>サイトトップへ >このカテゴリの一覧へ

Q 38500

:2015

(1)

目  次

ページ

序文  

1

1

  適用範囲,適用及び目的  

1

1.1

  適用範囲  

1

1.2

  適用  

1

1.3

  目的  

2

2

  用語及び定義  

2

3

  良好な IT ガバナンスのための枠組み  

4

3.1

  原則  

4

3.2

  モデル  

4

4

  IT ガバナンスのための手引  

6

4.1

  概要  

6

4.2

  原則 1:責任  

6

4.3

  原則 2:戦略  

6

4.4

  原則 3:取得  

7

4.5

  原則 4:パフォーマンス  

7

4.6

  原則 5:適合  

8

4.7

  原則 6:人間行動  

8

附属書 JA(参考)JIS と対応国際規格との対比表  

10


Q 38500

:2015

(2)

まえがき

この規格は,工業標準化法第 12 条第 1 項の規定に基づき,一般社団法人情報処理学会(IPSJ)及び一般

財団法人日本規格協会(JSA)から,工業標準原案を具して日本工業規格を制定すべきとの申出があり,

日本工業標準調査会の審議を経て,経済産業大臣が制定した日本工業規格である。

この規格は,著作権法で保護対象となっている著作物である。

この規格の一部が,特許権,出願公開後の特許出願又は実用新案権に抵触する可能性があることに注意

を喚起する。経済産業大臣及び日本工業標準調査会は,このような特許権,出願公開後の特許出願及び実

用新案権に関わる確認について,責任はもたない。


日本工業規格

JIS

 Q

38500

:2015

情報技術−IT ガバナンス

Information technology-Corporate governance of information technology

序文 

この規格は,

2008

年に第 1 版として発行された ISO/IEC 38500 を基に,

技術的内容は変更することなく,

構成を変更して作成した日本工業規格である。

なお,この規格で対応国際規格の構成を変更した箇所については,変更の一覧表にその説明を付けて

属書 JA に示す。

この規格で点線の下線を施してある参考事項は,対応国際規格にはない事項である。

適用範囲,適用及び目的 

1.1 

適用範囲 

この規格は,組織の経営陣(オーナー,取締役会の構成員,経営者,パートナー,上級取締役又はその

他これらと同等の人)のため,組織内で効果的,効率的及び受入れ可能な IT 利用に関する原則について規

定する。この規格は,組織によって使われる IT サービスに関係したマネジメントプロセス及び意思決定の

ガバナンスに適用できる。

これらのマネジメントプロセスは,組織内の IT の専門家若しくは外部のサービス提供者によって,又は

組織内の事業部門によって管理することが望ましい。

さらに,この規格は,経営陣への助言,情報提供,支援などを行う人々への指針を示す。その人々には,

次の者を含む。

−  上級マネージャ

−  組織内で資源を監視するグループの構成員

−  法律又は会計のような外部の業務又は技術の専門家

−  専門家,小売り関係者又は専門家の団体

−  ハードウェア,ソフトウェア,通信及びその他の IT 製品の供給業者

−  内外のサービス提供者(コンサルタントを含む。

− IT 監査人

1.2 

適用 

この規格は,公的及び私的な企業,政府機関並びに非利益組織を含む全ての組織に適用できる。この規

格は,極めて小さい組織から巨大な組織まで,その IT の利用の程度にかかわらず全ての組織に適用できる。

注記  この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。

ISO/IEC 38500:2008

,Corporate governance of information technology(MOD)

なお,対応の程度を表す記号“MOD”は,ISO/IEC Guide 21-1 に基づき,

“修正している”

