インフォメーションセンター

データガバナンス、リスク、コンプライアンス (GRC) とは?

米国証券取引委員会 (SEC) の最新の規則は、サイバー攻撃から身を守る企業にとって、状況がどれほど変化したかを示しています。 企業はこれまでサイバーセキュリティのリスクを過小評価してきましたが、機密データの適切な保護を怠ると、業務、評判、収益に損害を与える可能性があるため、今日では譲れない優先事項と見なされています。

会計と透明性の向上を目的として、SEC 規則では、規制対象企業にサイバーセキュリティインシデントを 4 営業日以内に開示することが義務付けられています。 また、企業のデータガバナンス、リスク、コンプライアンス (GRC) の管理と戦略を定期的に開示する必要があります。 具体的には、SEC は企業に対し、「サイバーセキュリティの脅威による重大なリスクを評価、特定、管理する」ためのプロセスを定義することを義務付けています。 これは、企業のサイバーセキュリティプログラムに関する書面による記録を必要としなかった以前の規制とは大きく異なっています。

データガバナンス: 概要

企業は今や、意思決定から業務、顧客エンゲージメントに至るまで、あらゆる目的でデータを収集、分析、活用し、かつてないほどデータに依存しています。こうしたデータへの依存度の高まりは、AI や機械学習 (ML) の導入拡大と相まって、データガバナンスをこれまで以上に重要なものにしています。

データガバナンスとは、企業がビジネス目標の達成を支援しながら、情報やデータを効果的かつ効率的に管理するために使用するプロセス、ポリシー、標準、および指標です。 デジタル変革を成功させるためにはデータガバナンスが極めて重要となりますが、データガバナンスには以下のような課題やリスクが伴います。

  • データプライバシーとセキュリティに関する懸念。
  • ますます厳しくなるデータの取り扱い要件。
  • コンプライアンス違反の罰則、罰金、評判の低下。

また、企業が管理しなければならないデータの量と複雑さは考慮されておらず、多くの企業は、どのようなデータが、どこで、どのように使用されているかを追跡することはほぼ不可能だと考えています。 適切に作成されたガバナンスポリシーにより、意思決定と業務効率を妨げる一貫性のないデータ品質、データのサイロ化、データ統合の問題などの問題が解消され、それが容易になります。

通常、会話はガバナンス、リスク、コンプライアンスに関するものとして捉えられていますが、データガバナンスを単にリスクを管理する方法と見なすべきではありません。 それはまた、データの価値を引き出し、正確性、アクセス性、一貫性、安全性を確保するものでもあるのです。 言い換えれば、こ企業がデータを戦略的資産として使用する方法なのです。

データガバナンスへの新しいアプローチ

データガバナンスポリシーは、通常、データ監査、品質チェック、コンプライアンス監視に手動プロセスを使用する中央のチームまたは部門に依存してきました。 そして、それらはプロアクティブな方法ではなく、事後対応型の方法になる傾向があります。

今日では、最新のデータ環境の複雑さを考慮して、より汎用性と機敏性の高いアプローチに焦点が切り替わっています。 これらの新しいポリシーでは、IT チームだけでなく全員がデータガバナンスに関与する、カスタマイズされたコミュニティ中心のプロセスが使用されています。 企業は、あらゆる組織レベルからのインサイトとインプットを促進することで、より柔軟でスケーラブルかつ効果的なデータ管理ポリシーを作成することができるのです。 一般的な機能は以下の通りです。

  • ユニバーサルなデータアクセス。場所、技術的な専門知識、またはリソースに関係なく、すべての関係者がデータを利用したりアクセスしたりできるようになります。 アクセスのしやすさ、技術的な互換性、包括性、手頃な価格、セキュリティ、プライバシーなどが重要なポイントです。
  • 役割と責任の明確な定義。データガバナンスにおける現代の役割は肩書き以上のもので、 企業のデータ文化を形成する上で重要な役割を果たします。 特定の役割が割り当てられることで、個人はデータの整合性、セキュリティ、プライバシーの維持と改善における責任をよりよく理解することができます。
  • 自動化。高度なツールはデータ品質を継続的に監視し、エラーや不一致を自動的に検出して修正します。 自動化されたコンプライアンス監視により、GDPRHIPAACCPA などのデータ保護法への準拠が保証されます。 また、自動化により、データガバナンスのワークフローが合理化され、メタデータが効果的に管理され、大量のデータボリュームの分類、検索、管理が容易になります。

