データインサイダー

データガバナンスとGDPR

データガバナンスとは、組織に出入りするデータの適切な使用を定義するポリシーとプロセスのことです。1つの技術で実現されるものではなく、組織の目標の達成に向けて、人、プロセス、戦略、ガイドライン、ツールといった幅広い分野で構成されます。

具体的には、データガバナンスとデータガバナンスイニシアチブは、組織が内部ポリシーや外部規制を遵守するために、データのライフサイクル全体(データの作成から長期保存、アーカイブ、廃棄まで)を通じて高い基準を維持できるようにすることを目的としています。データガバナンスが重要な理由として、データガバナンスが成功すると、適切なデータに基づいて適切な意思決定が行えることが挙げられます。顧客、市場、資産についての正確で一貫性のある最新の情報を活用できる組織は、データによって変化する新たなビジネス環境に対応して適切に行動することができます。逆に、データガバナンスシステムが不十分な組織は、急速に変化する市場環境に悪戦苦闘したり、情報不足のために身動きがとれなくなったり、誤った選択をしたりすることが少なくありません。

グローバルな規制要件において、データガバナンスは極めて重要です。特に、欧州連合の一般データ保護規則(GDPR)は、利用者の「忘れられる権利」を保護するものであり、違反した場合は2,000万ドル以上、または企業の全世界の年間売上高の最大4%という高額な罰金が科されます。

データスチュワードシップには、データガバナンスフレームワークの一部であるルール体系が必要であり、これには、プログラム目標、データの作成、管理、廃棄のための承認された方法、およびこれらすべてを管理するためのメトリクスが網羅されていなくてはなりません。

この記事では、データガバナンスについて詳しく説明し、データガバナンスのメリットについて触れるほか、組織でデータガバナンスプログラムを開始する方法についてのインサイトを提供します。

データガバナンスとは:目次

データガバナンスのメリットとこれを重視する企業が増えている理由

データガバナンスは、デジタルトランスフォーメーションと、その結果生じるビジネスデータの価値の重要性が高まっていることから、現代の企業にとって欠かせない戦術といえます。ビジネスデータの品質が低い、一貫性に欠けている、利用できない、または何らかの形でデータが損なわれていると、企業は自信を持って的確なビジネス上の意思決定を行うことができません。データ分析から得られるインサイトがなければ、さまざまな事業部門が下す意思決定が大きく誤ってしまったり、組織に不利益をもたらしたりするため、結果としてビジネス成果にマイナスの影響を与える可能性があります。

データが組織にとってかけがえのない生命線である金融業界のビジネスを例に考えてみましょう。企業は、投資や資金が口座に出入りする際に発生するデータを極めて正確に追跡し、資産の場所と価値を把握するためのデータカタログを作成しなければなりません。また、市場環境が変化し、投資の実際の価値を不正確に見積もってしまった場合、経営陣はその資産を保有するか売却するかについての判断を誤ってしまう可能性があります。データガバナンスの不備は、不正確な財務報告書の発行や不適切なビジネス上の意思決定を招くだけでなく、政府の規制に抵触する原因となる可能性さえあります。

データガバナンスの役割は、最終的にはデータの一貫性、正確性、最新性(たとえば、ある商品の価格が店舗1と店舗2で同じであること、ある顧客の住所がデータベース1とデータベース2で同じであることなど)を確保し、その情報が常に最新であることを確認することです。企業が成長するのに伴い(特に異なるプラットフォームで運営されている他の企業を買収する場合)、この取り組みはますます複雑化すると同時に、一層重要なものとなります。さらに、欧州連合の一般データ保護規則(GDPR)やカリフォルニア州消費者プライバシー法(CCPA)など、データプライバシーや規制遵守に関する新たな法律が制定されていることから、ワークフローだけでなくコンプライアンスにおいても、効果的なデータガバナンスがビジネスプロセスに不可欠となっています。

データガバナンスとデータ管理の違い

データガバナンスはビッグデータやメタデータに関わるポリシーとプロセスを中心に構築されているのに対し、データ管理とメタデータ管理はそれらのポリシーとプロセスを採用して実施します。この2つの領域は当然密接に結び付いていますが、データガバナンスはデータ管理における多くのインプットの1つであって、唯一のものではありません。

具体的には、データ管理は以下を含む、多数のプロセスやツールで構成されています。

  • データのバックアップやミラーリングの方法など、データの保存方法と保存場所を決定します。これには、ユーザビリティに関する基準や、データを永久にアーカイブするまでの保持期間に関するポリシーの適用が含まれます。
  • 特に機密性の高い顧客情報に関わるデータ侵害を防ぐための暗号化や匿名化などを利用して、データセキュリティとプライバシープロトコルを適用します。GDPR、CCPA、その他の新たな規制が示す多くの制約に従うことは、今日のデータ管理における重要な活動の1つです。
  • 情報が正確かつ最新で重複しないように、データ品質に関するポリシーを改善しながら適用していく必要があります。データガバナンスでは、データリネージや定量的なメトリクスなど、データ所有者やデータ品質を確認するためのポリシーを設定できますが、優れたデータ管理を実施すれば、これらのメトリクスを常に満たすことができます。
  • 買収によって互換性のない多様なデータストレージシステムを抱える企業では、さまざまなシステムのデータ管理を行えることがとりわけ重要となります。これには、データの整合性を維持したままシステム間でデータを転送して変換するデータパイプラインの管理が含まれます。

