情報ガバナンスについてもっと深く知りたい方は、下記資料をあわせてご覧ください。
「ガバナンス」。よく耳にする言葉ですが、今回のテーマは、「情報ガバナンス」です。
企業統治と訳される「コーポレートガバナンス」や、企業における情報システムへの投資・管理などを戦略的に行っていく仕組みである「ITガバナンス」でもありません。今回のテーマは「情報ガバナンス」。
実はこの「情報ガバナンス」、デジタル時代を生き抜くビジネスパーソンにとって理解しておくべき重要な言葉の一つです。さっそく解説していきます。
情報ガバナンスとは?
「ガバナンス」。これを説明することは簡単です。一言でいえば情報ガバナンスとは、持っているすべての情報やデータをコントロールすることです。しかし、世の中には一見簡単そうでも実は難しい物事が多いように、情報ガバナンスも、実際に行うのは簡単ではありません。ビジネスでは日々、膨大な情報を処理し、保管し、検索しなければならないためです。
情報ガバナンスを行わなかった場合のリスク
適切な情報ガバナンスを行わなかった場合、ビジネスに大きな損失が生じることがあります。年々厳しくなっている業界規制や、訴訟時の適切な対応が難しくなるだけでなく、ビジネス情報から最大限の価値を引き出して、画期的な新製品を生み出すことや、売上を伸ばすこと、適切なカスタマーサービスを行うこともできなくなります。
データ量の爆発的増大
現在、世界のデータ量は急増しています。アメリカの市場調査会社IDCが行った2020年の調査によると、2020年に全世界で生成・消費されたデジタルデータの総量はおよそ59ゼタバイト※。従来から増加の一途をたどっていた世界のデータ総量ですが、新型コロナウイルス感染症 (COVID-19)拡大を発端としたリモートワークの増加、それに伴うビデオ会議の一般化や、外出自粛によるビデオ配信サービス利用者の増加、eコマースの拡大といった、人々の生活が一気にデジタルシフトへと加速したことが、これまでも危惧されてきた「データ爆発」に弾みをつけており、今後5年間では、過去5年間のデータの3倍以上のデータが世界中で生成されるとも言われています。
※1ゼタバイト=1兆ギガバイト(GB)
企業が管理すべきデータの種類
今後、企業は具体的にどのような種類のデータに対応しなければならないのでしょうか。企業にあふれる情報の量や種類を考えながら見ていきましょう。
① 構造化データと非構造化データ
構造化データは、固定されたデータフィールドに存在するデータで、ERPなどの基幹システムや社内データベース、電子商取引の取引処理アプリなどのシステムに格納されているものです。
一方、非構造化データは、データフォーマットが不統一のデータです。Wordで作られた文書ファイルやPDF、パワーポイントのプレゼンテーションファイルや電子メールなどもこれに該当し、社内に存在するデータの80%が非構造化データと言われています。
② 電子書類と紙の書類
オフィスのペーパーレス化が叫ばれて久しいですが、未だに多くの会社にはまだ紙の書類があふれています。コロナ前の調査でも42%の会社から、社内の紙の量はいまだに増えているとの回答が得られています。こうした紙の情報も、電子データと同じく、保管して必要な時に取り出せる状態にしなければなりません。
③ 内部データと外部データ
ファイアウォールの設置だけで情報が保護できていた時代も、会社の情報を管理するのは十分大変な作業でした。しかし今やリモートワーク全盛の時代。従業員がオフィス以外の場所で働くことは当たり前となりました。
また、従業員が私物のデバイスを業務に使うBYODも一般化しつつあり、会社側でほとんどコントロールできないそうしたデバイスに企業情報が保管されることによるセキュリティの問題が生じています。また、ソーシャルメディアの発達とともに、従業員と顧客や取引先の間には、IT部門の管理外で新たなコミュニケーションも生まれています。
④ デジタルデータ、動画データ、音声データ
増えているのはデータ量やコミュニケーション方法、端末の数ばかりではありません。データを伝えるフォーマットの種類も増えています。ビジネスでは、テレビ会議やウェブセミナー、リッチメディアサイトの普及とともに動画フォーマットの利用が大幅に増えています。また、金融業界や医療業界などでは電話内容を録音するのも一般的になっています。
こうした様々な情報を効率的に管理して会社全体で役立てるためには、必要な指針を定めた包括的な戦略を確立し、情報の取得、処理、管理、保管、検索、削除の方法を管理することが不可欠です。企業や従業員が、手元のデータを活用し、ビジネスにとって価値のある情報を生み出せるかどうかは、情報ガバナンスにかかっているのです。
情報ガバナンスプログラムを実行するために、押さえるべきポイント
適切な情報ガバナンスを行うためには、次のようなポイントを押さえることが必要です。
- 情報を取得・作成した時点から、処分・廃棄する時点までの情報のライフサイクルを管理している。
- 情報の利用に関するポリシーや手順を策定・実施し、周知している。
- どのような情報を、どこに、どのようなフォーマットで保有しているかを把握している。
- 情報の質と、ビジネスにおける正確な価値を把握している。
- 情報がどのように保管されているか、情報を使用するために何が必要かを把握している。
- 情報が、どのような場合にアーカイブされ、どのような場合に所定のポリシーに従って削除されるのかを把握している。
- 必要なときに必要な場所で情報が利用できるようにしている。
- 情報のセキュリティや安全なアクセス、機密性を確保している。
- 周知や研修の実施により、関係者による順守を徹底している。
- 柔軟性を保ち、常に進化することで、情報のフォーマットや通信手段の変化に対応できるようにしている。
- 継続的な改善を行っている。
情報ガバナンスプログラムを始める前に確認しておきたいこと
情報ガバナンスプログラムにおいては、次の質問に答えられることが必要になります。事前に整理しておくことで、後々に生まれうる無駄を省くことにつながります。
- 自社がどのような情報を持っているのか。
- なぜその情報が必要なのか。
- 誰がその情報にアクセスし、その情報を利用することになるのか。
- いつ、どこで、どのように、その情報が利用される可能性があるのか。
- その情報を使ってどのようなことが行われる可能性があるのか。
- その情報はどこに保管されているのか。
- その情報が、どのように従業員、パートナー、サプライヤーと共有される可能性があるか。
情報ガバナンスプログラムで具体的に行うこととは?
情報ガバナンスにおいては、ビジネス情報の価値を最大化し、情報に関するリスクを最小化するために、ビジネス情報の利用と管理に関する各種ポリシー、プロセス、手順を定めることが必要です。
情報ガバナンスは、情報の形式や機能、所在にかかわらず会社のすべての情報に適用されるもので、ビジネスのあらゆる部分を巻き込んで行われる反復的な活動です。情報ガバナンスプログラムでは、具体的にどのようなことをするのでしょうか。詳細に解説していきます。
① 委員会の設置
情報ガバナンスプログラムは全社的に行うことになるため、プログラムを進めるうえでは、情報ガバナンスに関する委員会や協議会に各部門のシニアレベルスタッフを参加させ、統制や指示を行わせることをお勧めします。また、プログラムの特定の局面の影響を受ける各ビジネス分野からも委員会への参加者を募ることも欠かせません。
さらに、定期的に委員会のメンバーを入れ替えることで、最新の問題を検討できるようにし、活動の勢いが弱まらないようにするのも必要です。
委員会のメンバー
- 法務責任者(CLO)
- IT部門責任者(CIO)
- 最高情報責任者(CDO)
- コンプライアンス責任者
- セキュリティ部門責任者
- 関係事業部門のマネージャー
② ビジネス情報の価値を明確にする
次に、情報の価値を明確にしておく必要があります。残すべき情報は何か、管理が必要なデータとは何なのか? 自社が保有する様々なデータを一貫した価値基準で分類・整理しておく必要があります。
価値があるもの | 価値がないもの |
他にはないユニークな情報 | 重複している情報 |
アクセスしやすい情報 | アクセスできない情報 |
最新の情報 | 古くなった情報 |
更新されている情報 | 不完全な情報 |
分類されている/検索できる情報 | 分類されていない情報 |
利用者の生産性を高める情報 | 利用者の役に立たない情報 |
③ 全社的な取り組みにする
情報ガバナンスプログラムは企業のあらゆる部署に影響します。このため、各部署が、担当する業務分野に関する情報ガバナンス戦略や手順の策定に関わることが重要です。
法務部門
企業に訴訟が生じるリスクがある分野については、必ず法務部が関与する必要があります。電子メールやソーシャルメディア、モバイルデバイス等の通信手段の利用やプライバシールールについてポリシーを策定する場合は、法務部がサポートすべきです。また、所定のポリシーに従って情報を廃棄する際や訴訟時の情報保全の状況について各事業部と連絡を取る際のポリシーや承認に関しても、法務部の関与が必要です。さらに、eディスカバリー(電子情報開示)に関して、情報の所在地や情報へのアクセス方法、情報の提示方法に関するポリシーの策定に法務部を関与させることが必要です。
リスク管理部門
リスク管理部門は、法務部と連携して、訴訟や規制順守、会社の信用失墜などに関するあらゆる情報リスクの低減を図ります。また、災害時の復旧や事業継続性などについてはIT部門と連携する必要があります。さらにリスク管理部門では、各種情報がどこに、どのように保管されており、どのように廃棄されるかを可視化することも必要です。
コンプライアンス部門
情報の保管方法、アクセス方法の決定や、社内における情報の評価方法、管理策の策定にはコンプライアンス部門を関与させることをお勧めします。また、企業の監査プロセスを管理し、規制当局や監査当局の要請に対応するのもコンプライアンス部門の役目です。
情報システム部門
情報ガバナンスにおいて、IT部門は、企業に影響を及ぼすデータ量を効果的に管理する役割を担います。ITインフラやストレージの利用最適化を適切に実施し、不要な技術・システムを排除するうえでもIT部門の関与が必要です。また、情報ガバナンスプログラムのすべての側面に関与して、プログラムを支援するために選ばれるITソリューションがビジネスの目標達成にふさわしいものになるようにすることも必要です。
また、BYODやソーシャルメディア、クラウドサービスの利用に伴って得られる新たなタイプの情報の記録・管理に関するポリシーや手順の整備にも関与すべきです。更に、コンプライアンス部門と連携して、情報のライフサイクル全体で情報をどのように扱うべきか決定することも必要です。
セキュリティ部門
セキュリティ部門は、企業のセキュリティに関する戦略、ポリシー、マネジメントに責任を負います。企業が使用している情報の安全性やプライバシーに関するあらゆる事項に、情報セキュリティ部門を関与させることが必要です。また、コンプライアンス部門やIT部門と連携して、各情報をセキュリティ・データプライバシーに関する社内ポリシーやISOなどの業界規制・規格に準拠させるのも、この部門の役割です。
まとめ
情報ガバナンスは、「1回限り」のプロジェクトではありません。通常は、スタートアッププロジェクトから始まって、長期のプログラムへとつながっていくものです。情報ガバナンスは、短期的にそれなりの成功を達成できるものでなければならない反面、長期にわたって持続できるものでなければなりません。なぜなら、規制や法的要件もまた長期的なものだからです。
情報管理が十分に行われていないことで、不用意な情報漏えいインシデントを引き起こし、ひいては情報が有効活用できずに業務の生産性を低下させてしまう。そんな状況を打開するためには、情報ガバナンスの徹底が何よりも必要です。
情報ガバナンスについてもっと深く知りたい方は、下記資料をあわせてご覧ください。