高度なデータガバナンスフレームワークを導入するのが困難な場合もあります。 しかし、倫理的なデータ共有を促進し、上位データへのアクセスを容易にし、責任あるデータ利用を保証するという大きな特典をもたらすこともできます。

ガバナンス、リスク、コンプライアンスの説明

高度な鉄道ネットワークが、列車を安全かつタイムリーに輸送するために、綿密な計画、正確な操縦、高度なテクノロジーに依存しているのと同様に、データガバナンスは、組織が広範なデータフローを管理し、データのセキュリティとコンプライアンスを確保しながら、各「列車」の情報を適切な目的地に誘導するのを支援します。

また、鉄道交通制御システムが列車が指定された線路で安全に出発および到着することを保証するのと同じように、GRC ソフトウェアは、各データが効率的かつ中断なく起点から終点まで移動することを保証する監視と指示を提供します。

今日のデータ主導の状況において、GRC はほとんどの企業の業務の完全性と成功にとって極めて重要な中心的フレームワークとなっています。 GRC は次のようなことを優先する統合戦略です。

  • 法規制の遵守 (コンプライアンス)
  • 脅威 (リスク) の管理
  • 倫理的かつ効果的なデータ管理 (ガバナンス) の維持

この 3 つのコンポーネントは、企業の目標を業務戦術と整合させ、収益性、信頼性、長期的な持続可能性を確保するための基本となります。

企業にとって、堅実な GRC の実践を展開することがどれほど重要なのでしょうか? 毎年、世界中で何百万ものデータ記録がデータ侵害によって公開されています。 厳格なデータセキュリティ規制に従わない場合、致命的な結果となる可能性があります。 言い換えれば、データを管理、保護、規制するための高度なシステムの必要性が、かつてないほど差し迫っているのです。

GRC サイバーセキュリティは、デジタル情報と資産をサイバー脅威から保護し、データの機密性、完全性、可用性を確保することに重点を置いています。 これは、増え続けるデータ保護法や規制を遵守しながら、サイバー脅威の複雑な網をうまく乗り越える鍵となります。

GRC プラットフォームを導入することで、企業は部門間のデータのサイロ化を解消し、リスク管理とコンプライアンス活動をビジネス戦略に合わせ、推進することができます。 GRC プロセスの中枢神経系のようなもので、GRC 関連の活動を組織化、管理、分析するための統合環境を提供します。 この一元化されたアプローチにより、GRC プロセスが合理化され、実用的なインサイトが得られるため、より多くの情報に基づいた意思決定が可能になります。

また、GRC プラットフォームは、監査、コンプライアンスチェック、リスク評価などのプロセスを自動化および標準化することで、規制コンプライアンスを促進します。 また、地域や業界によって大きく異なる規制を遵守するために不可欠な、組織全体の GRC に対する一貫したアプローチを維持するのに役立ちます。

GRC は今や、現代の企業の運営に必要不可欠な要素となっています。 データが強力な資産であると同時に潜在的な負債でもある世界では、強力な GRC サイバーセキュリティ対策によって支援され、高度な GRC プラットフォームによって強化された GRC フレームワークは、どの企業にとっても繁栄するために必須となっています。これにより、企業はガバナンス、リスク管理、コンプライアンスの課題を、成長、安定性、競争上の優位性の機会に変えることができるのです。