ことを示す。


2

Q 38500

:2015

1.3 

目的 

この規格の目的は,次の事項によって,全ての組織で IT の効果的,効率的及び受容可能な利用を促進す

ることである。

−  この規格に従えば,組織の IT ガバナンスで信頼を獲得できることを(消費者,株主及び従業員を含む。

ステークホルダーに保証する。

−  組織の IT ガバナンスの利用について経営者に対する情報提供及び指針を与える。

− IT ガバナンスの客観的評価の基盤を提供する。

用語及び定義 

この規格で用いる主な用語及び定義は,次による。

2.1

受容可能な(acceptable)

合理的又は有益であるとして示される可能性があるステークホルダーの期待を満たすこと。

2.2

ガバナンス(corporate governance)

組織を指示し,管理するシステム。

2.3

IT

ガバナンス(corporate governance of IT)

組織の IT の現在及び将来の利用を指示し,管理するシステム。IT ガバナンスは,組織を支援するため

に IT の利用を評価すること及び指示すること,並びに計画を遂行するためにこの IT 利用をモニタするこ

とに関係する。これには組織における IT の利用に関する戦略及び方針を含む。

2.4

力量がある(competent)

業務又は役割を遂行するために必要な知識,公式及び公式でない技能,訓練,経験並びに行動属性の結

合をもつこと。

2.5

経営者(director)

組織の最も上位の執行役員会の構成員。所有者,役員会の構成員,共同経営者,上級役員又はそれらと

同格の人,及び法律又は規制で認められた役職者。

2.6

人間行動(human behavior)

良好な状態及びシステムのパフォーマンスを確実にするという意図をもって,システムの人間と他の要

素との間の相互作用を理解すること。

注記  人々の必要性,願望及び行動に基づいて,IT に関して多くの集団又はコミュニティが存在する。

例えば,情報システムを利用する人々は,可用性及びパフォーマンスと同様に,アクセシビリ

ティ及び人間工学に関連した必要性を示す可能性がある。IT の利用のために仕事の役割を変更

する人々はコミュニケーション,訓練,及び再保証に関連した必要性を示す可能性がある。IT

の能力の構築及び運用に関係する人々は,作業環境及び技能の開発に関係した必要性を示す可

能性がある。


3

Q 38500

:2015

2.7

情報技術(information technology,IT)

情報の取得,処理,保管及び展開のために必要な資源。この用語は,通信技術[Communication Technology

(CT)

,及びその合成語である情報通信技術[Information and Communication Technology(ICT)

]を含む。

2.8

投資(investment)

定められた目的及び他の利益を達成するための人,資金及びその他の資源の配分。

2.9

マネジメント(management)

組織の経営者によって定められた戦略的目的を達成するために必要な管理及び手続のシステム。マネジ

メントは,ガバナンスによる方針の指導及びモニタの設定に従う。

2.10

組織(organization)

会社,事業体,政府,非営利団体又は他の法的に設立された団体。これらには,自身の機能及び監督権

をもつ,協会,クラブ,共同経営体,政府の外郭団体,上場企業,私的企業及び自営業者を含む。

2.11

方針(policy)

組織でなされた決定を条件付ける好ましい方向性及び行動の明確かつ測定可能な表明。

2.12

提案(proposal)

なされた決定に適用できる利益,コスト,リスク,機会及び他の要素の編集物(事業計画案を含む。

2.13

資源(resources)

人々,手順,ソフトウェア,情報,装置,消耗品,基盤,資金及び運用ファンド,並びに時間。

2.14

リスク(risk)

事象の発生確率と事象の結果との組合せ。

注記  結果は,組織への影響である。通常の使い方では,負の方向の場合をいい,また,正の方向で

は“機会”を使う。

2.15

リスクマネジメント(risk management)

リスクに関して組織を指揮し管理する調整された活動(ISO/IEC Guide 73:2002 参照)

2.16

ステークホルダー(stakeholder)

意思決定又は活動に影響を与え得る,影響され得る又は影響されると認知している,あらゆる個人,団

体,又は組織。

2.17

戦略(strategy)

組織の将来活動において,組織を支援するための資源の効果的な利用を記載した,組織の成長の全体計

画。これには,目的の設定及び活動のための案の提出が関係する。


4

Q 38500

:2015

2.18

IT

利用(use of IT)

