情報の爆発的な増加は、今の時代を最もよく表している特徴です。この情報化時代には、データの量、データの用途、データソースの数、データの経路がすべて急激に増加しています。これに伴い、情報を定義、収集、アクセス、処理、キュレーションする新たな業界が生まれています。
このような環境で、情報ガバナンスの本質については誰もが認めているものの、この大規模なタスクにどう着手すればよいのか簡単には判断できません。
今日の企業は、収集、処理、保存するデータの量と種類の爆発的な増加を経験しています。ところが、多くの場合は、処理しているデータの種類や価値を正確に把握できていません。つまり、データを適切に使用または管理できていないということです。そのため、データを適切に管理していれば達成できたはずの成功を得られていません。
データ管理が不十分であると、財務、法務、評判に関する重大な影響が生じる可能性もあります。情報ガバナンスはこのような結果を回避するのに役立ちます。
それでは、情報ガバナンス (IG) とはどのようなもので、今日のビジネス環境でどのような役割を果たすのでしょうか。このガイドでは、ビジネスプロセスとコンプライアンスに重点を置いた新しいデータ管理分野である IG について説明します。
IG とは、データの価値を最大限に高めるとともに、企業による情報の作成、使用、共有に伴うリスクを軽減するための戦略的アプローチのことです。この場合の情報とは企業の資産であり、高度な監視と調整が必要となります。それによって企業の情報の説明責任、保護、整合性、適切な保持が確保されます。
IG が目指しているのは、サイロ化をなくしてインフォメーションマネージメントの断片化を回避することです。こうすることで、高い信頼性を維持できるとともに、企業が情報管理に使用するプロセス、技術、人材において ROI を確実に達成できるようにします。
情報ガバナンスには公式な定義が多数ありますが、 Gartner 社の定義が最も広く受け入れられています。同社が定義する IG とは、情報の作成、評価、使用、アーカイブ、削除、保管に関して適切な行動を確実にとるための説明責任フレームワークです。そこには、情報を効果的かつ効率的に使用し、企業がその目標を達成するために必要な標準、指標、役割、ポリシー、プロセスが含まれています。
IG のプロセスにより、顧客情報、従業員記録、医療記録、知的財産などの情報記録の使用を管理できます。企業の IG 担当者は、経営陣やその他の関係者と連携してポリシーを策定し、企業のすべての情報資産について従業員がどのように扱うべきかを規定する必要があります。
情報ガバナンスの重要な目標は次のとおりです。
情報ガバナンスの目標とプロセスを明確に定義しやすくするために、フレームワークを開発して企業のアプローチの骨子を正式に述べることができます。このフレームワークでは、誰が、何を、どこで、いつ、どのように、なぜという質問について、説明するとともに答えを出します。
フレームワークは企業固有のニーズに合わせるべきですが、以下の領域は定義する必要があります。
企業がパートナー、関係者、仕入先との間で、どのように情報を処理して共有するのかを確立することも重要です。フレームワークでは、第三者と情報を共有するために確立されたポリシーと手順、情報ガバナンスのプロセスが契約上の義務に与える影響、パートナーと第三者が IG の目標を満たしているかどうかを判断する方法を定義する必要があります。
さらに、違反や情報漏えいを報告する方法、ディザスタリカバリプロセス、インシデント管理の詳細、事業継続戦略、これらのディザスタリカバリと事業継続のプロセスを監査する方法など、データ漏えいが発生した場合の手順を明確に示す必要があります。
最後に、継続的な監視のプロセスを概説する必要があります。情報へのアクセスを監視する方法、規制コンプライアンスの遵守を評価する方法、リスク評価を実施する方法、適切なセキュリティを確保する方法、IG プログラム全体を見直す方法など、IG プロセスの品質を保証するための計画が必要です。
多くの人々や企業は、IG とデータガバナンスが同じものだと考えています。両方とも企業がビジネス目標を達成するうえで不可欠であり、重複する部分もありますが、同じものではありません。
情報ガバナンスでは、企業がデータ資産からビジネス価値を引き出すことができます。情報ガバナンスは、自社の情報の価値を最大限に高めるとともに、関連するコストとリスクを最小限に抑えるために企業が採用する技術と活動を指します。