データガバナンスが的外れになりがちな理由

データガバナンスが失敗したり、不完全に実施されたりした場合、その影響は迅速かつ深刻なものとなります。ほとんどの企業が、優れたデータガバナンスが重要であることは認識していますが、それを効果的に実施するのに苦労しています。多くのガバナンス戦略が的外れである理由を知ることは、企業が陥りやすい落とし穴を回避するのに役立ちます。

  • 不明確な目的。具体的で明確に定義された目標がないデータガバナンスイニシアチブは、ガバナンス活動とビジネス目標の間に不整合をもたらす可能性があります。 明確な目標がなければ、成功と進捗状況を測定することは困難で、効果的ではありません。
  • 利害関係者の関与が不十分。データガバナンスには、組織のあらゆるレベルからの賛同が必要です。 利害関係者の関与が不十分な場合、抵抗が起こり、実施もうまくいかなくなります。 効果的なガバナンスには、経営幹部からエンドユーザーまで、すべての人の積極的な参加が必要です。
  • 必要な文化的変革の過小評価。データガバナンスは技術的な課題であると同時に、文化的な課題でもあります。 多くの企業は、新しいデータプラクティスをサポートするための文化的な変化の必要性を見落としています。 ガバナンスを成功させるためには、データの使用と管理に関する考え方や習慣を変える必要があるのです。
  • テクノロジへの過度な依存。テクノロジは重要な実現要因ですが、ツールに重点を置きすぎるとプロセスや人の重要性が見えにくくなることが多いため、かえって悪影響を及ぼすこともあります。ガバナンスとは、適切な GRC ソフトウェアを用意することだけではなく、それを組織の中でどのように使用するかということでもあります。
  • 低品質なデータ。データガバナンスプログラムは、既存のデータ品質が低いために、不正確で不完全な古いデータによってガバナンスの取り組みが損なわれ、苦労することがよくあります。 高いデータ品質を確保することで、信頼性の高い分析、意思決定、コンプライアンスが実現します。
  • 不適応なガバナンス構造。硬直したガバナンス構造では、進化するビジネスニーズに対応することはできません。新しいデータソース、規制、ビジネスモデルに適応できないと、ガバナンスの取り組みが時代遅れになる可能性があります。 持続可能なデータガバナンスには、柔軟性と拡張性が不可欠なのです。
  • トレーニングとリソースが不十分。データガバナンスの取り組みには、適切なトレーニングとリソース配分が不足しているという問題があります。 従業員は、ガバナンスポリシーとその実施における役割を理解するために適切なトレーニングを必要とします。 時間、予算、人員などのリソースが不十分だと、ガバナンス戦略の有効性が妨げられる可能性があるのです。

データガバナンスポリシーを構築しながらこれらの課題に対処することで、企業はビジネス目標に沿った、より効果的で持続可能で適応性の高い GRC 戦略を策定できます。

ガバナンス、リスク、コンプライアンスの利点と課題

すべての組織戦略にはメリットと課題が伴いますが、GRC も同じです。 企業が直面する 2 つの大きなハードルは、データの取得と安全な保存です。 ビッグデータの時代において、組織が管理しなければならないデータの量、速度、種類は急速に増加しています。 さまざまなレベルで価値がある一方で、この膨大な量のデータが誤って扱われると、コンプライアンス違反や法的問題が発生する明らかなリスクがあります。

コンプライアンスの維持、リスクの管理、戦略的インサイトの獲得のためにビッグデータ分析を活用することは複雑なタスクであり、プライバシーとセキュリティの不備によって重大なコンプライアンスリスクがもたらされる可能性があります。これらの課題を克服するために、企業は以下のような戦略を採用できます。