事業のニーズを満たすための,IT の計画,設計,開発,装備,運用,管理及び適用。これには,内部の

事業単位,特別な IT 単位,又は(サービスとしてソフトウェアを提供する供給者のような)外部の供給者

及びサービス業者のための,IT サービスの需要及び供給を含む。

良好な IT ガバナンスのための枠組み 

3.1 

原則 

この箇条は,良好な IT ガバナンスのための六つの原則を提供する。原則は,ほとんどの組織体で適用で

きる。

この原則は,意思決定のための望ましい行動を示す。それぞれの原則は,何が望ましいかを表明してい

るが,具体的に,どのようにして,いつ,誰がすべきかを指示している訳ではなく,その原則を実施する

個別の組織からは独立している。経営陣は,これらの原則が適用されることを要求することが望ましい。

3.1.1 

原則 1:責任(Responsibility)

組織内の個人及び部門は,IT の供給及び需要の両面の役割について,その責任を理解して受け入れる。

処置に責任を負う人もまた,その処置を遂行する権限をもつ。

3.1.2 

原則 2:戦略(Strategy)

組織の事業戦略は,IT の現在及び将来の能力を考慮する。IT の戦略計画は,その現在及び進行中の事業

戦略のニーズを満たす。

3.1.3 

原則 3:取得(Acquisition)

IT

の取得は,適切で継続的な分析を基礎として,明確で透明な意思決定による正当な理由に基づいて行

う。短期的及び長期的の両面で利益,機会,コスト及びリスクを適切に均衡させる。

3.1.4 

原則 4:パフォーマンス(Performance)

IT

は組織を支援し,現在及び将来の事業のニーズに合うサービス,サービスレベル及びサービス品質を

提供する点で目的に適合する。

3.1.5 

原則 5:適合(Conformance)

IT

は,必須である全ての法律及び規制に適合する。方針及び指針は,明確に定義,実施及び強制される。

3.1.6 

原則 6:人間行動(Human Behaviour)

IT

の方針,指針及び決定は,プロセスにおける人間の全ての現在及び発展するニーズを含み,人間行動

を尊重する。

3.2 

モデル 

3.2.1 

一般 

経営者は,三つの主な職務によって IT を統制することが望ましい。

a)

現在及び将来の IT 利用について評価する。

b) IT

利用が事業の目的を合致することを確実にするために計画及び方針の準備及び実施を指示する。

c)

