令和8年度問41マネジメント系

ITパスポート令和8年度問41：system_auditに関する問題

ITガバナンスの活動において、取締役会等のリーダーシップに関するリスクの記述として、最も適切なものはどれか。

a権限委譲して策定させた成果物であるIT戦略は、担当部門に最終的な責任をもたせ、取締役会等の説明責任が果たせない。
b組織体としてのパフォーマンスの期待値は、取締役会等が設定に関与すると、現状踏襲型となり組織体の目的を達成できない。
c取締役会等が規範を策定し、率先して遵守しないと、組織体にその倫理的な行動が徹底されない。正答
d取締役会等が組織体のITガバナンス方針を明示すると、情報システム部門主導の活動に偏重してしまう。

正答：C取締役会等が規範を策定し、率先して遵守しないと、組織体にその倫理的な行動が徹底されない。

AI解説（初心者・標準・上級）

理解度に合わせて3レベルの解説を無料で読めます。

初心者向けまずはここから。やさしく要点を解説

答えは c です。

ITガバナンスは「会社全体でITをきちんと使いこなす舵取り」のこと。その舵を握るのが取締役会など会社のトップです。

たとえば、社長が「ルールは守ろう」と言うだけで自分は守っていなかったら、社員も「なんだ、守らなくていいんだ」となりますよね。トップが自分から先にお手本を見せることが大事、という話です。

👉 覚え方：「トップが率先垂範（自分から先にやる）しないとリスク」。

ほかの選択肢：a 仕事を任せても「最終的な責任はトップにある」ので説明責任は果たせます／b トップが目標づくりに関わるのは普通に良いこと／d 方針を示すのは正しい行動で、IT部門だけに偏るわけではありません。

標準試験対策の基準レベル

なぜこれが正解か

正解は c。ITガバナンスでは取締役会等のトップがリーダーシップを発揮し、規範（行動基準）を策定したうえで自ら率先して遵守することが求められる。トップが模範を示さなければ組織全体に倫理的行動が浸透しないという指摘は、リーダーシップ上の正しいリスク認識である。

各選択肢の解説

a：権限委譲してIT戦略を策定させても、最終責任と説明責任は取締役会等に残る。担当部門任せにできるという記述は誤り。
b：パフォーマンスの期待値設定に取締役会等が関与することは適切であり、「現状踏襲型になる」とは限らない。
d：取締役会等がITガバナンス方針を明示することは本来の役割で、IT部門偏重を招くものではない。

覚え方・ひっかけ注意

ガバナンス問題は「トップが責任から逃げる/関与しない=誤り」「トップが率先・関与する=正解」が原則。a〜dのうち、トップの責任放棄や関与否定を述べた選択肢は全て×と判断できる。

上級誤答論破・背景理論まで深掘り

理論的背景

ITガバナンスはCOBIT（Control Objectives for Information and Related Technologies）フレームワークが国際標準として広く参照される。COBITではITガバナンスの5原則として「ステークホルダーニーズへの合致」「エンドツーエンドのカバレッジ」「単一の統合フレームワーク適用」「ホリスティックアプローチの実現」「ガバナンスとマネジメントの分離」を挙げる。取締役会等のトップ層はガバナンス（方向付け・評価・モニタリング）を担い、マネジメント（計画・構築・運用・監視）は経営陣が担うという役割分離が根本原則である。

本問の正解cは「規範の策定と率先遵守」というトーン・アット・ザ・トップ（Tone at the Top）の概念を問うている。トップが倫理規範を形式的に策定するだけで自ら遵守しない場合、組織全体にモラルハザードが生じることは行動経済学・組織論で実証されており、ガバナンスリスクの核心である。

実務での使われ方

上場企業では東証のコーポレートガバナンス・コードに基づき、取締役会がIT・セキュリティ戦略の監督責任を負う。経済産業省の「DX推進指標」や「サイバーセキュリティ経営ガイドライン」でも、経営者が自らリーダーシップを発揮し、セキュリティ投資・組織文化形成に積極関与することが明示されている。誤り選択肢aの「権限委譲後に取締役会の責任が消える」という考えは、株主・監査役に対する善管注意義務違反となりうるため実務上ありえない。選択肢bの「取締役会関与が現状踏襲型を招く」という主張も誤りで、むしろ中長期的な変革方向性を設定するのが取締役会の責務である。選択肢dの「方針明示が情報システム部門偏重を招く」も逆説的であり、全社的なガバナンス浸透を妨げる主張として不適切。

試験での位置づけ

本問はマネジメント系「システム監査・ITガバナンス」サブカテゴリから出題され、近年のITパスポート試験でガバナンス関連問題の出題比率が増加傾向にある。2022年度以降のシラバス改訂でDX推進・デジタルガバナンスコードへの対応が強化され、取締役会の役割・責任を問う問題が頻出化している。基本情報技術者試験ではCOBIT・ISO/IEC 38500（ITガバナンス国際規格）の詳細実装まで問われ、6大原則（責任・戦略・取得・パフォーマンス・適合・人間行動）の理解が求められる。ITパスポートでは概念理解で十分だが、基本情報以上を目指すなら各フレームワークの相互関係（COBIT・ITIL・ISO27001の階層構造）を押さえておく。

選択肢の発展補足

選択肢aが問う「最終責任の所在」については、会社法上の取締役の善管注意義務・忠実義務により、権限委譲後も取締役会の監督責任は消えない。IT戦略の失敗による損害は取締役個人への責任追及事例（東証システム障害等）として現実化している。選択肢bが示す「期待値設定」は、KGI（重要目標達成指標）・KPI（重要業績評価指標）のトップダウン設定プロセスに対応し、取締役会が高い目標値を設定することで組織変革を牽引するのが正しい在り方である。選択肢dの「情報システム部門偏重」リスクは、実際には逆で、IT戦略を情報システム部門だけに任せることで全社視点が欠落するという問題がある。全社的なIT統制（IT全般統制・業務処理統制）の枠組みで考えると、取締役会の関与不足こそが偏重を生む原因となる。

出典・引用について

出典：IPA（情報処理推進機構）公式 ITパスポート試験令和8年度問41／公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。