データは、企業が現在の市場環境において事業を運営し、成長し、競争力を維持するために必要な貴重な資産です。データは様々な機会をもたらしますが、同時にリスクも生み出します。データ・ガバナンスフレームワークによって、企業がデータ資産の管理や利用におけるリスクを軽減するために従うべきプロセスおよびプラクティスを確立できます。

データ・ガバナンスを利用すると、データに関わる意思決定が容易になります。全社的な基準を定義すると共に遵守し、説明責任を確立し、データ管理プロセスを組織の変化に対応させることで、データの正確性、可用性、および完全性を確保できるでしょう。さらには、セキュリティリスクを低減してデータプライバシーを保護することができます。

また、セキュアなデータ・ガバナンスフレームワークは法規制遵守を維持する上でも重要な役割を果たします。遵守要件は業界ごとに異なりますが、EU一般データ保護規則(GDPR)や米国国立標準技術研究所(NIST)などの規定はあらゆるビジネス分野に影響を及ぼします。データ・ガバナンスフレームワークを採用してベストプラクティスにならうことで、企業はコンプライアンス対応を改善できるだけでなく、データ管理のための人材、プロセス、およびテクノロジーをビジネス目標に合致させることができます。

データ・ガバナンス とデータ管理の比較

データ・ガバナンスとデータ管理という言葉は同じ意味として使われることもあります。これらは密接に関連していますが、一方は戦略を、他方はプラクティスという異なる機能を表します。

簡単に言うと、データ・ガバナンスはデータ管理の一要素に過ぎず、データに関連するルール、プロセス、および手順の策定に焦点を当てています。データ・ガバナンスによって、誰がデータを保有しているのか、誰がアクセス権を持っているのかといった問いに対する答えを得ることができます。

データ管理は、データをそのライフサイクル全体を通じて管理するためのインフラ、プロセス、テクノロジーの実装に関わるものです。データの保管・運用からデータセキュリティまで、あらゆるロジスティクスに関わる活動に焦点を当てています。

セキュアなデータ・ガバナンスフレームワークとは

セキュアなデータ・ガバナンスフレームワークを利用する最大の目的は、企業データの可用性、有用性、正確性、一貫性、安全性を、以下の段階を含むライフサイクル全体で確保することです。

  • 取得と取り込み
  • 共有とバックアップ
  • 排除と削除

フレームワークのガイドラインやルールに基づいて論理構造が構築され、企業のデータに関連する意思決定を支援する役割を果たします。フレームワークは、決定方法を決めるを助けてくれるツールと考えられます。

データ・ガバナンスフレームワークは企業ごとのビジネスニーズや成熟度によって異なります。モデルには、プロセスの大部分が非公式または新規のものである反応型から、プロセスが制御下にあり最適化されている完全統制型まで、様々なものがあります。

基本的なモデルでは、企業は一貫性のない手動プロセスを使用する傾向があります。成熟したモデルでは、企業は洗練されたフレームワークと戦略を構築しています。

フレームワークを通じて対処すべき課題

すべての企業はそれぞれが異なるデータの課題に直面しています。効果的なデータ・ガバナンスフレームワークはそれらの課題を考慮して対処できるものである必要があります。次の要素の欠如が原因となり、課題が生じることが多いです。

  • リーダーシップと明確な統制構造(誰が何を制御し、誰が何に対して責任を負うのか)
  • ビジネスにおけるデータの価値の理解(企業の成長や収益実現にデータがどう役立つのか)
  • オーナーシップと予算(データ・ガバナンス活動に求められる人材、財務および計算処理上のリソース)
  • ステークホルダーの協力(IT部門だけがデータを所有し管理しているという誤解)
  • 経営陣のサポート(経営トップが主導するデータ・ガバナンスに対する重点的な取り組み)

データ・ガバナンスフレームワークの中核をなす5つの要素

データ・ガバナンスフレームワークは、データ・ガバナンスプログラムの指針となる次に示す5つの主な要素で構成されます。

  • 何のために:ミッションと目的
  • 何をする:プログラムの目標
  • 誰が:ステークホルダー
  • いつ:プロセスの段階
  • どうやって:ルールと定義

ミッション

セキュアなデータ・ガバナンスフレームワークの構築は、堅実な戦略の構築と同様に、データ・ガバナンスプログラムが必要な理由やそのミッションを定義することから始まります。ビジネス目標と目標達成に当たっての課題の両方を把握して文書化することで、データ管理が不十分な場所を特定して改善が必要な場所にフレームワークの焦点を合わせることができます。

目標

目標はプログラムの目的およびミッションと密接に関連しており、プログラムで成し遂げたいことを定義します。一般的な目標としては次が挙げられます。

  • 組織のリスクの最小化
  • データセキュリティ、プライバシーとコンプライアンス対応の維持
  • 従業員の生産性向上
  • データ主導型意思決定の改善
  • データから引き出せる価値の最大化

「何のために」に該当する別の要素として、目標達成のために実施が必要な戦略とそれらの戦略の成否を評価する指標の2つが挙げられます。戦略は、セキュリティ重視のポリシー採用から、プロセスを支援する様々なプラットフォーム、ツール、テクノロジーの導入まで、多岐にわたります。

ステークホルダー

一般的には、データ・ガバナンス評議会、理事会、または委員会が、データ・ガバナンスプロセスの監督、ポリシーの策定、および他のステークホルダーのニーズの調整を担い、戦略と説明責任について主に責任を負います。