方針への適合及び計画の実績をモニタする。

評価−指示−モニタのサイクルの IT ガバナンスモデルを

図 に示す。図 に続く文章は描かれた要素及

びそれらの関係を説明する。


5

Q 38500

:2015

図 1IT ガバナンスのモデル 

3.2.2 

評価 

経営者は,現在及び将来の IT 利用について調査し,戦略,提案及び供給の手配(内部及び/又は外部の

いずれかで)を含んで,判断することが望ましい。

経営者は,IT 利用の評価において,技術的変化,経済的・社会的傾向,政治的影響などの,事業の遂行

に影響を与える外部又は内部の圧力を考慮することが望ましい。

経営者は,圧力の変化に応じて継続的に評価し続けることが望ましい。

経営者は,現在及び将来の事業のニーズも考慮することが望ましい。評価している戦略及び提案の特定

の目的と同様に,競争の優位性を維持し,達成することが望ましい。

3.2.3 

指示 

経営者は,計画及び方針に関する責任を割り当てることが望ましく,それらの準備及び実施を指示する

ことが望ましい。計画は,IT プロジェクト及び IT 運用における投資の方向性を定めることが望ましい。

方針は,IT 利用における健全な行動を定めることが望ましい。

経営者は,プロジェクトの運用状態への移行が適切に計画され,管理されていることを確実にすること

が望ましい。そのためには,既存の IT システムに対する影響と同様に事業及び運用の実施への影響も考慮

することが望ましい。

経営者は,管理者がときを得た情報の提供,方向性への適合及び六つの良好なガバナンス原則への遵守

によって,組織の良好な IT ガバナンスの文化を醸成することが望ましい。

経営者は,必要な場合,特定されたニーズを取り扱う承認のための提案を提出するよう指示することが

望ましい。

3.2.4 

モニタ 

経営者は,適切な測定システムによって IT の実績をモニタすることが望ましい。経営者はその実績が計

画どおりかを,特に事業目的に関して再認識することが望ましい。

経営者は,IT が外部からの義務(法律,規制,慣習法及び契約)に適合し,また,内部の業務手順に沿

っていることも確認することが望ましい。

注記 IT の特定された局面では,組織の中の管理者に権限移譲が可能な場合がある。しかし,IT の組

織による効果的,効率的かつ受容可能な利用及び提供の説明責任は,依然として経営者にあり

権限移譲できない。


6

Q 38500

:2015

4 IT

ガバナンスのための手引 

4.1 

概要 

この箇条では,優れた IT ガバナンスの原則及びその原則の実現に必要な実践のための手引を提供する。

記載した実践例で全てを網羅していないが,IT ガバナンスにおける経営者の責任を議論する上での出発点

となる。すなわち,記載した実践は良好な IT ガバナンスの原則の手引を示す。

個々の組織には,組織の特性を十分考慮し,IT 利用のリスク及び機会の適切な分析を行った上で,該当

する組織として,原則の実現に必要な処置を識別する責任がある。説明の基礎として,記載している実践

例は,通常,ほとんどの組織(大組織から小組織まで)において適用することができる。いかなる変更に

ついても,十分に考慮することが望ましい。

4.2 

原則 1:責任 

4.2.1 

評価 

経営者は,組織の現在及び将来の IT 利用の観点から,責任の割当てに関する複数の選択肢を評価するこ

とが望ましい。選択肢の評価において,経営者は,現在及び将来の事業目的を支援する点で,効果的,効

率的かつ受容可能な IT の利用及び提供を求めることが望ましい。経営者は,IT に関する意思決定の責任

を与えた人に力量があるかを評価することが望ましい。事業の価値及びプロセスを理解した IT の専門家の

支援を受ける人々は,一般的に,組織の事業目的及びパフォーマンスに対しても責任をもつ事業の管理者

であることが望ましい。

4.2.2 

指示 

経営者は,割り当てた IT の責任に従って,計画を実行するように指示することが望ましい。

経営者は,自らの責任及び説明責任を果たすために必要な情報を受け取ることを指示することが望まし

い。

4.2.3 

モニタ 

経営者は,適切な IT ガバナンスの仕組みを確立することをモニタすることが望ましい。

経営者は,責任を与えられた人々が自らの責任を認識し,理解することをモニタすることが望ましい。

経営者は,IT ガバナンスについて責任を与えた人々(例えば,ステアリングコミッティに参加する人々,

