インフォメーションセンター

情報ガバナンスとは

情報の爆発的な増加は、今の時代を最もよく表している特徴です。この情報化時代には、データの量、データの用途、データソースの数、データの経路がすべて急激に増加しています。これに伴い、情報を定義、収集、アクセス、処理、キュレーションする新たな業界が生まれています。

このような環境で、情報ガバナンスの本質については誰もが認めているものの、この大規模なタスクにどう着手すればよいのか簡単には判断できません。

今日の企業は、収集、処理、保存するデータの量と種類の爆発的な増加を経験しています。ところが、多くの場合は、処理しているデータの種類や価値を正確に把握できていません。つまり、データを適切に使用または管理できていないということです。そのため、データを適切に管理していれば達成できたはずの成功を得られていません。

データ管理が不十分であると、財務、法務、評判に関する重大な影響が生じる可能性もあります。情報ガバナンスはこのような結果を回避するのに役立ちます。

それでは、情報ガバナンス (IG) とはどのようなもので、今日のビジネス環境でどのような役割を果たすのでしょうか。このガイドでは、ビジネスプロセスとコンプライアンスに重点を置いた新しいデータ管理分野である IG について説明します。

情報ガバナンス (IG) とは

IG とは、データの価値を最大限に高めるとともに、企業による情報の作成、使用、共有に伴うリスクを軽減するための戦略的アプローチのことです。この場合の情報とは企業の資産であり、高度な監視と調整が必要となります。それによって企業の情報の説明責任、保護、整合性、適切な保持が確保されます。

IG が目指しているのは、サイロ化をなくしてインフォメーションマネージメントの断片化を回避することです。こうすることで、高い信頼性を維持できるとともに、企業が情報管理に使用するプロセス、技術、人材において ROI を確実に達成できるようにします。

情報ガバナンスには公式な定義が多数ありますが、 Gartner  社の定義が最も広く受け入れられています。同社が定義する IG とは、情報の作成、評価、使用、アーカイブ、削除、保管に関して適切な行動を確実にとるための説明責任フレームワークです。そこには、情報を効果的かつ効率的に使用し、企業がその目標を達成するために必要な標準、指標、役割、ポリシー、プロセスが含まれています。

IG のプロセスにより、顧客情報、従業員記録、医療記録、知的財産などの情報記録の使用を管理できます。企業の IG 担当者は、経営陣やその他の関係者と連携してポリシーを策定し、企業のすべての情報資産について従業員がどのように扱うべきかを規定する必要があります。

情報ガバナンスの重要な目標は次のとおりです。

  • データ資産の価値を理解し推進する
  • データに関するあらゆる問題を効果的に解決し、再発を防止するプロセスを作成する
  • 情報ガバナンスに関する標準とポリシーを確実に遵守させる
  • データの戦略、標準、ポリシー、関連する指標と手順を定義し、承認する
  • データのポリシーを関係者に明確に伝える
  • データ管理プロジェクトの実施を支持、追跡、監視する

情報ガバナンスフレームワーク

情報ガバナンスの目標とプロセスを明確に定義しやすくするために、フレームワークを開発して企業のアプローチの骨子を正式に述べることができます。このフレームワークでは、誰が、何を、どこで、いつ、どのように、なぜという質問について、説明するとともに答えを出します。

フレームワークは企業固有のニーズに合わせるべきですが、以下の領域は定義する必要があります。

  1. 範囲: 情報ガバナンスプログラムの範囲を決めます。全体的な目標の明確な概要、プログラムで管理するデータの種類、この目標の達成を支援するスタッフなどが含まれます。
  2. ポリシーと手順: IG プログラム全体に関連するポリシーと手順を包括的に定義します。データのセキュリティ、保持と廃棄のスケジュール、記録管理、情報共有ポリシー、プライバシーなどが含まれます。
  3. 役割と責任: 情報ガバナンスプログラムに不可欠な役割を定義する必要があります。プログラムの統合と導入の一環として特定の部署と従業員がどのような IG 責任を引き受けるかなどが含まれます。
  4. 内部と外部のデータ管理: 企業とその従業員が特定のデータを管理する方法を定義します。関連するセクションには、法令や規制のコンプライアンス、個人情報の管理、許容できるコンテンツの種類、情報を共有する方法、データを保存およびアーカイブする方法などがあります。

企業がパートナー、関係者、仕入先との間で、どのように情報を処理して共有するのかを確立することも重要です。フレームワークでは、第三者と情報を共有するために確立されたポリシーと手順、情報ガバナンスのプロセスが契約上の義務に与える影響、パートナーと第三者が IG の目標を満たしているかどうかを判断する方法を定義する必要があります。