その他のステークホルダーとして以下が挙げられます。

  • データオーナー:ガバナンス委員会の一部のメンバーとデータオーナーは、異なるビジネス・ユニット間でデータを高い水準で適切に統制する責任を負います。
  • データスチュワード:日々のデータ管理活動について責任を負います。
  • データユーザー:データへのアクセス権を有するユーザーを指します。

これらの役割に関するアプローチや構造は企業により異なります。データ管理活動を監督する最高データ責任者を任命している場合も、総合管理チームを設置している場合もあります。

プロセス

プロセス、すなわちデータ・ガバナンスフレームワークの「いつ」に該当する要素は、データ・ガバナンスプログラムの実施と保守管理に関連しています。実際のステップは次のようになります。

  • 発見と分析(データおよびプロセスの現状を評価)
  • ロードマップの作成(ステップとマイルストーンの可視化を支援)
  • 計画の策定(予算も考慮に入れる必要あり)
  • 実施(計画の運用開始)
  • 監視、制御、適用、評価(フレームワークの監視、制御、適用を行い、プログラムとデータ両方の品質を評価し、結果をステークホルダーに報告)

定義

「どうやって」の要素は、意思決定に役立つコンテキストおよび定義と関連しています。これには、データポリシー、規格、ルール、全社的な適用が必要な構造や手順などが含まれます。

効果的な戦略を構築するための10のステップ

データ・ガバナンスフレームワーク構築の一部のステップはフレームワークにおいて示されていますが、構築プロセスをステップごとに文書化することで、マイルストーンに沿った作業が可能になり、重要な部分を見逃さずに済みます。

推奨されるステップとしては次が挙げられます。

  1. データ・ガバナンスの成熟モデルを明確にする
  2. 改善したいと考える重点範囲とプログラムの目標を選定する
  3. データ・ガバナンスチームのモデルとヒエラルキーを選択する
  4. 主要なステークホルダーの役割と責任範囲を定義・設定する
  5. 主要な意思決定者を特定する
  6. データオーナーとデータスチュワードを選定する
  7. ポリシーと手順を策定する
  8. プログラムの有効性について評価する指標を明確にする
  9. 説明責任の仕組みを構築する
  10. データ・ガバナンスを支援するツールとテクノロジーを選択する

データ・ガバナンスフレームワークのベストプラクティス

企業ごとに状況は異なりますが、ベストプラクティスを一般的なガイドラインとして利用できます。戦略の実施と評価、そしてデータの使用と管理を全体的に理解する際に、ベストプラクティスをお客様独自のユースケースにあわせてカスタマイズできます。

次のベストプラクティスはデータ・ガバナンスフレームワークの出発点となります。

目標を評価する:フレームワークの目標は単純明快かつ定量化できるものでなければなりません。マイルストーンとプログラムの成功を評価する指標を設ける必要があります。

すべてのステークホルダーを教育する:データ・ガバナンスに関係するすべてのステークホルダーがそれぞれの役割だけでなく全体像を理解できるように、関連するコンテキスト、定義、およびその他のコンテンツを提供します。

透明性を確保する:すべてのデータ・ガバナンス参加者(監査人も含む)は、データをいつどのように制御し、判断し、手順を踏むかに関して明確に理解している必要があります。

適正な監督を徹底する:説明責任を確立するには、データ収集者やデータ利用者、規格作成者、データ管理者にいたるまで様々なデータ参加者全体を確認して調整を図る必要があります。

データをマッピングする:マッピングによって、対象範囲、フットプリント、フローを含むデータ環境を明確に理解できます。

リスクを考慮する:データ・ガバナンスに対するリスクベースのアプローチによってリスクを軽減し、プログラムの適切な目標を定義できます。

セキュリティを最優先に考える:コンプライアンス遵守は重要な目標のひとつですが、データ・ガバナンスフレームワークには単にコンプライアンス要件を満たす以上のことが求められます。セキュリティ最優先のアプローチを取ることで、コンプライアンス対応を強化しながらデータを保護できます。

適切なツールを活用する:セキュアなデータ収集、使用、および管理を目的とするテクノロジー・ソリューションを利用することで、データ・ガバナンスプロセスを簡素化できるだけでなく、定義したルールとガイドライン、規制要件にプロセスが適合していることを確認できます。

終わりに

データ・ガバナンスにより、お客様にとって最も価値あるリソースのひとつであるデータの品質とセキュリティを確保できます。複雑で目まぐるしく変化している現在のビジネス環境では、ビジネス目標とデータ使用により引き起こされるリスク間のバランスを取る必要があります。成熟したデータ・ガバナンスを実現するジャーニーのどの地点に位置しているのかに関わらず、セキュアなデータ・ガバナンスフレームワークは戦略の実施と管理を成功させるために不可欠な要素です。

セキュリティと法規制を取り巻く環境によっては、データ・ガバナンスに課題を生みます。手動ステップを排除するツールやテクノロジーの利点を活かすことで、ガバナンスのコストを削減してデータを保護することができます。

SailPoint File Access Managerは、非構造化データに対する可視性と制御を提供します。 PII、PHI、PCIデータなど機密性の高い情報を要件に適合する形で素早く発見でき、それらの情報をGDPR、CCPA、HIPAA法などの規制に従って分類および保護できます。さらには、File Access Mangerを利用することで、データオーナーを特定して選出し、リスクへの対応を警告し、データへのアクセス権申請とレビューを管理することができます。

詳細については、SailPointのウェブページ「ファイルアクセス管理」をご覧ください。

クラウドプラットフォームを適切に制御

お問い合わせはこちら

今すぐ問い合わせる