新型コロナウイルスの流行やITテクノロジーの発達に伴い、デジタル化・DX（デジタルトランスフォーメーション）が注目されるようになってきました。デジタル化やDX、あるいは会計監査に関するニュースや記事を読んでいると、「ITガバナンス」というワードをよく目にすると思います。

この「ITガバナンス」とは一体どういう意味なのでしょうか。
ITガバナンスを理解することは、デジタル化・DXにおいてどう重要なのかを具体的に説明していきます。
　
　

ITガバナンスの定義

経済産業省の定義

ITガバナンスとは、実は公式に政府から定義が発表されたのは、1999年に経済産業省(当時は通商産業省)が発表したものでした。1999年に通商産業省（現経済産業省）と日本情報処理開発協会が発行した、『企業のITガバナンス向上に向けて』というレポートの中で、

「企業が競争優位性構築を目的に、IT戦略の策定・実行をコントロールし、あるべき方向へ導く組織能力」

と定義し、それ以降はITガバナンスの公式定義として汎用されてきました。
しかしながら、もちろんITガバナンスという言葉自体は先ほどの経済産業省の定義をもっても広義であり、各種協会や企業によってより細かく定義されていることもあります。
　

 ITガバナンス協会の定義

ITガバナンス協会も定義を公開しています。ITガバナンス協会とは、ITガバナンスの重要性を認識し、そのためのツールや考え方を普及することを目的とする米国の非営利団体です。日本にも拠点があり、「日本ITガバナンス協会」という形で活動しています。

ITガバナンス協会は、COBIT（control objectives for information and related technology）と呼ばれるIT管理フレームワークを普及させ、このフレームワークは日本の監査基準にも考え方が取り入れるなど、とても影響力をもつ組織と考えてよいでしょう。このITガバナンス協会も「ITガバナンス」について定義を発表しています。同協会の定義によると、

「IT ガバナンスは、企業のガバナンス全体の不可欠な構成要素であり、組織の ITが組織の戦略ならびに目標を維持し発展させることを保証するリーダーシップと組織構造、さらにプロセスから構成されている。」

と定義されています。経済産業省の定義と比較してみると、ITガバナンス協会は「プロセスから構成される」「発展を保証するもの」という点をより強調しているように見えます。

さらに、その他にもITガバナンスはあらゆる業種業態で注目され、それぞれの業界で詳細にITガバナンスについて定義されています。
　

FISCのITガバナンスフレームワーク

FISCとは、公益財団法人金融情報システムセンター（The Center for Financial Industry Information Systems、以下FISC）という組織であり、金融機関やフィンテック・クラウド事業者に対してITガバナンスを確立する上で重要なポイントをフレームワークやチェックリストとして公表しています。

筆者は4大監査法人に過去在籍しており、フィンテック企業がFISCに基づいて事業を実施していることを監査し意見を出してお墨付き与えるプロジェクトにいたこともあります。会社がこうしたITガバナンスが確立していることをアピールしていくことはデジタル化の進む中でますます重要になってくるでしょう。

また近年では、銀行が顧客の資産データをフィンテック事業者とAPIで共有する銀行オープンAPIといわれる技術が注目されています。このオープンAPIは銀行データを転送する上でセキュリティが非常に重要になるため、銀行とフィンテック事業者はお互いにシステムや組織構成、システムサーバー構成についてFISCのチェックリストを詳細に参照します。
　
　

ITガバナンスが注目されるようになった背景

　
それでは、ITガバナンスが注目されるようになった背景とは何でしょうか。先ほどITガバナンスの定義は1999年の通商産業省発行の『企業のITガバナンス向上に向けて』というレポートで発表されたと説明しましたが、大きくITガバナンスが注目されるようになったきっかけは2002年のみずほ銀行の大規模システム障害だと言われています。

この大規模障害は、第一勧業銀行、富士銀行、日本興業銀行の3行システムを一本化統合してみずほ銀行システムが発足した2002年4月1日に、システム統合がうまくいかず、ATM引き落とし処理が実行されない等の全国障害を引き起こしたというシステムトラブル事件です。新聞の一面にもなったこの事件について、みずほフィナンシャルグループも自社サイトで沿革を説明しているので、興味がある方は見てみてください。

