ビジネスにおけるIT技術への依存度が高まる中、「ITガバナンス」を強化する重要性はますます高まっています。そこで本記事では、ITガバナンスの概要をはじめ、各企業がITガバナンスの強化に取り組む際に参考となるガイドラインの内容について、わかりやすく解説していきます。
ITガバナンスとガイドライン
そもそも「IT ガバナンス」とは、コーポレートガバナンスにおけるIT部分に関する規定を意味します。その主な要素は、事業運営においていかにIT技術を活用するかという戦略的な思考と、実際の運用において生じ得るリスクへの危機管理対策です。
「デジタル化」や「DX」などの言葉に象徴されるように、今日のビジネスにおいて競争的優位を獲得するには、IT技術の積極的な活用が欠かせません。しかし、その一方でIT活用にかかるコストやリスクは日ごとに増大しており、システムの適正な技術的管理・コスト管理・リスク管理を徹底することが、安定的経営を実現させるうえで重要になってきています。
現在では現場主導でのデータ活用を進める企業も増えており、「ITに深く関わるのはIT部門だけ」という時代は過ぎ去りつつあります。とりわけITの積極活用に取り組む先進的企業においては、「今やITガバナンスはIT部門だけでなく、経営者が主導して企業全体で取り組むべき課題である」という見方が強まっているのです。
しかし、すべての企業が一からこうした強固なITガバナンスを構築できるだけのノウハウや体制をもっているとは限りません。そこで各企業がITガバナンスを整備・強化する際の参考資料として用いるのが、ITガバナンスのガイドラインです。こうしたガイドラインは政府機関だけでなく、さまざまな法人からも提供されているため、多くの資料を参照することが可能です。
ITガバナンスのガイドラインに関連した基準
上記のように、ITガバナンスを構築したり改善したりする際の指標となるガイドラインには、さまざまな種類のものがあります。代表的なものとしては、たとえば以下が挙げられます。
- 経済産業省が策定した「システム監査基準」および「システム管理基準」
- 国際標準である「ISO/IEC38500」
- 日本工業規格の「JIS Q 38500」
- 国際団体ICSAが策定した「COBIT 2019」
- 日本政府が策定した「デジタルガバナンス・コード」
ここでは、これらのITガバナンスのガイドラインに関連した代表的な基準をご紹介していきます。
システム監査基準
「システム監査」とは、専門的知識を備えた監査人が対象のITシステムの点検・検証・評価を行い、システム所持者の管理運用の仕方や、その品質について客観的な保証や助言を与える行為をいいます。
そして「システム監査基準」とは、監査人がこうしたシステム監査を適正に行えるよう、経済産業省が制定した基準ないしはそのガイドラインのことです。この基準は、大手・中小の民間企業だけでなく、省庁や自治体などの公的機関や、学校・病院などの法人でも活用できるような汎用的内容となっています。
システム管理基準
「システム管理基準」も同じく、経済産業省が制定した基準です。ITシステムを安全かつ効果的に活用するためには、適切な管理体制の構築が欠かせません。そこで本ガイドラインには、組織のマネジメント層がITガバナンスを構築する際に参考にできるよう、正しいシステム管理において必要となる基本的な事項が体系的に記されています。
JIS Q 38500:2015 情報技術 ITガバナンス
「JIS Q 38500」は、経済産業省大臣が認可した日本工業規格です。本規格は組織のマネジメント層に対して、組織内で効果的ないしは効率的にITを活用するうえでの原則を提供するためのものです。ここには、組織内で利用されるITサービス関連のマネジメントプロセスや、意思決定のガバナンスを確保するための方法が記載されています。経営者がITの活用や投資を進める際は、この規格を指針とするとよいでしょう。
COBIT
「COBIT」とは、ITセキュリティやITガバナンスに関する専門家を中心に構成された国際団体「ISCA」が提供するITマネジメントフレームワークです。COBITは、情報管理やガバナンスに関する戦略を策定・整理・実施する企業を支援するために作られました。COBITの最新バージョン「COBIT 2019」はITIL/CMMI/TOGAFなど、ほかの標準的なITマネジメントフレームワークとの整合性も考え抜かれており、組織全体のプロセスを統一するためのフレームワークとして、最適な選択肢のひとつとなっています。
デジタルガバナンス・コード
「デジタルガバナンス」とは、簡単にいえばDX実現のために必要な組織全体のガバナンスです。経済産業省の定義によれば、DXとは「最新のIT技術の活用によって、従来のビジネスプロセスや企業風土を抜本的に変革させること」とされています。つまり、DXはIT部門の努力だけで実現するものではなく、企業のトップである経営者が主体となって経営理念やビジョンを示し、組織全体で取り組んでいかなければならない課題といえます。
そして、企業がそのような形でDXを進めていけるよう、国が策定したガイドラインが「デジタルガバナンス・コード」です。従来のITガバナンスのガイドラインは基本的に、ITシステムの統制を行うための指針と位置づけられますが、デジタルガバナンス・コードは「DXを実現するために企業全体で何をすればよいか」という指針を示すものと特徴づけられます。
なお、上記のガイドライン以外では、国際標準である「ISO/IEC38500」や、財団法人金融情報システムセンター (FISC) が策定し、金融庁も参考にしている「FISC 安全対策基準」などが一般によく知られています。
ITガバナンス強化のポイント
企業がITガバナンスを強化するためには、一体どのようなことに取り組むべきなのでしょうか。
まず押さえておくべきなのは、上記のデジタルガバナンス・コードの項でも触れたように、現在のITガバナンスは組織全体で取り組む必要があることです。それゆえITガバナンスを抜本的に強化するためには、組織のトップである経営者がITガバナンスの重要性を深く理解していることが欠かせません。
そして、自社のIT資産への投資や活用法が、企業戦略全体の利益に適うものか評価し、それに沿って実務部門へ具体的な施策を指示したり、その効果を継続的にモニタリングしたりできる体制を整えることが重要です。もちろん、ここで行うべき施策の中には、IT資産を安全運用するためのセキュリティ対策も含まれます。
とはいえ、事業規模が大きくなってくれば、経営者が1人で自社の事業体制を把握するのは難しくなってきます。そのため、持続的にITガバナンスの強化や維持を図るには、自社のIT運用の在り方を評価検討する「IT戦略委員会」を設置したり、ITに関して優れた知見をもつ人物を「CIO(情報システム担当役員)」に任命したりするなど、組織体制の整備を進めることが大切です。
さらに、IT技術は日進月歩で進化しているため、そうした技術的変化や新たなサイバー攻撃の登場などに合わせて、適宜自社のガバナンス体制を修正・改善していくことも必要です。先にご紹介したITガバナンスのガイドラインも改訂されることがあるので、そうした情報も適宜確認することをおすすめします。
まとめ
企業活動におけるIT技術の影響力が強まる中、自社のIT運用体制を最適化するITガバナンスの重要性はますます高まっています。「Microsoft Azure」は、組織のガバナンス維持に役立つ豊富な機能をもったクラウドプラットフォームです。ITガバナンスの強化に取り組むならば、Azureの活用を検討してみてはいかがでしょうか。