目次 [ close ]
  1. 対象試験と出題頻度
  2. 用語の定義
  3. 解説
    1. ITガバナンスとITマネジメントの関係
    2. 隣接用語との位置づけ整理
  4. 試験ではこう出る!
  5. 経営陣の3つの活動を図解で整理
  6. 【確認テスト】理解度チェック
  7. よくある質問(FAQ)

対象試験と出題頻度

「ガバナンスって、結局マネジメントと何が違うの?」。

IT系の資格を勉強していると、この疑問にぶつかる人は多いです。

ITガバナンスは、IPAのシラバスでは内部統制やシステム監査と同じ区分に配置されています。

ITパスポートでは令和4年 問40、令和5年 問52、令和6年 問53と3年連続で出題されており、「定義を正確に選べるか」を繰り返し問うパターンが定着しています。

対象試験と頻度をひらく
対象試験:
ITパスポート
基本情報技術者
応用情報技術者
出題頻度:
★★★☆☆
ランクB(標準)覚えておくと有利

用語の定義

ITガバナンス(IT Governance)とは、一言で言うと

 「経営陣がIT戦略の策定と実行を方向づけ、組織をあるべき姿へ導く能力・仕組み

のことです。

イメージとしては、会社の”IT投資のハンドル”を社長が握る構図です。

タクシーに例えるなら、行き先を決めてドライバーに指示を出すのが経営陣(ガバナンス)、実際にハンドルを操作して安全に走らせるのがIT部門(マネジメント)。

目的地を決める責任は乗客=経営陣にあり、この「目的地を決めて、正しく向かっているかを監視する」行為がITガバナンスです。

📊 ITガバナンスの基本情報

項目 内容
英語名 IT Governance
国際規格 JIS Q 38500(ISO/IEC 38500)
主体 経営陣(取締役会・CIOなど)
上位概念 コーポレートガバナンス(企業統治)
代表的フレームワーク COBIT(ISACA策定)

解説

かつてITは「コスト部門」と見なされ、情報システム部だけが予算と運用を抱える時代が長く続きました。

しかし、ITなしでは新規事業もDXも成り立たない現在、経営層が自らIT投資の方向性を示さないと、現場任せの”野良IT”が乱立し、セキュリティ事故や重複投資が頻発します。

この問題意識から生まれたのがITガバナンスという概念です。「ITへの投資・効果・リスクを継続的に最適化するための組織的な仕組み」として、経営戦略とIT戦略を一体化させる役割を担います。

ITガバナンスとITマネジメントの関係

この2つは試験でもセットで問われるため、役割の境界を正確に押さえる必要があります。

ITガバナンスとITマネジメントの役割分担

コーポレートガバナンス(企業統治)

株主・取締役会が経営全体を監督する枠組み

▼ ITに関する部分を切り出すと

ITガバナンス

経営陣が「何を・なぜやるか」を決めて監視する
【評価 → 方向づけ → モニタリング】

▼ 方針を受けて実行するのが

ITマネジメント

IT部門が「どうやるか」を計画・実行・管理する
【計画 → 構築 → 運用 → 監視】

▲ ガバナンス=方向づけと監視 / マネジメント=実行と管理

JIS Q 38500(ISO/IEC 38500)では、経営者の活動を「評価」「方向づけ」「モニタリング」の3つで定義しています。

対象は「現在と将来」のIT利用であり、過去の実績だけを振り返る活動ではない点がポイントです。

隣接用語との位置づけ整理

用語 誰が 何をするか
ITガバナンス 経営陣 IT戦略の方向づけ・投資判断・効果の監視
ITマネジメント IT部門 方針に従いシステムを計画・構築・運用
内部統制 経営者 不正・ミスを防ぐ仕組みを組織全体で整備
システム監査 独立した監査人 情報システムのリスク対策を点検・評価・助言

ポイント整理(3行で)

・ITガバナンス=経営陣がIT投資の方向を決め、効果とリスクを監視する組織能力
・JIS Q 38500が定義する3つの活動は「評価」「方向づけ」「モニタリング」
・コーポレートガバナンスの一部であり、実行を担うITマネジメントとはレイヤーが異なる

試験ではこう出る!

ITガバナンスは、IPではほぼ毎年出題される定番テーマです。

FE・APでは「システム監査の目的」の選択肢にキーワードとして登場する形が多く、単独テーマとしての出題はIPに集中しています。

📊 過去問での出題実績

試験回 出題内容 問われたポイント
IP R6
問53		 空欄aに入る字句を選ぶ穴埋め問題。「経営者は【a】の事業の目的を支援する観点で…」 ・正解は「現在と将来」
・「過去と現在」「将来」だけでは不十分
IP R5
問52		 内部統制の文脈でITガバナンスの実現確認に該当するものを選ぶ問題。 ・ITリスクのコントロールとガバナンス実現の関係が正解
・システム監査との連携が背景
IP R4
問40		 ITガバナンスの記述を4択から選ぶ問題。 ・「経営陣が組織の価値を高めるために実践する行動」が正解
・ITIL、共通フレーム、PMBOKがひっかけ
FE H28春
問60		 システム監査を実施する目的を選ぶ問題。 ・「コントロールを評価しITガバナンスに寄与する」が正解
・脆弱性検査やCMMIがひっかけ