  • 堅牢な GRC テクノロジへの投資: 先進的な GRC プラットフォームやソフトウェアを導入すると、コンプライアンスプロセスとリスク評価を自動化することができ、大量のデータを簡単かつ安全に管理できるようになります。
  • 包括的なデータ管理ポリシーの実施: データの収集、保管、使用に関する明確なポリシーにより、一貫性が確保され、コンプライアンスの維持に役立ちます。
  • 定期的なトレーニングと意識向上プログラム: コンプライアンス要件とデータ管理のベストプラクティスについて組織内の全員を教育することで、人的ミスに関連するリスクを軽減することができます。
  • 定期的な監査とリスク評価の実施: GRC プロセスを頻繁に評価することで、潜在的な問題や改善の余地がある領域を特定することができます。
  • コンプライアンス文化の促進: GRC の導入を成功させるには、コンプライアンスを重視する組織文化を育むことが不可欠です。
  • 専任のデータガバナンスチームの設置: このグループは、企業のデータ資産を監督し、それらが効果的かつ責任を持って使用されるようにする業務を担当します。データポリシーの施行、データ関連リスクの管理、規制コンプライアンスの確保において重要な役割を果たすと同時に、法的な変更に対応し、データ処理の取り組みに必要な変更を加えます。

GRC とクラウドについて

コスト上のメリットと拡張性のために、世界中の企業の 90% 以上がデータストレージ用のクラウドを使用していると推定されています。このようなテクノロジの採用が広がるにつれて、データプライバシーとセキュリティへの関心が高まっています。

クラウドデータストレージに関連するリスクは、データ侵害から不正アクセスまで多岐にわたります。企業がデータ整合性を確保するには、次のような多面的な GRC アプローチを採用する必要があります。

  • データセキュリティを大幅に強化するために、エンドツーエンドの暗号化を実装する
  • データをさらに保護するために、強固なアクセス制御と定期的なセキュリティ監査を採用する

GRC 戦略を効果的に策定する方法

GRC 戦略とは、次のような包括的な計画です。

  • 企業のデータガバナンスの目標と方向性を定義し、その概要を説明する
  • データ資産がどのように管理、利用、保護されているかを明らかにする

優れた GRC 戦略では、データ品質が重視され、データの正確性、一貫性、信頼性が確保されます。成功を実現するには、厳格なデータ品質ポリシーを設定し、ライフサイクル全体を通じてデータ整合性を維持できるプロセスを採用する必要があります。リスク管理はデータリスクを特定、評価、軽減するタスクであり、社内外のポリシーや規制要件に沿ったコンプライアンスの取り組みと同様、データガバナンス戦略において重要な要素です。

企業が現在使用している革新的なデータガバナンス戦略には次のようなものがあります。

  • 共通データプラットフォーム: サイロ化されたデータを統合システムに集約する方法として、共通データプラットフォームが注目を集めています。これにより、アクセス、分析、データ管理が容易になり、データ主導の意思決定における一貫性が確保され、効率が向上します。
  • データ活用の促進: 企業は、責任を持って効果的にデータを使用するためのツールと知識を従業員に提供することに重点を置いたデータ活用促進戦略を採用しています。このアプローチでは、従業員が企業のガバナンスポリシーに沿った方法でデータを処理できるようにするための広範なトレーニングと能力開発プログラムに重点を置いています。
  • AI と機械学習: データの分類、パターン認識、異常検出のような複雑なタスクを自動化するために、データガバナンスにおいて人工知能 (AI) と機械学習 (ML) がますます使用されるようになっています。これらのテクノロジにより、データ管理とコンプライアンスの取り組みを強化しながら、よりプロアクティブで予測的なガバナンスモデルを実現することができます。

これらの戦略やその他の先駆的な戦略は、企業がデータをより適切に管理し、デジタルトランスフォーメーションにおいてデータをより効果的に使用するのに役立ちます。

GRC のベストプラクティス

優れたデータガバナンスを実現するには、戦略、テクノロジ、人材管理のバランスを慎重に検討する必要があります。以下のようなベストプラクティスを導入することで、データのセキュリティ、コンプライアンス、アクセス性が確保され、インサイトに富んだ分析と戦略的発展を実現することができます。