又は経営者に提案を上げる人々)のパフォーマンスをモニタすることが望ましい。

4.3 

原則 2:戦略 

4.3.1 

評価 

経営者は,将来の事業のニーズを IT が支援することを確実にするために,IT の開発及び事業のプロセ

スの進展を評価することが望ましい。

計画及び方針を考慮するに当たって,経営者は,IT の活動が変化する環境での組織の目的に沿い,より

よい実践の方法を考慮し,かつ,他の主要なステークホルダーの要求事項を満たすことを確実にするため

に,IT の活動を評価することが望ましい。

経営者は,IT 利用が,関連する国際及び国内の規格に規定されているように,適切なリスクのアセスメ

ント及び評価を受けていることを確実にすることが望ましい。

4.3.2 

指示 

経営者は,組織が IT の開発から確実に効果を得られるような計画及び方針を準備し,活用するように指

示することが望ましい。また,経営者は,組織が新しい機会又は挑戦へ対応し,新規事業を立ち上げ,又

はプロセスを改善することを可能とする IT の革新的な利用のための提案を提出するように促すことが望

ましい。


7

Q 38500

:2015

4.3.3 

モニタ 

経営者は,必要な期間及び割り当てられた資源の下で目的を確実に達成するために,承認された IT の提

案の進捗をモニタすることが望ましい。

経営者は,意図する効果の達成を確実に得るために,IT 利用をモニタすることが望ましい。

4.4 

原則 3:取得 

4.4.1 

評価 

経営者は,

承認された提案を実現するために,

リスクと投資金額に見合う価値とのバランスを取りつつ,

IT

の提供に関する複数の選択肢を評価することが望ましい。

4.4.2 

指示 

経営者は,IT 資産(システム及び基盤)が,必要な能力が確実に提供される形で,適切な文書とともに,

適切な方法で取得するように指示することが望ましい。

経営者は,供給の取決め(内部及び外部の両方の供給契約の取決めを含む。

)が組織における事業のニー

ズを支援するように指示することが望ましい。

4.4.3 

モニタ 

経営者は,IT 投資を通じて必要な能力が確実に提供されるように,IT 投資をモニタすることが望ましい。

経営者は,IT 取得に関する組織の意向に関して,組織及び供給者がどの程度共通認識を理解しているかに

ついて,モニタすることが望ましい。

4.5 

原則 4:パフォーマンス 

4.5.1 

評価 

経営者は,IT が必要な能力及び容量をもって事業プロセスを支援することを確実にするために,管理者

によって提案された手段を評価することが望ましい。

これらの提案は,事業の継続的かつ正常な運用及び IT 利用に関連したリスク対応に対処することが望ま

しい。

経営者は,IT 活動から生じる事業の継続的な運用に対するリスクを評価することが望ましい。

経営者は,関連した知的財産及び組織の情報を含む,IT 資産の保護及び情報の完全性に対するリスクを

評価することが望ましい。

経営者は,事業目標を支援する点で IT 利用について効果的かつ適時な意思決定を保証する選択肢を評価

することが望ましい。

経営者は,IT ガバナンスのための組織におけるシステムの有効性及びパフォーマンスを定期的に評価す

ることが望ましい。

4.5.2 

指示 

経営者は,その合意した優先順位及び予算上の財政的制約に従って,IT が組織の必要性を満足するよう

に,十分な資源を配分することを確実にすることが望ましい。

経営者は,IT が,事業上必要な場合,損失又は誤用を除き,正確かつ最新のデータを用いて事業を支援

することを確実にする責任をもつ人に指示することが望ましい。

4.5.3 

モニタ 

経営者は,IT が事業を支援する範囲をモニタすることが望ましい。

経営者は,事業目的に従って,配分された資源の範囲及び予算の優先順位付けについてモニタすること

が望ましい。

経営者は,例えば,データの正確さ及び IT の効率的な利用のために,適切に従っている方針の範囲をモ


8

Q 38500

:2015

ニタすることが望ましい。

4.6 

原則 5:適合 

4.6.1 

評価 

経営者は,IT が義務(法律,規制,慣習法及び契約)

,内部の方針,規格,及び専門指針を満足する範

囲を定期的に評価することが望ましい。

経営者は,IT ガバナンスのためのシステムに対する組織内部の適合を定期的に評価することが望ましい。

4.6.2 

指示 

経営者は,IT の利用が現状の義務(法律,規制,慣習法及び契約)