📝 出題パターン分析

パターン1:「定義を選べ」(IP頻出)
「経営陣が組織の価値を高めるために実践する行動であり、情報システム戦略の策定及び実現に必要な組織能力」が正解文。ひっかけとしてITIL(ベストプラクティス集)、共通フレーム(SLCP)、プロジェクトマネジメントの定義が並びます。キーワードは「経営陣」「組織能力」「IT戦略の方向づけ」。

 

パターン2:「穴埋め」(IP R6)
JIS Q 38500の記述から空欄を埋めさせる形式。「現在と将来」が正解。「過去」を含む選択肢や「将来」単独がひっかけ。ガバナンスは”今”と”これから”の両方を対象にする、と覚えれば即答できます。

 

パターン3:「システム監査の目的」の中にキーワードとして登場(FE/AP)
直接ITガバナンスを問う問題ではなく、監査目的の正解文に「ITガバナンスの実現に寄与する」が含まれるパターン。FEとAPで同一問題が流用されるため、一度覚えれば両方の試験に対応できます。

 

午前対策はこの3パターンで十分です。COBITやISO/IEC 38500の条文レベルまで暗記する必要はありません。

経営陣の3つの活動を図解で整理

JIS Q 38500では、ITガバナンスにおける経営陣の責任を3つのサイクルで定義しています。この構造を押さえておくと、穴埋め問題への対応力が上がります。

経営陣の3つの活動(EDMサイクル)

Evaluate

評価

現在と将来の
IT利用を評価

Direct

方向づけ

計画と方針を
策定し指示

Monitor

モニタリング

方針への適合と
計画の実績を監視

←——————————————→

フィードバックしてサイクルを回す

「Evaluate → Direct → Monitor」の頭文字をとってEDMサイクルと呼ばれることもあります。

COBITでも同じ3活動をガバナンスのプロセスとして定義しており、試験範囲とフレームワークの用語が一致しています。

【確認テスト】理解度チェック

Q. ITガバナンスの説明として、最も適切なものはどれでしょうか?

  • A. ITサービスの品質を維持するために、インシデント管理や変更管理などのプロセスを体系化したベストプラクティス集のこと。
  • B. 経営陣がIT戦略の策定と実行を方向づけ、ITへの投資・効果・リスクを継続的に最適化するための組織能力のこと。
  • C. 独立した監査人が情報システムのリスク対策を点検・評価し、改善を勧告する一連の活動のこと。

正解と解説を見る

正解:B

解説:
ITガバナンスは、経営陣が主体となり、IT投資の方向性を決め、その効果とリスクを監視し続ける組織的な能力です。JIS Q 38500では「評価・方向づけ・モニタリング」の3活動として定義されています。

選択肢Aは ITIL(IT Infrastructure Library)の説明です。ITILはITサービスマネジメントのベストプラクティス集であり、経営戦略の方向づけを行う組織能力とは位置づけが異なります。選択肢Cはシステム監査の説明です。独立した監査人による点検・評価活動であり、経営陣自らが行うIT戦略の統治とは主体が異なります。

よくある質問(FAQ)

Q. COBITとは何ですか?試験で問われますか?

COBIT(Control Objectives for Information and Related Technologies)は、ISACAが策定したITガバナンスとITマネジメントの国際的なフレームワークです。ガバナンス領域を「評価・方向づけ・モニタリング」の5プロセス、マネジメント領域を「計画・構築・運用・監視」の約30プロセスに体系化しています。ITパスポートや基本情報の午前で名前が出ることはまれですが、応用情報の午後(システム監査)では背景知識として出る場合があります。名称と「ガバナンスのフレームワーク」という位置づけだけ知っていれば対応できます。

Q. 中小企業にもITガバナンスは必要ですか?

規模の大小にかかわらず必要です。中小企業ではIT専任部門がなく、社長が直接クラウドサービスの契約やPC購入を判断しているケースが多いですが、それ自体がITガバナンスの一形態です。問題になるのは「誰も意思決定していない」状態で、部門ごとに勝手にSaaSを契約してデータが散在する、いわゆる”シャドーIT”が典型例です。試験範囲では大企業のフレームワーク寄りの出題が中心ですが、実務では会社規模に合った統治体制を設けること自体に意味があります。

Q. 「コーポレートガバナンス」と「ITガバナンス」の出題上の見分け方は?

選択肢の文に「IT戦略」「情報システム戦略」「ITの利用」といったIT固有のワードが含まれていればITガバナンス、「株主」「取締役会の監督」「経営の透明性」など企業統治全般のワードが中心ならコーポレートガバナンスです。両者は包含関係にあり、コーポレートガバナンスの中のIT領域を切り出したものがITガバナンスです。令和3年 IP 問49では「組織体の方針に基づいてITの利活用の方針を定め」が正解文となっており、「IT」の有無が判別基準として機能しています。

Q. ITガバナンスの実現をチェックする仕組みは何ですか?

代表的なのがシステム監査です。経済産業省のシステム監査基準では、監査の最終的なねらいを「ITガバナンスの実現に寄与すること」と位置づけています。FE H28春 問60やAP H23特別 問57でもこの関係がそのまま出題されました。つまり、ITガバナンスは経営陣が”つくる”もの、システム監査はそれが機能しているかを第三者が”確かめる”ものという対の関係です。

📚 関連用語ネットワーク

【前提知識】 内部統制/コーポレートガバナンス
【関連用語】 システム監査基準/システム管理基準/IT統制(ITGC・ITAC)
【発展】 COBIT/JIS Q 38500(ISO/IEC 38500)/EDMサイクル