  • 透明性のあるガバナンスポリシーと基準の策定: データを管理、保存、共有する方法を定義する総合的なデータガバナンスポリシーを策定しましょう。GDPR や HIPAA などの規制に沿ったデータプライバシー、セキュリティ、コンプライアンスの基準を設定し、全従業員に明確に伝え、従業員がそれらの基準にアクセスできるようにします。
  • データ品質の確保: 情報に基づいた意思決定を行い、利害関係者の信頼を確保するには、高品質のデータが不可欠です。データの正確性、完全性、信頼性を維持するプロセスを導入しましょう。データを定期的にクリーニングして検証することで、エラーや不整合を防ぐことができます。
  • 全社的なデータリテラシーの推進: データリテラシーが確保されていれば、従業員がコンプライアンスやセキュリティの重要性を理解しながらデータを効果的に活用できるようになります。データが適切に評価され、正しく使用されるよう、データリテラシーの文化を促進しましょう。従業員がデータを正しく解釈し、データ主導の意思決定を行えるようにするためのトレーニングとリソースを提供してください。
  • アクセス制御の実装: RBAC (ロールベースのアクセス制御) のような先進的なアクセス制御メカニズムを使用して、機密データへのアクセスを許可された担当者のみに限定し、データ漏洩リスクを最小限に抑えましょう。アクセス権限を定期的に見直して更新することで、役割と責任の変更を反映させることができます。
  • 自動化テクノロジへの投資: 自動化を導入すれば、効率を向上させ、データ管理における人的ミスの可能性を削減することができます。テクノロジを活用して、データの分類、コンプライアンス監視、レポートなど、反復的で時間のかかるガバナンスタスクを自動化しましょう。データ分析と管理機能を強化する GRC ツールやプラットフォームに投資してください。
  • コラボレーションの奨励: コラボレーションを行うことで、データが企業のさまざまな領域にどのような影響を与えるかについてより深く理解することができます。協力的な環境を育み、部署やチームがデータインサイトとベストプラクティスを共有できるようにしましょう。サイロを解消し、部署間のコミュニケーションを促進することで、データガバナンスに対する統一されたアプローチを実現することができます。
  • 監視と監査: 定期的な監査と監視は、データリスクの問題を特定して対処するのに役立ちます。定期的な監査を実施して、GRC のポリシーと取り組みの有効性を評価しましょう。監視ツールを使用すると、データの利用状況、アクセスパターン、潜在的なセキュリティ上の脅威を追跡することができます。

これらのベストプラクティスを実践することで、企業はデータを管理するための堅牢なフレームワークを作成できます。明確なポリシーと基準があれば強力な基盤を構築することができ、データの品質を確保し、データリテラシーを促進することで、データ活用の効果を高めることができます。また、先進的なアクセス制御ポリシーと自動化を導入することでデータセキュリティと効率を向上させることができ、監視と監査を定期的に実施することで継続的な改善とコンプライアンスが保証されます。そして、全社的なコラボレーションを促進することでデータガバナンスに対する包括的なアプローチを実現することができます。これらを組み合わせることで、安全でコンプライアンスに準拠したアクセスしやすいデータ管理のための包括的な戦略が形成されます。

GRC: 俊敏性と正確性の絶妙なバランス

GRC 戦略を再調整するのは簡単な作業ではありませんが、企業にはそれが求められています。企業にリスクをもたらす新しい脅威を理解し、より回復力の高いサイバーセキュリティ戦略を構築する方法を学ぶことは、適応力、先見性、そして事業運営の内外の状況に対する深い理解を必要とする継続的なプロセスです。

ますます高度化するデータセキュリティの脅威に対抗するには、GRC に対する俊敏かつ正確なアプローチが必要です。新たな形式のマルウェアサイバー攻撃などのテクノロジ関連の脅威であっても、新しいデータ保護法の導入などの規制上の脅威であっても、企業は直面している脅威の性質を真に理解する必要があります。そして、このような知識を広範かつ包括的でプロアクティブな GRC フレームワークに統合する必要があります。その方法には、次のようなものがあります。

