情報ガバナンスにおいては、ビジネス情報の価値を最大化し、情報に関するリスクを最小化するために、ビジネス情報の利用と管理に関する各種ポリシー、プロセス、手順を定めることになります。

情報ガバナンスは、情報の形式や機能、所在地にかかわらず会社のすべての情報に適用されるもので、ビジネスのあらゆる部分を巻き込んで行われる反復的な活動です。

それでは、「情報ガバナンスプログラム」では、具体的にどのようなことをするのでしょうか?

情報ガバナンスに関する委員会を設置する


情報ガバナンスプログラムは全社的に行うことになるため、プログラムを進めるうえでは、情報ガバナンスに関する委員会や協議会に各部門のシニアレベルスタッフを参加させ、統制や指示を行わせることをお勧めします。

また、プログラムの特定の局面の影響を受ける各ビジネス分野からも委員会への参加者を募ることをお勧めします。

更に、定期的に委員会のメンバーを入れ替えることで、最新の問題を検討できるようにし、活動の勢いが弱まらないようにするのも合理的です。

ビジネス情報の価値を明確にする


ビジネスに関わる全ての情報を「価値があるもの」「価値がないもの」に明確に分類し定義する。

価値があるもの 価値がないもの
他にはないユニークな情報 重複している情報
アクセスしやすい情報 アクセスできない情報
最新の情報 古くなった情報
更新されている情報 不完全な情報
分類されている/検索できる情報 分類されていない情報
利用者の生産性を高める情報 利用者の役に立たない情報

全社的な取り組みにする


情報ガバナンスプログラムは企業のあらゆる部門・部署に影響します。

このため、各部門・部署が、担当する業務分野に関する情報ガバナンス戦略や手順の策定に関わることが重要です。

法務部門

企業に訴訟が生じるリスクがある分野については、必ず法務部が関与する必要があります。

電子メールやソーシャルメディア、モバイルデバイス等の通信手段の利用やプライバシールールについてポリシーを策定する場合は、法務部がサポートすべきです。

また、所定のポリシーに従って情報を廃棄する際や訴訟ホールド(訴訟時の情報保全)の状況について各事業部と連絡を取る際のポリシーや承認に関しても、法務部の関与が必要です。更に、eDiscovery(訴訟時の電子情報開示)に関して、情報の所在地や情報へのアクセス方法、情報の提示方法に関するポリシーの策定に法務部を関与させることをお勧めします。

リスク管理部門

リスク部門は、法務部と連携して、訴訟や規制順守、会社の信用失墜などに関するあらゆる情報リスクの低減を図ります。

また、災害時の復旧や事業継続性などについてはIT部門と連携する必要があります。更にリスク部門では、各種情報がどこに、どのように保管されており、どのように廃棄されるかを可視化することも必要です。

コンプライアンス管理部門

情報の保管方法、アクセス方法の決定や、社内における情報の評価方法、管理策の策定にはコンプライアンス部門を関与させることをお勧めします。

また、企業の監査プロセスを管理し、規制当局や監査当局の要請に対応するのもコンプライアンス部門の役目です。

記録管理部門

記録管理部門は、紙の書類と電子書類の分類、保管、管理に責任を負います。また、BYODやソーシャルメディア、クラウドサービスの利用に伴って得られる新たなタイプの情報の記録・管理に関するポリシーや手順の整備にも関与すべきです。

更に、コンプライアンス部門と連携して、情報のライフサイクル全体で情報をどのように扱うべきか決定することも必要です。

情報テクノロジー部門(IT部門)

情報ガバナンスにおいて、情報テクノロジー(IT)部門は、企業に影響を及ぼすデータ量を効果的に管理する役割を担います。ITインフラやストレージの利用最適化を適切に実施し、不要な技術・システムを排除するうえでもIT部門の関与が必要です。

また、情報ガバナンスプログラムのすべての側面に関与して、プログラムを支援するために選ばれるITソリューションがビジネスの目標達成にふさわしいものになるようにすることも必要です。

情報セキュリティ部門

情報セキュリティ部門は、企業のセキュリティに関する戦略、ポリシー、マネジメントに責任を負います。企業が使用している情報の安全性やプライバシーに関するあらゆる事項に、情報セキュリティ部門を関与させることをお勧めします。

また、コンプライアンス部門や記録管理部門と連携して、各情報をセキュリティ・データプライバシーに関する社内ポリシーやISOなどの業界規制・規格に準拠させるのも、この部門の役割です。

プログラムについて明確に答えられますか?


情報ガバナンスプログラムにおいては、次の質問に答えられることが必要になります。

  • 自社がどのような情報を持っているのか。
  • なぜその情報が必要なのか。
  • 誰がその情報にアクセスし、その情報を利用することになるのか。
  • いつ、どこで、どのように、その情報が利用される可能性があるのか。
  • その情報を使ってどのようなことが行われる可能性があるのか。
  • その情報はどこに保管されているのか。
  • その情報が、どのように従業員、パートナー、サプライヤーと共有される可能性があるか。

 

情報ガバナンスに関する委員会のメンバーは?


次のような職責者を情報ガバナンス委員会のメンバーにすることをお勧めします。

  • 法務責任者
  • ディスカバリー/訴訟対応責任者
  • 記録管理者
  • 最高情報責任者(CIO)
  • 法令順守責任者
  • 関係事業部門のマネージャー
  • 最高データ責任者
  • ITセキュリティ責任者

まとめ


いかがでしょうか。情報ガバナンスプログラムを進める上で、一番大事なことは、「全社的な取り組み」にするということです。そのためには、社内に明確な「委員会」を設置して、ビジネスに関わる全ての情報を「価値があるもの」と「価値がないもの」に分類し、各部門が担当する業務分野に関する戦略や手順の策定に関わる必要があります。

情報ガバナンスの成功は、ビジネス情報の価値を最大化し、情報に関するリスクを最小化するため、様々なビジネスメリットをもたらすことでしょう。