さらに、違反や情報漏えいを報告する方法、ディザスタリカバリプロセス、インシデント管理の詳細、事業継続戦略、これらのディザスタリカバリと事業継続のプロセスを監査する方法など、データ漏えいが発生した場合の手順を明確に示す必要があります。

最後に、継続的な監視のプロセスを概説する必要があります。情報へのアクセスを監視する方法、規制コンプライアンスの遵守を評価する方法、リスク評価を実施する方法、適切なセキュリティを確保する方法、IG プログラム全体を見直す方法など、IG プロセスの品質を保証するための計画が必要です。

情報ガバナンスとデータガバナンス

多くの人々や企業は、IG とデータガバナンスが同じものだと考えています。両方とも企業がビジネス目標を達成するうえで不可欠であり、重複する部分もありますが、同じものではありません。

情報ガバナンスでは、企業がデータ資産からビジネス価値を引き出すことができます。情報ガバナンスは、自社の情報の価値を最大限に高めるとともに、関連するコストとリスクを最小限に抑えるために企業が採用する技術と活動を指します。

一方、データガバナンスは、事業部門レベルで情報を管理し、情報の正確性と信頼性を確保するためのものです。そのプログラムには、データの使いやすさ、可用性、整合性、セキュリティを管理する手順が含まれます。

つまり、データガバナンスは不要なデータの混入を防止することを指し、IG はデータを使用する際に行う意思決定を意味します。

次に、それぞれのガバナンスで行われる活動の例をいくつか示します。両者の違いがわかりやすくなるはずです。

  • データガバナンスの活動には、メタデータの管理、データの処理、データ管理、データアーキテクチャ、データの品質、プライマリデータなどがあります。
  • 一方、IG は企業のデータライフサイクル管理を対象とします。個人情報の交換、規制コンプライアンスの監査、記録、保持スケジュール、電子情報開示、データプライバシーの保護などの活動やプロセスが含まれます。

データガバナンスは IT 部門の担当する範囲ですが、IG はそれよりも広い範囲が対象となります。IG を使用してデータの使用と保持に関するビジネスとコンプライアンスのニーズを満たすことで、IG を企業統治で重要な役割を果たす戦略的な統制にすることができます。

IG とデータガバナンスを一緒に適用することで、ビジネス価値をさらに向上できるインフォメーションマネージメント手法が完成します。

情報ガバナンスが重要な理由

情報はあらゆる企業やビジネスにとって重要なリソースです。情報がなければ、ビジネスを運営することはできません。そのために企業ではプロセス、技術、人材への投資を行い、情報によって企業を確実に支えられるようにしています。

情報の作成、使用、保護、共有には大規模な投資が必要なことから、企業は情報ガバナンスについて、ビジネスを運営するために必要な設備、建物、財源と同じような一種のビジネス資産だと考えています。

リソースや資産の監視と運用は、どのビジネスガバナンスにおいても主要な目的です。さらに、他の資産と同じく情報には管理が必要で、その価値と関連するリスクに責任を持って対応する必要があります。

情報ガバナンスによって、企業は情報に関するリスクと価値を管理するための統制のとれたアプローチを手に入れることができます。

IG はまだ発展途中の分野なので、ビジネスプロセスにおける役割については未知のことも多くあります。ただし、IG プログラムを適切に導入すれば、企業は以下の利点を実現できます。

  • 企業文化、利用できるリソース、関係者の関与の度合いなどによって異なるビジネスのニーズ、優先課題、戦略目標をサポートする
  • データ侵害を防止する
  • 規制コンプライアンスを達成し、制裁金などの関連リスクを軽減する
  • データ分析機能を強化する
  • 企業のビジネスインテリジェンスの ROI を向上させる
  • アウトソーシングされた IT と急増するシステムに対する制御を確立する
  • 重要な情報ポリシーに関する従業員の意識を高める
  • 情報の保管電子情報開示 (情報開示技術) のコストを削減する

たとえば医療業界は、治療の変化、支払いモデル、他の医療機関と提携する必要、顧客の新しい期待、技術、規制の強化に伴う課題に直面しており、今や情報ガバナンスがかつてないほど重要になっています。情報ガバナンスは、医療機関と関連する組織にとって、情報の信頼性を確保し、情報を信頼して多様なあらゆるニーズを満たすための最良の方法です。

IG では、技術ではなく、企業のニーズに基づいて意思決定を行うことができます。また、サイクルのある時点でたまたまデータを持っていた結果として偶然に意思決定者となってしまう人物が発生しないようにします。このような人物は、他の関係者のニーズは考慮せずに意思決定を行う傾向があるためです。

登録の手順

IG イニシアチブに着手するのに最適な場所を特定するには、信頼できる情報とデータで企業の戦略的な取り組みをサポートする方法を見つけ出す必要があります。

ほとんどの企業は、ビジネスを遂行し、目標達成に向けた戦略を策定する方向を示すミッションやビジョンを設定しています。したがって、それらのビジネス戦略や目標を注意深く観察することで、IG イニシアチブに着手する場所や方法について有力なヒントを得ることができます。