,規格及び指針に遵守することを確

実にする定常的な仕組みを確立することに責任をもつ人々に指示することが望ましい。

経営者は,組織が IT 利用について内部の義務を満たすことができるように,方針を確立し,実施するこ

とを指示することが望ましい。

経営者は,IT 要員が専門的な行動及び開発のための関連する指針に従うことを指示することが望ましい。

経営者は,IT に関係する全ての処置が,倫理的であることを指示することが望ましい。

4.6.3 

モニタ 

経営者は,適切な報告及び監査の実施を通して,IT の法令遵守及び適合性をモニタすることが望ましい。

そのために,レビューが事業の満足度の評価のために適時で,理解ができ,かつ,適切であることを確実

にする。

経営者は,環境,プライバシ,戦略的知識管理,組織の情報の保持及びその他関連する義務を満たして

いることを確実にするために,資産及びデータの廃棄を含む,IT の活動をモニタすることが望ましい。

4.7 

原則 6:人間行動 

4.7.1 

評価 

経営者は,人間行動が特定され,適切に考慮されることを確実にするために IT の活動を評価することが

望ましい。

4.7.2 

指示 

経営者は,IT 活動が特定された人間行動と合致していることを指示することが望ましい。

経営者は,リスク,機会,事象及び懸念をいつでも誰かによって特定し,報告されてもよいように指示

しておくことが望ましい。

これらのリスクは,公表された方針及び手順に従って管理され,適切な意思決定者へ順次報告されるこ

とが望ましい。

4.7.3 

モニタ 

経営者は,特定された人間行動が関連を保っており,適切な注意が払われていることを確実にするため

に,IT 活動をモニタすることが望ましい。

経営者は,業務の実施が IT の適切な利用と合致していることを確実にするために,業務の実施をモニタ

することが望ましい。


9

Q 38500

:2015

参考文献

ISO/IEC Guide 73:2002

,Risk management−Vocabulary−Guidelines for use in standards

注記 2009 年に最新版が発行され,その JIS が JIS Q 0073:2010 として発行されている。

OECD Principles of Corporate Governance, OECD, 1999 and 2004

Report of the committee on the financial Aspects of corporate governance, Sir Adrian Cadbury, London, 1992

ISBN 0 85258 913 1


10

Q 38500

:2015

附属書 JA

(参考)

JIS

と対応国際規格との対比表

JIS Q 38500:2015

  情報技術−IT ガバナンス

ISO/IEC 38500:2008

,Corporate governance of information technology

(I)JIS の規定

(II)国際

規格番号

(III)国際規格の規定

(IV)JIS と国際規格との技術的差異の箇条ごとの評

価及びその内容

(V)JIS と国 際規格 との 技

術的差異の理由及び今後の

対策

箇条番号

及び題名

内容

箇条

番号

内容

箇条ごと

の評価

技術的差異の内容

1

適用範囲,適

用及び目的

規格の適用範囲,適用,
目的を記載

ISO/IEC 

38500

1.1

1.2

1.3

JIS

と同じ

一致

箇条番号だけの変更

技術的差異はない

削除

ISO

規格の 1.4 Benefits of using this

standard

は規定と無関係なので削除し

ている。

2

用語及び定義

用語及び定義  1.6

JIS

と同じ

一致

箇条番号だけの変更

技術的差異はない

3

良好な IT ガバ

ナンスのための
枠組み

IT

ガバナンスのための

枠組み及び原則

 2

JIS

と同じ

一致

箇条番号だけの変更

技術的差異はない

4 IT

ガバナンス

のための手引

IT

ガバナンスを実施す

るときのやるべき項目

 3

JIS

と同じ

一致

箇条番号だけの変更

技術的差異はない

参考文献

1.5

JIS

とほぼ同じ

一致

直接引用していないので,参考文献と

した。

技術的差異はない

JIS

と国際規格との対応の程度の全体評価:ISO/IEC 38500:2008,MOD

注記 1  箇条ごとの評価欄の用語の意味は,次による。 

−  一致  技術的差異がない。

−  削除  国際規格の規定項目又は規定内容を削除している。

注記 2  JIS と国際規格との対応の程度の全体評価欄の記号の意味は,次による。 

−  MOD  国際規格を修正している。

10

Q 3

850

0


2

015