---

『2002年～ みずほ銀行、みずほコーポレート銀行のスタート』（みずほフィナンシャルグループ）https://www.mizuho-fg.co.jp/company/info/history/trend/period_07.html

---

また、この大事件は書籍化され、『みずほ銀行システム統合、苦闘の19年史 史上最大のITプロジェクト「3度目の正直」』（2020年2月18日発行）はAmazon書籍で発売当初は売れ筋ランキング1位になるほどのベストセラーになりました。

ITガバナンスの具体例

　
ITガバナンスの具体例をケースで確認してみましょう。

【ケース】
例えば、スーパーの商品売上を作業者が、レジから出力されたpdfを見ながらExcelへデータを手入力し、店長がそれを確認しているとします。店長は売上管理や売上予測をして仕入れ量を管理したいと思い、調べてみるとレジ決済情報をExcelへ自動転記してくれるITツールがあることが分かりました。店長はこのシステムを導入することにし、その際にITガバナンスについて考えることにしました。

さて、ここでITガバナンスとはどのように重要になってくるでしょうか。どういうリスクがあるかを確認してみましょう。
　

ITガバナンス観点での考えられるリスク

売上管理・売上予測（組織の戦略・目標）をITツールで実現することを店長は期待しています。この時、もしコストをかけたくないからといってシステム導入前にユーザテスト（システム本番稼働前の動作確認）を怠ると、本番当日にバグなどでシステム障害が発生し、売上計算が実行されないリスクがあります。

また、システムを操作するレジ係がパスワードをメモ用紙でレジの裏に貼っていて、悪意のあるお客さんがそれを見てハッキングorなりすまし操作する可能性もあります。

このように、システムを1つ導入するだけでもITに係るリスクは数多くあるため、これらのリスクをコントロールするのが難しいように思えますよね。しかし、こうしたシステム導入におけるリスクを包括的にかつ網羅的にチェックするフレームワークを先ほどのITガバナンス協会のCOBITというフレームワークやFISCのチェックリストがサポートしてくれています。IT業界や監査業界にいる方であれば日頃こういったリファレンスを目にすることが多いとは思いますが、こうしたリファレンス及びITガバナンスはデジタル化・DXが進むにつれてより重要になっていくと筆者は考えています。
　

ITガバナンス観点でのリスクに対してどういった対応が必要でしょうか

先ほどのスーパーの例でいくつかリスクの具体例を挙げましたが、これらの対策としてどのようなことが考えられるか見ていきましょう。

 テストを怠って本番当日でバグが発生するリスクに対しては、システムテスト（システムが要件に準拠しているかどうかのテスト）とユーザテスト（ユーザに近い環境でシステムを使うケースを実際にシミュレーションするテスト）をする必要があります。
上場企業では会計監査と内部統制監査が必須ですが、そのうち内部統制監査では、システム導入時にシステムテストの実施有無、ユーザテストの実施有無が監査対象になります。

 その他のパスワードをメモ用紙に書くなど流出するリスクに対しては、従業員にIT教育をしてITセキュリティ意識を徹底する必要があります。このように、ITはシステムだけの問題ではなく、システムを使うプロセスの中で、関係するステークホルダーや組織がITガバナンスを確立するように統制する必要があります。もちろん、パスワードの管理も先ほどの内部統制監査対象です。
　
　

ITガバナンスに関するまとめ

　
以上、ITガバナンスの定義とITガバナンスが注目されてきた背景、さらにはITガバナンスの考え方について具体例を交えて説明しました。

これらのITガバナンスはデジタル化・DXが進むにつれより重要になり、多種多様の業界でITガバナンスは実際に皆さんの現場でもよく聞くようになっていくと思います。ITガバナンスのためにはどういう視点が重要なのか、どう考えればいいのかを理解して頂ければ幸いです。また、各種ITガバナンスに関するリファレンスも刷新されていくため、ニュースや記事などはぜひチェックしていきましょう。

内部統制・IT統制の事例紹介

システムコンサルティングの事例紹介