令和8年度問35マネジメント系

ITパスポート令和8年度問35：system_auditに関する問題

情報システムの企画、開発、運用、保守に関わるマネジメントとプロセスに対して、ITガバナンスにおける経営陣の活動として、評価、指示、モニターを実施する必要がある。ITガバナンスにおける経営陣の活動に関する記述として、適切なものだけを全て挙げたものはどれか。 a: 外部のコンサルタントに責任と権限を委譲し、戦略立案からモニタリングまで全面的に任せる。 b: 情報システム戦略で想定した効果が、どの程度達成されているか確認するための情報を収集する。 c: 情報システム戦略を実現するために、必要な責任と要員を組織に割り当てる。 d: 情報システムの複数の将来像を想定し、外部の情報システムの専門家に比較分析を依頼して評価する。

aa, b, c
ba, c
cb, c
db, c, d正答

正答：Db, c, d

AI解説（初心者・標準・上級）

理解度に合わせて3レベルの解説を無料で読めます。

初心者向けまずはここから。やさしく要点を解説

答えは d（b, c, d） です。

ITガバナンスでの経営陣の役割は「評価・指示・モニター」の3つ。自分たちで方向を決めて、必要な人や責任を割り当てて、うまくいっているか見張る——これが仕事です。

b 効果が出ているか情報を集める＝モニター ◯
c 必要な責任と人を組織に割り当てる＝指示 ◯
d 複数の将来像を専門家に比較してもらい評価＝評価 ◯

でも a「外部のコンサルに全部丸投げ」はダメ。経営陣は責任を手放してはいけません。

👉 覚え方：丸投げ（責任放棄）は経営陣の仕事じゃない。だから a を除いた d。

標準試験対策の基準レベル

なぜこれが正解か

正解は d（b, c, d）。ITガバナンスにおける経営陣の活動は「評価（Evaluate）・指示（Direct）・モニター（Monitor）」の3つ（EDMモデル）。

b 想定効果の達成度を確認する情報収集→モニターに該当 ◯
c 戦略実現に必要な責任と要員を割り当てる→指示に該当 ◯
d 複数の将来像を専門家に比較分析させ評価する→評価に該当 ◯

含まれない項目

a 外部コンサルに責任と権限を委譲し、戦略立案からモニタリングまで全面的に任せる→経営陣の責任放棄であり不適切。ガバナンスの主体はあくまで経営陣で、丸投げはできない。

aだけが不適切なので、b・c・dのdが正解。

覚え方・ひっかけ注意

ITガバナンス＝「評価・指示・モニター」のEDMと覚える。「全面的に任せる」「丸投げ」「責任を委譲」という語は経営陣の役割と矛盾するので即除外。マネジメント（管理・実行）とガバナンス（統治・監督）の違いを意識する。

上級誤答論破・背景理論まで深掘り

理論的背景

ITガバナンス（IT Governance）はCOBIT（Control Objectives for Information and Related Technology・ISACAが策定）とISO/IEC 38500の二つの国際標準フレームワークが理論的基盤を提供する。ISO/IEC 38500は経営陣（取締役・上級管理職）が行うITガバナンス活動を「評価（Evaluate）・指示（Direct）・モニター（Monitor）」の三動詞でシンプルに定義している。本問の選択肢からこの三活動に対応するものを選ぶ。b「情報システム戦略の効果がどの程度達成されているか確認する情報収集」→モニター（Monitor）。c「戦略実現のために必要な責任と要員を組織に割り当てる」→指示（Direct）。d「複数の将来像を比較分析させて評価する」→評価（Evaluate）。選択肢aの「外部コンサルタントに責任と権限を委譲して全面的に任せる」は責任委譲であり、ITガバナンスの「経営陣が監視・指示する責務」に違反する。ガバナンスは委譲できない経営陣の本質的責任。

実務での使われ方

ITガバナンスの実践的枠組みとしてCOBIT 2019はビジネス目標・ガバナンス目標・マネジメント目標の階層でITガバナンスを設計する。日本企業のITガバナンス成熟度はEDM（評価・指示・モニター）の体制整備という観点でまだ発展途上であり、経産省の「DX推進指標（ガバナンス指標）」が自己評価ツールとして機能している。取締役会レベルのITガバナンス強化策として「CIO・CISOの取締役会への登用」「IT委員会の設置（指名委員会・報酬委員会と並列）」「外部IT監査（ISAE 3402・SOC2レポート）の活用」が大企業で浸透しつつある。AIガバナンス・データガバナンスという新しい領域でも同様のEDMフレームワークの適用が求められており、EU AI法の「リスク管理・ドキュメンテーション・監視」要求はITガバナンスのEDMと整合する設計になっている。

試験での位置づけ

ITガバナンスの経営陣活動はITパスポートのシステム監査・マネジメント系で出題頻度が高まっているテーマ。本問のポイントはISO/IEC 38500の「評価・指示・モニター」の三活動に何が対応するかを正確に理解すること。本問の誤答パターンはaを含めてしまうケースで「外部専門家への委任はガバナンスの実践」という誤解から生じる。ガバナンスとマネジメントの違いを理解することが解法の鍵で、「ガバナンスは方向を決め監督する（経営陣の責務）」「マネジメントは方向に従って実行する（IT部門・委託先の責務）」という階層関係がある。COBIT用語では「ガバナンスドメイン（EDM）」と「マネジメントドメイン（APO/BAI/DSS/MEA）」が明確に区分されており、aの「外部委譲」はどちらにも当てはまらない不適切な記述。

選択肢の発展補足

ISO/IEC 38500の「評価（Evaluate）」活動の具体例：IT投資のビジネス価値評価（NPV・IRR・ROI）、リスクアセスメント（情報セキュリティリスク・DXリスク）、テクノロジートレンド評価（AIの将来性・クラウド移行の可否）。「指示（Direct）」活動の具体例：IT戦略の承認・IT予算の配分・重要なITプロジェクトの優先順位付け・IT組織の設計と権限委任・セキュリティポリシーの承認。「モニター（Monitor）」活動の具体例：IT KPIのダッシュボード監視（システム稼働率・セキュリティインシデント件数・プロジェクト進捗）・IT監査報告の受領・内部統制有効性の確認。これらEDM活動はすべて「経営陣自身が判断・確認する」ものであり、業務の実行（マネジメント）とは異なる監督的性格を持つ。選択肢dの「外部専門家への比較分析依頼」は情報収集として適切だが、その情報に基づく「評価・判断」自体は経営陣が行う必要がある点がポイント。

出典・引用について

出典：IPA（情報処理推進機構）公式 ITパスポート試験令和8年度問35／公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。