企業の目標を達成するためには有用な情報が不可欠です。したがって、情報に関する問題 (弱点) で対応が必要なものや、コストを削減し収益を高めることができるビジネス機会を特定することから、IG イニシアチブを開始するとよいでしょう。

つまり、企業の目標の達成に向けたより広範な戦略の一部として IG のニーズを位置づけるということです。用地 (不動産) の適切な管理、他の企業の買収や統合によるサービスの拡大、新しいカスタマサービスプロトコルの作成、コストの削減など、目標は多種多様です。

IG は情報のさまざまな側面が適切に機能できるようにするための責任と権利を定めた要件です。そのため、意思決定権の規定によって、データの所有権とデータに関して意思決定を行う権利を持つ人物が決まります。

したがって、所有者と意思決定者を定義することで、データの意思決定に責任と説明責任を割り当てることができます。これはおそらく、IG ポリシーを作成する際に組み込むべき重要な概念です。説明責任が重要となるのは、データへの依存度が増大するにつれ、通常は他の事項を考慮せずに最も簡単な経路を選択するようなデフォルトでビジネス上の意思決定を行ってしまうからです。

情報ガバナンスの主な領域

情報ガバナンスのポリシーを作成するときには、次の主な領域について検討する必要があります。

使用ポリシー: 誰がどのような状況でデータにアクセスできるかを詳しく指定した明確な使用ポリシーを使用することで、さまざまなセキュリティリスクを抑制できます。

説明責任: 最高データ責任者などの職務または標準ポリシーの作成に専念する部署を用意して、企業内の誰かがデータ処理ポリシーに対して責任を持つようにする必要があります。

記録管理: 大規模な企業では年間に保存するデータが最大 10 ペタバイトに達する可能性があり、膨大なコストが発生します。IG を使用すると、価値のあるデータを特定したうえでそれだけを保存することにより、ストレージコストを削減できる可能性があります。

コンプライアンス: 法律、ビジネスニーズ、規制によって情報を保管する方法が決まります。その後については、法律、規制、ビジネス要件に基づいて確立されたライフサイクルスケジュールに従って情報を破棄する必要があります。

教育: 他のすべての企業ポリシーと同様に、IG プログラムのトレーニングを従業員、パートナー、ベンダーに対して行えば、すべてのサイクルをカバーしたことになります。

技術: 包括的な IG は IT ガバナンスにも対応できます。ストレージ階層の作成、適切に構成されたアクセス方式の確保などのポリシーを IT 担当者に提供できます。

情報ガバナンスの利点

  • より安全で保護されたデータ。効果的な IG ポリシーにより、データの安全な保護に向けたルール、標準、規則、責任を確保することができます。
  • IG ではインテリジェンス情報を共有することでコラボレーションを促進するため、生産性が向上します。
  • コストの削減。明確な IG ポリシーを作成すると、保存するデータ、保存するメディア、保存する期間をより厳しく見極められるため、コストを削減できます。また、労力の無駄な重複を減らすことができます。
  • 効率的なデータアクセス。IG ではデータが明確なポリシーによって分類、保護、サポートされるため、使用可能で価値あるデータに簡単にアクセスできます。
  • リスク管理。データを分類する情報ポリシーにより、データの種類に応じてリスクを評価し、必要なデータには高レベルのセキュリティを確保できます。
  • ビジネスインテリジェンス。トレンドデータや履歴データに簡単かつ効率的にアクセスできるため、開発者やマーケティング担当者はより的確な情報に基づいて意思決定を行うことができます。
  • ライフサイクルの効率。IG によってデータのサイロ化を解消できるため、データのライフサイクルのどの時点でも、データからより多くの価値を引き出すことができます。
  • 規制コンプライアンス。適切に分類済みで簡単にアクセスできるデータがない限り、規制要件に合わせてデータを収集するプロセスは大変な難題となります。
  • IG では訴訟や情報開示のコストを大幅に削減できます。該当する情報だけを簡単に特定してアクセスできるため、迅速かつ十分な電子情報開示が可能になります。
  • IG では意思決定プロセスが強化されるため、ビジネスの俊敏性が高まります。IG は企業がビジネスユーザーに対して情報をどのように活用するかについて枠組みを示すため、部門主義や官僚主義に陥ることを緩和できます。
  • 販売サイクルの短縮によって収益性が向上します。
  • カスタマサービスの向上を支援します。IG では、情報を整理、分類、アクセスする方法について標準を設けています。
  • IG では、情報やドキュメントについて可能な限り少ないバージョンを提供することで情報の保存とアクセスを簡単にし、従業員の生産性を向上させます。

