使える!情シス三段用語辞典111「インフォメーションガバナンス(情報ガバナンス)」
常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に伝えるとなると更に難しくなります。『情シスNavi.』では数々のIT用語を三段階で説明します。
一段目 ITの知識がある人向けの説明
二段目 ITが苦手な経営者に理解してもらえる説明
三段目 小学生にもわかる説明
取り上げる用語を“知らない”と思った人は、小学生にもわかる説明から読んでみると、理解が深まるかもしれません!?
この記事の目次
一段目 ITの知識がある人向け「インフォメーションガバナンス(情報ガバナンス)」の意味
JNSA(日本ネットワークセキュリティ協会)が公開した「情報セキュリティインシデントに関する調査結果」によると、情報漏えい事件が発生した場合、一件当たりの想定損害賠償額は6億3,767万円にものぼるといいます。
このような背景から近年、重要視されているのが「情報ガバナンス(Information Governance)」です。情報ガバナンスの意味や目的に加え、企業はどのようなアクションを取るべきか解説します。
情報ガバナンスの目的
「情報ガバナンス」の目的は、社内にある情報を、必要な人に適切なタイミングで提供するためのルールや体制を整備することです。それは、企業が所有しているあらゆる情報をコントロールすることに他なりません。
ここで混同しやすいのが「ITガバナンス」ではないでしょうか。ITガバナンスは企業のIT活用を監視・コントロールすることです。
情報ガバナンスで監視・コントロールするのは、ITに限らず企業内のすべての情報であり、情報ガバナンスはITガバナンスを含む広い概念です。
情報ガバナンスで管理する情報
情報ガバナンスでは企業内のあらゆる情報をコントロールしますが、具体的にはどのような情報なのでしょうか。具体例で示します。
1.構造化データ
社内データベースやERP(基幹システム)などのシステムに格納できる、フォーマット化されたデータです。
2.非構造化データ
プレゼン資料やメールなど、固定のフォーマットを持たないデータで、企業内のデータの大部分を占めます。
3.紙の資料
デジタル化が進んだとはいえ、企業内にはまだまだ紙の資料が溢れています。
4.社外にあるデータ
私物のデバイスを業務で使う(BYOD)などにより、社外にも業務データが保持されています。
5.動画データ・音声データ
動画や音声のデータも含みます。
情報ガバナンスが生まれた背景
では、なぜ情報ガバナンスが必要なのでしょうか?
企業では日々、膨大な情報が処理されています。一方で、この膨大な情報を適切に管理をしなければ、情報漏えい事件など企業の存続を揺るがすリスクにさらされる可能性があります。その為、情報ガバナンスが重要視されるようになりました。
世界的にもこの動きは高まっており、欧州連合(EU)においては、個人データをEEA域外に移転することを原則禁止する、「EU 一般データ保護規則(General Data Protection Regulation:GDPR)」が2018年5月から適用開始されるなど、その重要性が高まっています。
日本においても、2020年3月には「個人情報の保護に関する法律等の一部を改正する法律案」が閣議決定されており、今、情報ガバナンスが注目されています。
情報ガバナンスの策定
企業においては、一般的に次のような流れで情報ガバナンスを検討・策定します。
1.情報資産の洗い出し・分析
企業の運営に活用される情報に加え、情報を収集・処理・保持するシステムを合わせて「情報資産」と呼びます。
情報資産を洗い出し、資産名・特性・保管形態と保管場所・保管者などの観点から分析します。
2.情報資産管理ポリシーの構築
ポリシーとは、情報資産をどのような方針で管理していくかの指針とするべきもので、全社員が従うべき原則となる考え方を示したものです。
3.責任者の決定
情報ガバナンスにおける責任者である最高情報責任者(CIO)を任命し、その権限と責任の範囲を明確化します。同時に、情報資産を具体的に運用する管理者を決定します。
4.教育・トレーニング
社員全員が情報資産管理ポリシーを理解することなしに情報ガバナンスは徹底できません。社員教育やトレーニングを実施して、浸透させます。
5.効果測定方法の検討
情報ガバナンスの徹底度合いを測るための指標を検討します。
情報ガバナンスを高めるために行うこと
情報ガバナンスを高めるために、情報ガバナンスを社内全体で共有するだけではなく、定期的に社内教育やトレーニングを実施して、定着させることが大切です。また、退職者の電子メールなども含め、社内の情報資産を、誰がどこに保持しているのか情報の利用状況も含めて監視します。業務を可視化して、プライバシー違反などのリスクがないか常に監視することも必要です。
情報ガバナンスを高めるためデータ情報資産の管理を支援するサービスも活用できます。
例えば、Microsoft 365 E5には、退職した元社員のメールなどを含め、社内のデータ情報資産を管理・監視する機能が含まれています。
二段目 ITが苦手な経営者向け
とある部品メーカーでの昼下がり。情シス課長の加波さんの元へ社長が困り顔でやってきました。
社長:加波さん、「インフォメーションガバナンス」って聞いたことあるかい?
加波:ええ。「情報ガバナンス」とも呼ばれますよね。
社長:そうそう、その情報ガバナンス。新聞で見たのだけど、企業が情報漏えい事件を起こした場合、その損害賠償額が6億円以上だそうだ。
加波:そうですね。例えば、在宅勤務中の社員が顧客情報を流出してしまったとしても、賠償責任は企業にありますからね。確かに経営上の脅威かもしれませんね。
社長:うん。それで、社長仲間らが「うちも情報ガバナンスを強化して…」云々と言っていたんだけれど、情報ガバナンスっていったい何すればいいのかな?
加波:情報ガバナンスとは、社内のすべての情報をコントロールするための体制やルール作りをすることです。IT関係だけではなく、我社だとお客様からの発注伝票や納品書など、紙に書かれた情報も含みます。
社長:そうなのか・・。正直ウチは今、情報管理については何の体制も整っていない状態だからな。
加波:情報ガバナンスを決定するための第一ステップは、社内の情報資産をすべて洗い出すことです。情報の保管場所や管理者など、各情報を分析することから始める必要がありますね。
社長:すべての情報を分析なんて、時間かかりそうだな…。
加波:そうですね。確かに大変な作業ですが、情報分析のステップが一番重要で、ここできちんと分析がされていれば、この後のステップである、情報資産管理の方針であるポリシーの決定・管理者の決定はスムーズになると思います。
社長:うむ。情報ガバナンスを策定したら、社員全員に共有して徹底するようにすればいいんだな。
加波:はい。社内でのガバナンスの徹底や評価を自動化してくれるサービスやツールもあるので、適宜導入しても良いですね。
社長:そうだな。では、社内のあらゆる情報資産の洗い出しからはじめることにしよう。
三段目 小学生向け
卒業式を控えた6年B組の40人は、みんな担任の先生が大好きです。先生に内緒でサプライズプレゼントを準備しようと計画しています。
A君「色紙に寄せ書きとかどうかな」
Bさん「先生お花が好きだから大きな花束もいいよね」
C君「詩を作るのも素敵だよ」
・・・
40人の意見をまとめて、C君の「詩をプレゼントする」という案に決定しました。
サプライズプレゼントの相談は、直接話をしたり、伝言で伝えたり、LINEで伝えたり、メモ用紙で伝えたりと、みんな自分の都合の良い方法で連絡をしていました。
ある日、先生が教卓の上を見ると1枚のメモ用紙がありました。
「桜咲く 僕らの校舎 今日も僕らの先生の優しい声が~」
先生「?? 詩のようだけど、私のことかな」
先生が立ち去った後、A君が教室に入ってきてメモ用紙を見つけました。
A君「あー!先生には内緒なのに!先生にバレちゃったじゃないか。誰が忘れていったんだろう」
もし、6年B組のみんなが「相談は、口頭でのやりとりだけでしよう」とはじめにルールを決めておけば、メモ用紙を残す人はいなかったはずです。もしくは、「自分の意見は取りまとめ役のA君だけに伝えて、他の人には言わない」というルールを決めておけば、A君が秘密を漏らさない限り、先生に知られてしまうことはありませんでした。
同じようなことがコンピュータの世界でも話題になっています。
会社であらかじめ、誰がどのような情報を持っていて、どのように管理するのかを決定しておくことを「インフォメーション(情報)ガバナンス」と言い、6年B組のように会社でも社内の情報を守るためにこの情報ガバナンスを決めておこうという動きが広がっています。
さて、皆様のご理解は深まったでしょうか?
【執筆:編集Gp 近藤真理】