ITガバナンスの国際的な標準あるいは基準としては,米ISACA(情報システムコントロール協会)と米ITGI(ITガバナンス協会)のフレームワーク「COBIT」が有名だ。これに対し,ISO(国際標準化機構)が2008年にリリースしたITガバナンスに関する国際規格「ISO/IEC 38500」はあまり知られていない。2009年2月23~24日に京都で開催されているITガバナンス/情報セキュリティの国際会議「Asia-Pacific CACS」で,ISACA/ITGIでバイス・プレジデントを務めるRobert Stroud氏(写真)は「両者の併用が有効だ」と訴えた。
「ITの活用状況は急速に変わりつつある」とStroud氏は大学生の息子を引き合いに出す。「彼はiPodを聞き,ラップトップ・パソコンを抱え,テレビカメラを使ってWebカンファレンスに参加している。遊んでいるのかと思えば,『勉強している』と答える。確かに彼はその環境で勉強しているのだ。さらにソーシャルネットワークを使い,グループで学習の相乗効果を上げている」。
同氏は「同様に,ITガバナンスも変革が必要だ」とする。「ITガバナンスはより戦略性を帯びるようになり,かつニーズもやるべきことも複雑化している。これに対応する必要があるからだ」。
そのためには,標準の活用が有効だとStroud氏はいう。「例えば,デスクトップ・コンピュータはさまざまな標準に基づく部品の組み合わせでできている。ほかにも電気,飲料水,医療,保険など,標準が存在する分野は限りなくある」。多くに共通するのは,「物事が成熟してきた段階で,標準を作ろうという動きになること」。同様に,ITガバナンスも標準が整備される段階にきたとみている。
ISACAメンバーも参画して策定したISO/IEC 38500の特徴は「原理・原則を示していること。処方箋ではない」(Stroud氏)。基本となるのは,(1)指示(direct),(2)評価(evaluate),(3)モニタリング(monitor)という三つの活動。ITガバナンスの観点から,個々のITプロジェクトに対して計画やポリシーを「指示」し,プロジェクトの状況を「評価」。運用段階に入ってからも状況を「モニタリング」し,その結果も評価に反映させる。評価が指示やモニタリングの上位にくるイメージだ。
その上でStroud氏は,ISO/IEC 38500の6つの原則(principles)を紹介した。(1)責任(responsibility),(2)戦略(Strategy),(3)購入(Acquisition),(4)パフォーマンス(performance),(5)適合(conformance)(6)人間的行動(human Behavior),である。
(1)はITの提供や必要性に関する個人やグループの責任を明確にするだけでなく,「その責任者が実行を主導すべき」とする。(2)では企業がビジネス戦略を立案する際に,ITの状況も考慮に入れるようにとしている。(3)では効果,機会,コスト,リスクに関するバランスを適切に考慮することを推奨。(4)はビジネスへの寄与の度合いのことで,その点を考慮するようにとしている。(5)はコンプライアンス(法令順守)を含む,いわゆるGRC(ガバナンス,リスク,コンプライアンス)のこと。(6)は「ITにかかわるプロセスやガバナンスには,必ず人間の行動が伴うことを忘れてはならない」(Stroud氏)ということだ。
Stroud氏は,こうしたISO/IEC 38500の原則を実践する際に,COBITをはじめとするISACAが提供するドキュメントが役立つと指摘する。例えばCOBITや,IT投資に関するフレームワークである「Val IT」,さらに「COBIT Quickstart」などのドキュメントを利用できるとしている。COBITやVal ITは,6つの原則すべてをカバーしているという。「我々はより詳細なガイダンスが必要だと認識している。ISO/IEC 38500の原則にのっとり,COBITをどのように活用していくかも説明する必要がある。来年の今ごろには計画を紹介したい」とStroud氏は語る。
