JIS Q38503原案作成委員会
第3 種専門委員会
JIS Q 38503(ITガバナンスのアセスメント)原案作成委員会
<2022年度委員会活動報告>
委員長 原田要之助(情報セキュリティ大学院大学)
1. 経緯
IS Q 38500(情報技術-ITガバナンス)は,経済産業省のシステム管理基準の基礎ともなっている.しかし,ITガバナンスを組織に適用して体系的にアセスメント(評価)する必要がある.現在のシステム管理基準では一部を評価することはできるものの十分ではなく全体を俯瞰的に評価し,監査できる規格が望まれている.
国際規格ではISO/IEC 38500,ISO/IEC TS 38501(Information technology - Governance of IT - Implementation guide)及びISO/IEC TR 38502(Information technology - Governance of IT - Framework and model)をベースにITガバナンスを導入した組織を体系的に評価及び監査できる規格が開発されており,日本もエディターとして積極的に協力してISO/IEC 38503(Information technology -- Governance of IT - Assessment of the governance of IT)が2022年に制定された.
経営陣は組織におけるITガバナンスの実施状況をモニタリング・評価して,その結果を元に組織の戦略の見直しや管理者への指示を変更することが求められている.この規格は,経営陣がITガバナンスの状況を客観的に把握し,その成果を経営に活用できるように,ITガバナンスのアセスメントの実施体系を標準化し,その有効性を成熟度を用いて評価するガイダンスを提供している.
この規格の主な規定項目は次の通りである.
国際規格ではISO/IEC 38500,ISO/IEC TS 38501(Information technology - Governance of IT - Implementation guide)及びISO/IEC TR 38502(Information technology - Governance of IT - Framework and model)をベースにITガバナンスを導入した組織を体系的に評価及び監査できる規格が開発されており,日本もエディターとして積極的に協力してISO/IEC 38503(Information technology -- Governance of IT - Assessment of the governance of IT)が2022年に制定された.
経営陣は組織におけるITガバナンスの実施状況をモニタリング・評価して,その結果を元に組織の戦略の見直しや管理者への指示を変更することが求められている.この規格は,経営陣がITガバナンスの状況を客観的に把握し,その成果を経営に活用できるように,ITガバナンスのアセスメントの実施体系を標準化し,その有効性を成熟度を用いて評価するガイダンスを提供している.
この規格の主な規定項目は次の通りである.
(1) 適用範囲
(2) 引用規格
(3) 用語及び定義
(4) ITガバナンスをアセスメントする便益
(5) アセスメントの適用範囲及びアプローチ
(6) ITガバナンスのアセスメント
(7) アセスメント活動
(8) 附属書A(参考)アセスメントフレームワーク - ITガバナンスの実践領域
(2) 引用規格
(3) 用語及び定義
(4) ITガバナンスをアセスメントする便益
(5) アセスメントの適用範囲及びアプローチ
(6) ITガバナンスのアセスメント
(7) アセスメント活動
(8) 附属書A(参考)アセスメントフレームワーク - ITガバナンスの実践領域
2. 作業内容
- 4件のEditorialな原文誤りの指摘があり、審議した結果、原文を訂正した訳とした.
- 訳語については関連規格であるJIS Q 38507「AI(人工知能)の利活用が組織のガバナンスに与える影響」の議論と調整しながら進めた.
- “accountability”の訳語としては,JIS Q 31000「リスクマネジメント – 指針」で使われている“アカウンタビリティ”を採用し,本文に次の注記を加えた.
-注記 アカウンタビリティは,実行結果責任及びその説明責任を示している.
- “use of IT”は、JIS Q 38500:2015では「IT利用」と訳されているが,事業目標を達成し,組織の価値を向上させる目標及び成果の達成を強調するため「IT利活用」と訳した.
- ITガバナンスの実践領域の三つの特性について、重要な概念であるため,次の訳語とした.
- Governance tasks (EDM) and practices:ガバナンスの職務(EDM)及び実践
- Evidence of success:成果の証跡
- Beneficial outcomes:有益な成果
- ITガバナンスのアセスメントへの参加者としてexecutive manager,executive management:の用語が用いられているが,文中の意味は同一である.executive managementは箇条5に集中しており,文書作成の分担作業での修正漏れによるものと思われ,corrigendum候補として提起することにした. JIS Q 38503では,「エグゼクティブ・マネージャ」の訳語に統一した.
- ITガバナンスの仕組み及び環境として新しく用いられている用語については,下記の訳語とした.
- Enabling mechanism : イネーブリングメカニズム(実現を可能にする仕組み)
- Enabling environment : イネーブリング環境(実現を可能にする環境)
- 成果の証跡の種類としてsubjective evidence 「主観的証跡」についてはJIS Q 38503解説に説明を加えた.
3. その他
- 引用規格ISO/IEC TS 38501(Information technology - Governance of IT - Implementation guide)及びISO/IEC TR 38502(Information technology - Governance of IT - Framework and model)はJIS規格が存在しないが,内容の関連が大きい為,JIS Q 38503解説にその抜粋を記載することにした.
- 引用規格ISO/IEC 38500(Information technology -- Governance of IT)は現在ISO/IEC JTC1 SC40において改定作業が進行中である.この改定に伴い,関連の諸規格の改定も検討されており,当規格の対応国際規格であるISO/IEC 38503:2022,Information technology — Governance of IT — Assessment of the governance of IT も含まれると想定される.