これに対して、データガバナンスは、データ管理の運用ルールを定義するさまざまなポリシーについて、問題に対処することを目的としています。また、データガバナンスは、データを別のサーバーやバックアップデバイスに転送するためのガイドラインを示し、データ管理によってそれが実施されます。

データガバナンスフレームワークの概要

データガバナンスフレームワークには、データガバナンス戦略を運用するための具体的なポリシーとガイダンスが含まれます。このフレームワークにより、組織のニーズに合わせてポリシーが一貫して適切であることが保証され、データの取り扱い方に関する役割と責任を確立することができます。

データガバナンスフレームワークには、以下の問題に関するポリシーと基準についての情報が含まれます。

  • セキュリティやプライバシーに関する特別な注意事項を含む、組織におけるデータガバナンスの全体的な目標
  • 承認された方法や技術など、企業がデータを作成する方法
  • データを管理するための認可された技術と、そのための許容されるデータ構造
  • 企業のデータを管理、転送、削除するための許容される手法
  • 上記すべての取り組みが時間の経過とともにどの程度成功したかを監視するためのメトリクス

データガバナンスフレームワークの重要な目標は、組織のデータスチュワードにビジネスインテリジェンスやその他のツールを提供することでデータとデータ資産の価値を理解できるようにし、そのデータを管理するためのルールを確立することです。このフレームワークを遵守することで、組織はデータの全体的な品質を向上させながら、ビジネスの戦略的な意思決定を行うための能力を高めていくことができます。

データガバナンスのベストプラクティス

データガバナンスに関するニーズや目標は企業によって異なりますが、ここではベストプラクティスを開発して確立するための最も一般的なガイドラインの一部をご紹介します。

  • データガバナンスを反復的かつ長期的なプロセスとして理解する:データガバナンスフレームワークを構築するにあたり、データアーキテクチャ全体を対象とした詳細な計画を作り始める必要はありません。その代わりに、特定の部門のデータウェアハウスまたは単一のデータベースなど、ビジネスのサブセットから着手し、そこから構築していきます。反復的なプロセスにより、どのデータガバナンスツール、戦術、担当者が、長期にわたって広範なデータガバナンスフレームワークを構築するのに相応しいかを判断することができます。
  • 経営陣の賛同を得る:会社にとってのメリットを明確に説明することで、組織においてデータガバナンスが重要である理由を明確に示します。データフローに関する初期段階のメトリクスは、期待値を設定する際に役立つとともに、主張の確固たる裏付けとなります。
  • メトリクスを確立する:データ品質は重要ですが、どのように測定するのでしょうか。最も重要なメトリクスは何でしょうか。データガバナンスプログラムの継続的な改善の測定、およびビジネス価値の測定を行うためには、これらのメトリクスを最初から確立し、長期にわたって追跡することが重要です。
  • チェックアンドバランスを図り、完全な透明性を確保する:データガバナンスの成功は、プラットフォームに対する強力な説明責任があるかどうかにかかっています。そのため、データを作成し使用する人とデータを管理する人との間でチェックアンドバランスを図ることが重要になります。
  • すべてを文書化する:データガバナンスでは、フレームワークの文書化に伴い、さらに多くのデータを作成することになるのが通常です。データの定義とフレームワーク、データ領域、ポリシー、プロセスに加え、上記のすべてについての意思決定権や責任を持つ担当者を詳細に文書化しましょう。強力なデータガバナンスプログラムは、プロジェクトのあらゆる側面において、誤解の余地を与えません。

GDPRとは?

企業が顧客や従業員の個人データをどのように使用するかを管理するために作成された一般データ保護規則(GDPR)は、2018年に施行されました。これは、コンプライアンスの維持に取り組む企業にとって、悩みの種でもあります。

GDPRは、特にデータ漏えいが発生した場合、極めて厳格なガイドラインによって企業のデータに対する責任を追及します。そのため、EU市民と何らかの形でビジネスを行う組織はGDPRに精通する必要があり、これには、コンプライアンスを支える強力なデータガバナンスプログラムの開発も含まれます。データガバナンスプログラムの一環として、組織は、顧客について収集したさまざまな種類の情報を理解する必要があります。これには、情報の保存場所、データ所有者と適切なデータアクセスレベル、データの保護方法、必要に応じてデータを削除するためのプロセスなどが含まれます。

また、GDPRの「忘れられる権利」では、エンドユーザーから削除の要求があった場合、組織はエンドユーザーの個人情報を削除することが義務付けられています。強力なデータガバナンスプログラムがなければ、このような法律を遵守するのは極めて困難です。

データガバナンス

進化するデータガバナンスのトレンド

新型コロナウイルスの感染拡大、そしてGDPRをはじめとするデータプライバシー法の施行などの昨今の出来事により、強力なデータガバナンスの必要性が急がれています。以下に、新たに広がりつつあるデータガバナンスのトレンドの一部を紹介します。