情報ガバナンスの法律と規制

企業データの量が増えるとともに技術革新によってビジネスの能力が拡大を続けるのに伴い、IG プロセスに厳しい法律や義務を課す規制が当然のことになっています。最近は個人を特定できる情報 (PIN) がオンラインの悪質な攻撃者やハッカーの大規模な標的となっていることから、データのセキュリティとプライバシーにも厳しい法規制が課せられています。

プライバシーに関する法律が世界全体に広がり始め、情報セキュリティガバナンスの新たな義務が生まれています。多くの業界は、電子通信と記録を最低期間保持することを求める規制の対象となっています。このような規制には、司法省、環境保護庁、証券取引委員会などの連邦政府機関からの指令も含まれます。

また、規制の報告要件により、企業にはコンプライアンスに関する詳細な年次報告書を提出することが義務付けられています。ビジネス記録の適切な管理プロセスが整備されていれば、コンプライアンスを示す証拠を得ることができます。

さらに、海外腐敗行為防止法 (Foreign Corrupt Practices Act) などのコンプライアンス規則により、企業は IG プログラムと記録が真正であることを証明する必要があります。

データセキュリティ、記録管理、データ保持に関して業界や政府が求めている要件は多数に及び、これらは IG 戦略に影響する可能性があります。以下に、米国でビジネスを運営する企業が知っておくべき重要な法律の一部を紹介します。

  • カリフォルニア州プライバシー権法 (CPRA): この新しい包括的な法的枠組みは、従業員、求職者、独立契約者、役員、および雇用者から福利厚生を受ける従業員の扶養家族であるカリフォルニア州の居住者の個人情報に適用されます。
  • 2002 年サーベンスオクスリー法 (SOX: Sarbanes-Oxley Act of 2002): すべての公開企業に適用される重要な規制です。SOX では、記録管理業務を例外なく標準化しています。リスク軽減プロセスや企業の財務記録について管理の仕組みを導入することが規定されています。また、企業は少なくとも 5 年間にわたりビジネス記録を保管することも規定されています。
  • 連邦記録法 (Federal Records Act) (44 USC 31) と関連法: 連邦政府機関にそのすべての活動を文書化した完全な記録を作成するように命じています。また、連邦政府機関は、安全な保管方法、効率的な取得、適切な廃棄に関する記録を保管する必要があります。
  • グラムリーチブライリー法 (GLBA: Gramm-Leach-Bliley Act): 金融機関は、顧客の非公開個人情報を保護する必要があることを規定しています。金融機関は、不要になるまで金融記録を安全に保管し、その後破棄して誰もアクセスできないようにする必要があります。
  • 連邦民事訴訟規則 (Federal Rules of Civil Procedure)

情報ガバナンスの進捗状況の評価

IG 成熟度モデルや IG 参照モデルなどの評価ツールを使用すると、情報ガバナンスの進捗状況を評価できます。IG 参照モデルでは、企業、業界団体、アナリスト企業、その他の関連する組織に向けて、IG プログラムのプロセス、手法、責任に関して関係者とのコミュニケーションを行うためのツールを提供します。

IG 成熟度モデルは、ARMA による 8 つの Generally Accepted Recordkeeping Principles (一般に認められている記録管理の原則) に基づいています。成熟度モデルでは、記録管理プログラムのレベルについて、IG が標準以下から革新的なものまでさまざまな特性を定義しています。企業の目標は、革新的なトップレベルに到達することです。そのレベルでは、IG 戦略が企業のインフラ全体またはビジネスプロセスに統合され、コストの抑制、顧客サービス、競争優位性を向上させることができます。

結論

IG は、作成、評価、使用、保管、削除、アーカイブなど、情報のさまざまな側面が適切に機能できるようにするための責任と権利を定めた要件です。データを効果的に使用するために、IG には企業が目標を達成するのを支援するポリシー、目的、プロセス、標準が含まれています。

データの収集と保管の増大に伴い、規制による監督が厳しくなる中では、特に情報ガバナンスが企業に大きな利点と価値をもたらします。確固とした IG 戦略の開発と導入により、企業はデータの可用性を確保したり、コストを抑制したりできます。また、サイバーリスクを軽減したり、規制に関する課題に対応したりできます。セキュリティ侵害、訴訟、監査の不合格、評判の失墜が現実に発生してしまう前に、今すぐ対策を始めましょう。

Fortune 100 企業の 95% がベリタスのお客様です。また、NetBackup™ は大量のデータのバックアップを検討している大企業にとって第一の選択肢です。

ベリタスの大企業向けデータ保護サービスがどのように仮想、物理、クラウド、およびレガシーの各ワークロードに対して完全なデータ保護を維持しているかをご確認ください。