JIS Q 38500改正原案作成委員会

委員長　原田 要之助（情報セキュリティ大学院大学）　

　この規格の旧版は、組織の経営陣が、組織内にITを導入し、効果的、効率的及び受け入れ可能なレベルでITを利活用する原則について規定したものである。今回は改正であり、旧版は、ISO/IEC 38500:2008を基に2015年に制定された（2015年に小規模の書式改訂をしたISO/IEC 38500:2015がある。）。その後、ISO 37000:2021（組織のガバナンス)が発行されたことから、組織の活動とITの利活用が効率的に推進できるように、ISO/IEC 38500は、ISO 37000の11の原則に基づく行動、モデル及びフレームワークをベースにして、旧版のモデルを再構成して、2024年に改訂された。今回我が国においても国際の動きに合わせ、国際規格に整合したJISに改正した。


　この規格の改正によって、組織におけるIT利活用の管理と評価がISO 37000とも整合された形で実施することが期待できる。また、経済産業省が既に発行しているシステム管理基準、システム監査基準と協調して、ITガバナンスのJISが国内の経営層に広く普及、活用されることが期待される。

今回の主な改正点は、次の通りである。

• 規格の名称を対応国際規格に合わせ，“組織の”を追加し“情報技術—組織のITガバナンス”に変更した。
• 現在のITガバナンスにISO 37000:2021に規定する組織のガバナンスを追加して、2つのガバナンスの同一方向性を明確にするため、“ITガバナンスの原則”、“ITガバナンスのためのモデル”及び“ITガバナンスのフレームワーク”の構成に改め規定内容を変更する。
• 引用規格において、組織のガバナンスを規定したISO 37000:2021を追加する。
• 用語及び定義において、不要な用語を削除し、ISO 37000の用語を新たに追加する。
• ITガバナンスの原則において、ISO/IEC 38500:2015が独自に示していた6項目（責任、戦略、取得、パフォーマンス、適合、人間行動）からISO 37000に整合した11項目（目的、価値の生成、戦略、オーバーサイト、アカウンタビリティ、ステークホルダー対応、リーダーシップ、データ及び意思決定、リスクガバナンス、社会的責任、長期的な持続可能性及びパフォーマンス）に改める。
• ITガバナンスのためのモデルにおいて、現在のISO/IEC 38500の“評価”－“指示”－“モニター”の三角形のモデルからISO 37000の円形を組み合わせたモデルに差し替える。また、原則の一つの要素である“ステークホルダーの関与”に対応するタスクとして“ステークホルダー対応”を追加する。　
• ITガバナンスのフレームワークにおいて、組織のITガバナンスの取り決めが適用される６つの構成要素（方向性、 活用能力、方針、権限委譲、 パフォーマンス、アカウンタビリティ)を含むフレームワークを新たに追加する。

　ISO 37000のJIS化が難しいことから、IT領域以外の用語が多く使われていて、その説明が簡単な場合、本文中で注釈を追加した。長文での解説が必要なものについては、解説の中で処理をすることにしたため、解説が長くなった。