一方、データガバナンスは、事業部門レベルで情報を管理し、情報の正確性と信頼性を確保するためのものです。そのプログラムには、データの使いやすさ、可用性、整合性、セキュリティを管理する手順が含まれます。
つまり、データガバナンスは不要なデータの混入を防止することを指し、IG はデータを使用する際に行う意思決定を意味します。
次に、それぞれのガバナンスで行われる活動の例をいくつか示します。両者の違いがわかりやすくなるはずです。
データガバナンスは IT 部門の担当する範囲ですが、IG はそれよりも広い範囲が対象となります。IG を使用してデータの使用と保持に関するビジネスとコンプライアンスのニーズを満たすことで、IG を企業統治で重要な役割を果たす戦略的な統制にすることができます。
IG とデータガバナンスを一緒に適用することで、ビジネス価値をさらに向上できるインフォメーションマネージメント手法が完成します。
情報はあらゆる企業やビジネスにとって重要なリソースです。情報がなければ、ビジネスを運営することはできません。そのために企業ではプロセス、技術、人材への投資を行い、情報によって企業を確実に支えられるようにしています。
情報の作成、使用、保護、共有には大規模な投資が必要なことから、企業は情報ガバナンスについて、ビジネスを運営するために必要な設備、建物、財源と同じような一種のビジネス資産だと考えています。
リソースや資産の監視と運用は、どのビジネスガバナンスにおいても主要な目的です。さらに、他の資産と同じく情報には管理が必要で、その価値と関連するリスクに責任を持って対応する必要があります。
情報ガバナンスによって、企業は情報に関するリスクと価値を管理するための統制のとれたアプローチを手に入れることができます。
IG はまだ発展途中の分野なので、ビジネスプロセスにおける役割については未知のことも多くあります。ただし、IG プログラムを適切に導入すれば、企業は以下の利点を実現できます。
たとえば医療業界は、治療の変化、支払いモデル、他の医療機関と提携する必要、顧客の新しい期待、技術、規制の強化に伴う課題に直面しており、今や情報ガバナンスがかつてないほど重要になっています。情報ガバナンスは、医療機関と関連する組織にとって、情報の信頼性を確保し、情報を信頼して多様なあらゆるニーズを満たすための最良の方法です。
IG では、技術ではなく、企業のニーズに基づいて意思決定を行うことができます。また、サイクルのある時点でたまたまデータを持っていた結果として偶然に意思決定者となってしまう人物が発生しないようにします。このような人物は、他の関係者のニーズは考慮せずに意思決定を行う傾向があるためです。
IG イニシアチブに着手するのに最適な場所を特定するには、信頼できる情報とデータで企業の戦略的な取り組みをサポートする方法を見つけ出す必要があります。
ほとんどの企業は、ビジネスを遂行し、目標達成に向けた戦略を策定する方向を示すミッションやビジョンを設定しています。したがって、それらのビジネス戦略や目標を注意深く観察することで、IG イニシアチブに着手する場所や方法について有力なヒントを得ることができます。
企業の目標を達成するためには有用な情報が不可欠です。したがって、情報に関する問題 (弱点) で対応が必要なものや、コストを削減し収益を高めることができるビジネス機会を特定することから、IG イニシアチブを開始するとよいでしょう。
つまり、企業の目標の達成に向けたより広範な戦略の一部として IG のニーズを位置づけるということです。用地 (不動産) の適切な管理、他の企業の買収や統合によるサービスの拡大、新しいカスタマサービスプロトコルの作成、コストの削減など、目標は多種多様です。
IG は情報のさまざまな側面が適切に機能できるようにするための責任と権利を定めた要件です。そのため、意思決定権の規定によって、データの所有権とデータに関して意思決定を行う権利を持つ人物が決まります。
したがって、所有者と意思決定者を定義することで、データの意思決定に責任と説明責任を割り当てることができます。これはおそらく、IG ポリシーを作成する際に組み込むべき重要な概念です。説明責任が重要となるのは、データへの依存度が増大するにつれ、通常は他の事項を考慮せずに最も簡単な経路を選択するようなデフォルトでビジネス上の意思決定を行ってしまうからです。
情報ガバナンスのポリシーを作成するときには、次の主な領域について検討する必要があります。
