製造業に対するサイバー攻撃の増加や、リモートワークやクラウドの推進など、何かと変化が大きい状況の中で、「ITガバナンス」の強化に取り組む必要性を感じている方は多いのではないでしょうか。
本記事では、ITガバナンスとは何かについて詳しく取り上げたのち、「ITガバナンスが効いていない」とはどういうことかを示す5つのレベルや、経営陣に向けて提供されている6つの原則について解説します。

ITガバナンスの主体は「経営陣」 ITマネジメントとの違いは？

経済産業省の資料では、ITガバナンスは以下のように定義されています。

ITガバナンスとは経営陣がステークホルダのニーズに基づき、組織の価値を高めるため に実践する行動であり、情報システムのあるべき姿を示す情報システム戦略の策定及び実 現に必要となる組織能力である。

ITガバナンスとITマネジメントの違いはよく取りざたされるテーマですが、前者は、上記の引用文にも記されている通り経営陣が主体となって構築する仕組みであり、後者はマネージャーが実行する業務であるという点で異なります。

ITガバナンスはそもそも、企業の公正な事業活動をルールや監視により徹底させる仕組みである「コーポレートガバナンス」から派生した概念です。経営戦略としてITをとらえ、そのための組織作りやビジョンの策定など長期的な目線で取り組むことがITガバナンスでは求められます。

経営陣とIT戦略を統括するCIO、各部門を代表するCxO、それに情報システム部門長や各部門の部門長を含む委員会（情報システム戦略委員会、プロジェクト運営委員会など）がITガバナンス策定の主体となると、先の経済産業省資料では定められています。

「ITガバナンスが効いていない」とは？

よく「自社のITガバナンスは十分に効いていない」といった表現が用いられます。
ここで言う「ITガバナンスが効いていない」とは具体的にどういうことなのでしょうか？
以下の5つのレベルに分けて考えてみましょう。

• レベル1：ITガバナンスの事がそもそも知られていない
• レベル2：ITガバナンスの重要性が浸透していない
• レベル3：IT戦略の方針や目標の決定の手続きが定められていない／ITガバナンスの組織体制がない
• レベル4：ITガバナンス体制が定期的にモニタリングされていない
• レベル5：IT戦略に基づいたITガバナンス体制の見直しが定期的に行われていない

「ITガバナンスが効いていない」と表現される場合、上記の5つのレベルのいずれかに分類される状況が生じているはずです。

ITガバナンスにおける国際標準であるISO/IEC 38500 シリーズおよび日本での規格である JIS Q 38500では、経営陣の役割として「EDMモデル」と呼ばれるものがございます。

• E（Evaluate：評価）
• D（Direct：指示）
• M（Monitor：モニタ）

評価とは、現在のIT利用状況と、将来のあるべき姿を比較し、あるべきITマネジメントの形を検討することを意味します。指示は、評価で定めた「To be（将来あるべき姿）」を実現するため、責任と権限を組織内で割り当てるとともに、プロジェクト計画とポリシーを策定、実施するフェーズです。そして、その成果はモニタの段階で評価され続け、目標の達成度に合わせて計画は見直されることになります。

また、経営陣には、以下の6つの原則がITガバナンスの指針として提供されています。

1. 責任：ITガバナンスにおいて役割を持つ人は、その役割を果たす権限を持つ
2. 戦略：IT戦略は現在および将来のニーズを考慮して作成されなければならない
3. 取得：情報システムの導入は、短期・長期の両面で、情報システムの導入は効果・リスク・資源のバランスが取れている必要がある
4. パフォーマンス：情報システムは現在・将来のニーズを満たす必要がある
5. 適合：情報システムは、関連するすべての法律や規制に適合しなければならない
6. 人間行動：ITシステムのパフォーマンス維持に関わる人間の行動は尊重されなければならない

ITガバナンス不足の日本と「DX認定制度」

経済産業省内に設置された『システムガバナンスの在り方に関する検討会事務局』が2019年4月にまとめた資料では、日本企業のITガバナンス・マネジメントが不十分になる原因に“部門単位でバラバラなシステム運用を行っている（※）”ことがあると指摘されています。

これはすなわち部門単位の権限が大きい日本の企業体質の裏返しであり、ITガバナンスという視点が文化的風土として欠けていることを反映しているでしょう。
その一方、「ITによる製品／サービス開発強化」や「ITによる顧客行動／市場の分析強化」「ITによるビジネスモデル変革」といった“攻めのIT投資”が不足しているのも日本企業の特徴です。現場視点でのカイゼンが粘り強く行われるのは日本企業の強みとされ続けてきましたが、やはり全社的なダイナミズムを伴った改革には繋がりづらく、ITガバナンスが“効きづらい”状況となっているようです。

そこで2020年11月に「デジタルガバナンス・コード」及び「DX認定制度」が公表され、ITガバナンスの指針が提供されることになりました。ITガバナンスを強化するにあたって、DX認定制度での認定を目標とするのは有効な手段の一つです。

ITガバナンスに必要なのは「長期的な安定運用」

ITガバナンスとは何なのか、政府資料などを参考に詳しく解説してまいりました。ITガバナンスは仕組みであり、その方針に基づいてITマネジメントが実行されることになります。将来にわたって利用されることを前提として、短期的な成果よりも長期的な安定運用に繋がる体制・プロジェクト計画を作っていきましょう。