ITパスポート 令和6年度 問11：corporate_legalに関する問題

答えは b「ISO 9001の導入」 です。

世界共通の“認定マーク”がいくつもあって、それぞれ守る対象がちがいます。

ISO 9001は 「品質（クオリティ）」を良くするためのルール集。製品やサービスの質を安定させ、会社の仕事のやり方を整える国際的なお墨付きです。問題のキーワード「品質」「マネジメントの質や効率の向上」がぴったり合います。

👉 覚え方：9001＝Quality（品質）の9、とセットで暗記。

ほかの選択肢：a ISMS＝情報の安全（セキュリティ）を守る仕組み／c ITIL＝ITサービスの運用を上手くやるお手本集／d プライバシーマーク＝個人情報をきちんと守っている会社の印。

なぜこれが正解か

正解は b。ISO 9001は品質マネジメントシステム（QMS）の国際規格。組織やプロセスの運営管理を標準化し、製品・サービスの品質を継続的に改善して、マネジメントの質や効率の向上を図ることを目的とする。問題文の「品質」「運営管理の標準化」がそのまま該当。

各選択肢の解説

• a ISMS（ISO/IEC 27001）：情報セキュリティマネジメントシステム。情報の機密性・完全性・可用性を守る。
• c ITIL：ITサービスマネジメントのベストプラクティス集（フレームワーク）。サービス運用の効率化が目的で、品質規格ではない。
• d プライバシーマーク：個人情報を適切に扱う事業者に付与される日本の認証（JIS Q 15001ベース）。

覚え方・ひっかけ注意

ISO 9001＝品質／ISO 27001（ISMS）＝情報セキュリティ／ISO 14001＝環境 の番号と対象をセットで暗記。「品質」と来たら9001。ITILはフレームワークであって認証規格ではない点も注意。

理論的背景

ISO 9001は国際標準化機構（ISO）が発行するQMS（Quality Management System：品質マネジメントシステム）の国際規格であり、2015年版が最新（ISO 9001:2015 ≒ JIS Q 9001:2015）である。本規格はTQM（Total Quality Management）の考え方を基礎として、製品・サービスの品質を組織として継続的に向上させるための「マネジメントシステムの要件」を定める。適用範囲は製造業のみならずサービス業・政府機関・非営利団体等あらゆる組織形態に対応し、「組織が一貫して製品・サービスを提供できる能力を実証する」ことを目的とする。ISO 9001:2015の主要な概念：①プロセスアプローチ（活動を相互に関連するプロセスとして管理）②リスクベース思考（リスクを特定して機会を活用するアプローチ）③リーダーシップ（トップマネジメントのコミットメント重視）④PDCA（計画→実施→確認→改善の継続的改善）⑤ハイレベルストラクチャー（ISO/IEC 27001等他のマネジメント規格と共通の章構成）。本問の正解bは「品質に関する組織やプロセスの運営管理の標準化・マネジメントの質や効率の向上」という目的記述がISO 9001の適用目的に合致する。

実務での使われ方

ISO 9001の認証取得は「品質保証の信頼性を第三者認証で証明する」手段として機能し、公共調達（入札資格要件）・大手企業のサプライヤー評価・海外市場参入の際の必須要件として広く活用される。IT業界ではソフトウェア開発・ITサービスの品質管理に適用する事例が増えており、SLA（サービス品質保証）の根拠文書・品質リスクの特定・是正処置管理等がISO 9001のフレームワークで実施される。ISO 9001:2015の最大の変更点は「リスクベース思考の組み込み」であり、品質リスクとその機会を組織全体のリスクマネジメントの一部として考えることを要求している。日本では約30,000件の認証登録があり、製造業（精密機器・自動車部品・食品）・建設・サービス業の広い範囲に普及している。認証取得後は定期的な維持審査（サーベイランス審査：1〜2年毎）と3年毎の更新審査（再認証審査）が必要である。

試験での位置づけ

ISO 9001はITパスポートの規格・標準分野で「ISMS（ISO 27001）・ITIL・プライバシーマーク」と並んで頻出の規格である。本問の4選択肢は「ISMSの導入（情報セキュリティ）」「ISO 9001の導入（品質管理）」「ITILの導入（ITサービス管理）」「プライバシーマークの取得（個人情報保護）」という異なる目的の規格・制度を並べており、「品質・組織・プロセスの運営管理の標準化」というキーワードからISO 9001を識別することが問われる。特にISMSとISO 9001はともに「組織のマネジメントシステム」の枠組みで動作するため混同されやすいが、「ISMS＝情報セキュリティリスク管理」「ISO 9001＝製品・サービス品質の一貫した提供」という目的の違いを確実に把握することが必要である。基本情報技術者ではISO 9001・ISMS・BS 25999（事業継続管理）・SO/IEC 27002の関係性と、各規格のPDCAサイクルの対応関係まで踏み込んで問われる。

選択肢の発展補足

選択肢aのISMSはISO/IEC 27001に基づく情報セキュリティマネジメントシステムであり、組織の情報資産（システム・データ・人・プロセス）をリスクベースで保護する枠組みである。ISO 9001と同じハイレベルストラクチャーを共有しており、両規格を統合運用する「統合マネジメントシステム」の構築が大企業・製造業で実践されている。ISMSの認証はJPCERT/CCやJIPDECが関与し、日本国内の認証数はISO 27001の世界的普及に伴い年々増加している。選択肢cのITIL（IT Infrastructure Library）は英国政府が1980年代に開発したITサービス管理のベストプラクティス集であり、現在はITIL 4（2019年）が最新版である。ISO 9001が「マネジメントシステムの要件規格」であるのに対し、ITILは「ガイダンス集（義務的要求事項なし）」という性格の違いがある。ITIL 4はサービスバリューシステム（SVS）とデジタル変革（DevOps・アジャイルとの統合）を組み込んでおり、ITサービス管理のベストプラクティスとして世界の大企業で採用されている。選択肢dのプライバシーマーク（Pマーク）はJIS Q 15001（個人情報保護マネジメントシステム）への適合を認証するJIPDECの第三者認証制度であり、事業者が個人情報を適切に取り扱う体制を整備していることを示す日本独自の仕組みである。