  • 非構造化データの増加:非構造化データ(企業全体にわたる多種多様なドキュメント、画像、動画に含まれる情報)の爆発的な増加は、今日の企業が直面する最大の課題の1つです。コンテンツの無秩序な増加はさらに悪化し、リスクと費用が増大することが予想されています。
  • リモートワークによる機密データの分散化:多くの社員が急速に在宅勤務を行うようになったため、セキュリティの問題が増えています。これは主に、社員が自宅のネットワークで個人用デバイスを使用していることに起因しています。
  • 人工知能(AI)によるデータ管理:新しいAIおよび機械学習ツールを使用することで、本来あるべきではない場所などに保存されていた機密データを含むドキュメントを見つけ出すことができます。これらのツールは、自動化テクノロジーを使用して、こうした文書内の情報の編集や暗号化を行い、手動で監視することなく、多くの場合リアルタイムで企業のデータを保護することができます。
  • ますます重要視されるソースにおけるデータ品質:データが最初から高品質であることがわかっていれば、それを受け取った後でクリーンアップする必要はありません。最近の戦略の多くが、企業がパートナーとより緊密に連携し、顧客データを正確に維持して、さまざまなチャネル間で同期させることを目指しています。
リモートワーク

クラウドによるデータガバナンスへの影響

クラウドコンピューティングは、IT環境全体に影響を及ぼしますが、それはデータガバナンスにおいても同様です。また、次の点においてもデータガバナンスに影響を与えます。

  • クラウドは、データの重複や不整合を引き起こす可能性があります。データがオンプレミスシステムとクラウド(複数のクラウドシステムで構成)の両方に保存されている場合、リスクはさらに高まります。
  • クラウドのセキュリティとデータポリシーは、オンプレミスのものとは異なります。今日のクラウドサービスは、オンプレミスのストレージシステムと同等またはそれ以上に安全であると考えられていますが、プロバイダーに企業データを託す前に、すべてのプロバイダー候補について包括的なリスク分析を実施すべきです。
  • クラウドでは地域ごとのデータ要件が複雑になります。GDPRのような特定の法律では、データの保存場所に関するセキュリティおよびその他のポリシーが定められています。データがクラウドに移行されると、データの場所の管理は必然的に複雑さを増します。

もちろん、クラウドが企業データに多くの利点をもたらすことは言うまでもありません。データアクセスが向上したり、パフォーマンスが大幅に改善したりすることも多く、RPAやAIサービスなどのクラウドベースのツールを活用してデータを処理したりすることもできます。クラウド環境への移行に伴う課題を克服すれば、これらのメリットをより簡単に享受できます。

データガバナンスの開始方法

多くの組織がデータガバナンスプログラムの構築に着手した際、似たようなルールがすでに存在していることに驚くでしょう。記録保持に関するデータポリシー、顧客データの暗号化の義務、企業情報を自宅のコンピューターやモバイルデバイスに保持することに対する制限などがある場合、データガバナンスフレームワークの構築に向けた一歩をすでに踏み出しているといえます。

正式なデータガバナンスプログラムを導入する準備ができたら、まず、初期段階のデータガバナンスポリシーに不足していた点を検討し、それを修正するための作業を開始します。データガバナンスチームは、最も効果を生みそうなプロジェクト(たとえば、機密性の高い顧客データベースの保護が必要で、ある程度短期間で完了できるものなど)を選択する必要があります。いくつかの小規模なプロジェクトを経験した後で、組織内のより大きな問題に取り組むのがよいでしょう。

規模の大小にかかわらず、データガバナンスプロジェクトはそれぞれ、データの正確性、整合性、セキュリティを保護することを中心に構築される必要があります。各データソースに適切なプラットフォームを検討し、それらへのアクセス方法とその理由に関するルールを設定します。

また、各ガバナンスプロジェクトでは、データの損失や侵害のリスクを考慮する必要があります。つまり多くの場合、ガバナンスに関する討議にはさまざまなステークホルダーの参加が求められるということです。たとえば、IT部門が財務データベースのガバナンスルールを設定する際には、財務部門と緊密に連携することが必要です。

最後に忘れてならないのは、データガバナンスは1回限りの活動ではないということです。どのようなデータガバナンスプログラムであっても、テストと改良を重ねながら長期的に注視していく必要があります。

データの時代が到来 : Splunkのチカラ


結論:強力なデータガバナンスは、多くの企業にとって極めて重要

データガバナンスの不備がもたらすリスクは、顧客に対する誤った対応から、情報漏えいによる経済的損失、法的な罰則を伴う規制違反に至るまで、数多く存在します。データガバナンスは難しいトピックのように感じられるかもしれませんが、そうではありません。ゼロから始める場合でも、いくつかの簡単なステップに従うことで、セキュリティの強化、コンプライアンスの確保、データの全体的な品質の向上を実現するフレームワークを比較的容易に構築できます。

組織のデータは、最も重要な資産の1つです。そしてデータガバナンスが、データを重要な資産の1つとして扱うための鍵となるのです。

参考リソース: