2000年代にIT業界を中心に広く浸透した「ITガバナンス」。最近では、社内組織を含めた企業全体の情報コントロールの重要性から「情報ガバナンス」という用語が海外を中心に浸透してきた。本記事では、混同されがちな「ITガバナンス」と「情報ガバナンス」の違いについて考察してみようと思う。
目次
「ITガバナンス」と「情報ガバナンス」の違いとは?
2つの違いを簡単にまとめてみた。
「ITガバナンス」
企業のIT活用を監視・規律すること。また、その仕組みのこと。ビジネス目標をどのようにしてIT目標やIT戦略に落とし込むかを考えるのが「ITガバナンス」だと言い換えることもできる。ITガバナンスの組織を構築するためには、まず自社組織においてIT運用部門を設立することをお勧めする。それには担当者に適切な権限を与えるのは必須だ。この数年で「ITガバナンス」に取り組む企業は増加している。
「情報ガバナンス」
ITに限らず企業内の情報すべてを監視・規律すること。また、その仕組みを作ること。近年はペーパーレス社会になってきているとはいえ、未だに多くの情報が紙ベースでやりとりされている。紙だけではなく、CD-RやDVDなどの外部記録媒体もあればUSBやクラウドもある。情報ガバナンスとは、そういった組織内にある情報の全てを総合的に管理しコントロールすることである。しかも、情報開示などの説明責任、リスク管理などの要件を満たしながら情報の保存、活用を図るという難しい対応が求められているのである。しかしながら、「情報ガバナンス」は「ITガバナンス」より難易度が増すため、取り組んでいる企業はまだ少ない。
全ての情報をコントロールするのは難しいと思うが、その理由の一例をとり挙げて考えてみよう。
私たちの扱うデータは大きく分けて「構造化データ」と「非構造化データ」に分かれるのはご存知だろうか。
社内業務で扱われるデータの中には、社内のデータベースやERP・会計ソフトなどで扱われる「構造化データ」と、資料作成や社内外とのコミュニケーションの際に利用されるワード・パワーポイントや電子メール、写真・動画などの「非構造化データ」が存在する。
「構造化データ」は、ERPや会計ソフトなどソフトウェアが入っているパソコンが限定されていたり、パスワードが必要であったりするため管理は比較的容易だといえる。それに対して「非構造化データ」の場合、社内の全てのワード・パワーポイントなどのドキュメント類や電子メールまでを監視することは難しい。理由は、誰もがいつどのパソコンやモバイル環境からでも利用でき、データの複製や削除も容易だからである。
「非構造化データ」は、実に社内全体のデータの「約8割」を占めているとも言われている。企業の中の一部門が担当する「ITガバナンス」では、到底コントロールが難しいのだ。
「情報ガバナンス」の徹底が難しい理由の一つに、内部データだけでなく外部データをコントロールする必要があることも挙げられる。チャットやSNSなどを利用して社員が顧客や取引先とやりとりした情報もしっかり管理しなければならないし、社員が私物のデバイスを社内に持ち込んで仕事をする場合などは、データ保護やセキュリティの強化も必要である。なぜ必要なのかといえば、こうしたことは、社内のITシステムとはまた別の問題だからである。これらの情報を管理する場合、社内の情報システム部門による部分的な情報管理ではなく、経営者の立場から「情報ガバナンス」が必要となる。つまり、ITシステムをどれだけ充実させても情報管理は完全ではないのである。
なぜ、いま「情報ガバナンス」が重要視されるのか?
企業が「情報ガバナンス」に取り組むか否かで、実は圧倒的な差を生むことになる。
〇「情報ガバナンス」に取り組む
業務効率化による売り上げアップや顧客満足度の向上、コンプライアンス対策につながる。
✖「情報ガバナンス」に取り組まない
業務の効率化が進まない。
業界におけるコンプライアンスを徹底できない。
訴訟を起こされた場合などに適切な対応が取れない(あるいは初期対応が遅れ損失が大きくなってしまう)。
なぜ企業が「ITガバナンス」にとどまらず、「情報ガバナンス」に取り組む必要性が出てきたのか?
その背景を順に追って整理してみよう。
日本では「個人情報保護法」が2003年に成立、2005年から施行された。日本国内で企業による情報管理の重要性が注目されるようになったのは、まさにこの時期からである。この法律によって個人情報をデータベースなどで所持し事業に用いる企業はすべて個人事業取扱事業者となり、主務大臣への報告する必要が生じ、またそれに伴う改善措置に従わない場合には刑事罰が課されるようになった。
とはいえ、まだ日本国内ではIPアドレスやCookieなどWeb上の個人データに関してはあまり問題視されていなかったのが実情である。Web上のデータは、法律上日本国内では個人データと見なされなかったからだ。しかし、海外ではWeb上で個人を特定できる可能性のあるデータについても重要な個人データとして問題視されるようになり、2018年からはEUでGDPR(General Data Protection Regulation)が施行された。GDPR施行により、IPアドレスやCookieも個人情報と見なされ、企業がそれらの個人情報を取得する際はユーザーの同意が必要になった。仮にこのGDPRに従わなかった場合、最大で企業の全世界での年間売上高の4%以下、あるいは2000万ユーロのどちらかが罰金として課せられるケースもある。
ややこしい話だが、GDPRはユーロ圏内で適用される法律にもかかわらず、日本企業でも遵守しなければならないケースが出てくるので注意が必要だ。例えば、EU圏内に子会社や支店、営業所を有している企業や、日本からEU加盟国に商品やサービスを提供している企業、EU加盟国から個人データに関する委託を受けている企業などがこれに該当する。
意図的でなくともGDPRの適用範囲内になってしまう可能性についても検証しておく必要がある。インバウンド向けの英語サイトを運営していないか? 社員が出張や旅行などで欧州経済区域に短期滞在した際にCookieを取得した場合の対応は充分か? EU圏内からアクセスは禁止しているか? など、十分な対策がとれていないと、気付かないうちに罰則対象となってしまっていることがあるので注意が必要だ。
こうしたことから、日本国内の企業でもGDPR対策として「ITガバナンス」だけでなく、より広範囲の「情報ガバナンス」やサイバーセキュリティに対する関心度が高まっている。なぜなら、GDPRでは日本の個人情報保護法のように企業内でIT化されたデータの管理が問題となっているわけではなく、社員がCookieやIPアドレス、電子メールのようにインターネットを使って取り交わす可能性のある個人情報の全てが管理対象となっているからだ。
グローバルではGDPR以外にも様々な個人情報保護規制が毎年のように施行され、グローバル企業はこの規制に備えるためにも、従来のITシステムの統制だけではなく、より広範囲かつ人的な組織管理も含んだ企業全体の情報統制が必要になってきたといえる。
まとめ
グローバルの各種規制により、企業ではITガバナンスよりも広い範囲で情報管理が必要である。情報ガバナンスを徹底するためには、データがどのような形でどこに保存され、誰が使用しているのか(出来るのか)ということを全社的に把握する必要がある。さらにセキュリティや機密性、アクセスの安全性を確保することも忘れてはならない。これらは、企業内に設置された一部署、IT運用部門だけの問題としてではなく、企業経営そのものとして捉えるべき課題と言えるだろう。
「ITガバナンス」にとどまらず「情報ガバナンス」を実施しているかどうかが経営の最重要な課題となる。もしも自社内で情報ガバナンスに対応することが難しいならば、コンサルティングファームや情報管理・サイバーセキュリティ専門企業に相談するのも選択肢の一つだろう。