITに関係する全ての処置が，倫理的であることを指示することが望ましい。

■モニタ[4.6.3]

経営者は，適切な報告と監査の実施を通して，ITの法令遵守と適合性をモニタすることが望ましい。そのために，レビューが事業の満足度の評価のために適時で，理解ができ，かつ，適切であることを確実にする。

経営者は，環境，プライバシ，戦略的知識管理，組織の情報の保持とその他関連する義務を満たしていることを確実にするために，資産とデータの廃棄を含む，ITの活動をモニタすることが望ましい。

■評価[4.7.1]

経営者は，人間行動が特定され，適切に考慮されることを確実にするためにITの活動を評価することが望ましい。

■指示[4.7.2]

経営者は，IT活動が特定された人間行動と合致していることを指示することが望ましい。

経営者は，リスク，機会，事象と懸念をいつでも誰かによって特定し，報告されてもよいように指示しておくことが望ましい。

これらのリスクは，公表された方針と手順に従って管理され，適切な意思決定者へ順次報告されることが望ましい。

■モニタ[4.7.3]

経営者は，特定された人間行動が関連を保っており，適切な注意が払われていることを確実にするために，IT活動をモニタすることが望ましい。

経営者は，業務の実施がITの適切な利用と合致していることを確実にするために，業務の実施をモニタすることが望ましい。