  • 新しい脆弱性に対処するために、リスク管理プロトコルを改訂する
  • 最新の規制が反映されるように、コンプライアンスポリシーを更新する
  • これらの変化に対応するために、ガバナンスプロセスの俊敏性を確保する

もちろん、回復力の高い GRC 戦略にはテクノロジが不可欠です。AI や ML などの先進的なツールを予測分析に活用することで、潜在的なセキュリティ侵害を早期に警告することができ、迅速な対応が可能になります。強力なデータの暗号化と堅牢なアクセス制御を導入すれば、機密情報のセキュリティがさらに強化されます。

しかし、テクノロジだけですべてを解決することが不可能なのは明らかです。人的要因も GRC の重要な役割を担っているため、セキュリティ意識とコンプライアンスの文化を育むことが重要です。定期的なトレーニングセッション、シミュレーション、演習を通じて、慎重かつ責任感のある考え方を根付かせ、従業員が企業のサイバーセキュリティへの取り組みに積極的に参加するようにします。

また、企業の内外のコラボレーションを促進することも重要です。社内では、統一された GRC アプローチを確保するため、サイロを解消し、部署間のオープンなコミュニケーションを促進することが不可欠です。社外では、他の企業、規制当局、サイバーセキュリティの専門家と連携することで、貴重なインサイトやリソースを共有できます。

GRC は、俊敏性と正確性のバランスを取るための繊細な取り組みであり、企業が現在対応しなければならないことの 1 つです。これには、絶え間ない警戒、適応力、さまざまな要素の統合が必要です。サイバーセキュリティの脅威が常に課題となっている現在の状況において、企業とそのデータを保護するには、ガバナンス、リスク管理、コンプライアンスを統合して機能させる必要があります。

組織に新しいデータガバナンス戦略が必要な理由

結局のところ、組織のデータセキュリティとコンプライアンスは、それを支える要素と人材によって決まります。実績のあるソリューションに投資することで、最初から最後までデータを安全に保ち、絶え間なく変化するデータガバナンスの状況に対応できるようになります。

ベリタスでは、データガバナンスが複雑であることを理解しています。そのため、ベリタスはコンプライアンスとガバナンスソリューションの統合ポートフォリオを提供し、データソース間のインテリジェンスを統合することによって関連情報を特定し、実用的なインサイトを提供し、規制当局から高額な罰金を科せられるリスクを低減します。ベリタスは、Gartner 社によりマジック・クアドラントエンタープライズ情報アーカイブ部門でリーダー認定を受けました。この評価は、お客様のデータと規制の複雑さの両方に対応するクラウド中心のソリューションを提供するという、マーケットをリードする当社の継続的コミットメントが認められたものです。

ベリタスが提供する GRC ソリューションの統合ポートフォリオは、企業がデータソース間のインテリジェンスを統合することで、関連情報を特定し、実用的なインサイトを提供し、コンプライアンス違反による罰金のリスクを低減するのに役立ちます。サイバーセキュリティのリスクを軽減し、コンプライアンスを維持するための包括的なアプローチにおいて、ベリタスがどのように役立つかの詳細については、今すぐお問い合わせください

 

ベリタスのお客様のデータ保護への取り組み詳細については、ベリタストラストセンターをご覧ください。

Veritas 360 Defense は、今日のサイバー脅威に対する優れた回復力を実現します。また、先進的なデータ保護、ガバナンス、セキュリティのための機能を組み合わせ、主要なセキュリティベンダーと容易に統合することができます。迅速な事業復旧、攻撃者の特定、プロアクティブな脅威軽減が可能なセキュリティエコシステムによって、現代のサイバー脅威に対応しましょう。

 

フォーチュン 100 企業の 95% はベリタスのお客様で、NetBackup™ は信頼性の高いデータバックアップソリューション大量のデータを保護したい企業にとってナンバーワンの選択肢となっています。

ベリタスの総合的なデータ保護は、仮想、物理的、クラウド、従来のワークロードなどにわたっています。ベリタスのエンタープライズ企業向けデータ保護サービスをご覧ください。