使用ポリシー: 誰がどのような状況でデータにアクセスできるかを詳しく指定した明確な使用ポリシーを使用することで、さまざまなセキュリティリスクを抑制できます。
説明責任: 最高データ責任者などの職務または標準ポリシーの作成に専念する部署を用意して、企業内の誰かがデータ処理ポリシーに対して責任を持つようにする必要があります。
記録管理: 大規模な企業では年間に保存するデータが最大 10 ペタバイトに達する可能性があり、膨大なコストが発生します。IG を使用すると、価値のあるデータを特定したうえでそれだけを保存することにより、ストレージコストを削減できる可能性があります。
コンプライアンス: 法律、ビジネスニーズ、規制によって情報を保管する方法が決まります。その後については、法律、規制、ビジネス要件に基づいて確立されたライフサイクルスケジュールに従って情報を破棄する必要があります。
教育: 他のすべての企業ポリシーと同様に、IG プログラムのトレーニングを従業員、パートナー、ベンダーに対して行えば、すべてのサイクルをカバーしたことになります。
技術: 包括的な IG は IT ガバナンスにも対応できます。ストレージ階層の作成、適切に構成されたアクセス方式の確保などのポリシーを IT 担当者に提供できます。
企業データの量が増えるとともに技術革新によってビジネスの能力が拡大を続けるのに伴い、IG プロセスに厳しい法律や義務を課す規制が当然のことになっています。最近は個人を特定できる情報 (PIN) がオンラインの悪質な攻撃者やハッカーの大規模な標的となっていることから、データのセキュリティとプライバシーにも厳しい法規制が課せられています。
プライバシーに関する法律が世界全体に広がり始め、情報セキュリティガバナンスの新たな義務が生まれています。多くの業界は、電子通信と記録を最低期間保持することを求める規制の対象となっています。このような規制には、司法省、環境保護庁、証券取引委員会などの連邦政府機関からの指令も含まれます。
また、規制の報告要件により、企業にはコンプライアンスに関する詳細な年次報告書を提出することが義務付けられています。ビジネス記録の適切な管理プロセスが整備されていれば、コンプライアンスを示す証拠を得ることができます。
さらに、海外腐敗行為防止法 (Foreign Corrupt Practices Act) などのコンプライアンス規則により、企業は IG プログラムと記録が真正であることを証明する必要があります。
データセキュリティ、記録管理、データ保持に関して業界や政府が求めている要件は多数に及び、これらは IG 戦略に影響する可能性があります。以下に、米国でビジネスを運営する企業が知っておくべき重要な法律の一部を紹介します。
IG 成熟度モデルや IG 参照モデルなどの評価ツールを使用すると、情報ガバナンスの進捗状況を評価できます。IG 参照モデルでは、企業、業界団体、アナリスト企業、その他の関連する組織に向けて、IG プログラムのプロセス、手法、責任に関して関係者とのコミュニケーションを行うためのツールを提供します。
IG 成熟度モデルは、ARMA による 8 つの Generally Accepted Recordkeeping Principles (一般に認められている記録管理の原則) に基づいています。成熟度モデルでは、記録管理プログラムのレベルについて、IG が標準以下から革新的なものまでさまざまな特性を定義しています。企業の目標は、革新的なトップレベルに到達することです。そのレベルでは、IG 戦略が企業のインフラ全体またはビジネスプロセスに統合され、コストの抑制、顧客サービス、競争優位性を向上させることができます。
IG は、作成、評価、使用、保管、削除、アーカイブなど、情報のさまざまな側面が適切に機能できるようにするための責任と権利を定めた要件です。データを効果的に使用するために、IG には企業が目標を達成するのを支援するポリシー、目的、プロセス、標準が含まれています。
データの収集と保管が増大するとともに規制による監督が厳しくなる中で特に、情報ガバナンスは企業に大きな利点と価値をもたらします。確固とした IG 戦略の開発と導入により、企業はデータの可用性を確保したり、コストを抑制したりできます。また、サイバーリスクを軽減したり、規制に関する課題に対応したりできます。セキュリティ侵害、訴訟、監査の不合格、評判の失墜が現実に発生してしまう前に、今すぐ対策を始めましょう。