データの特徴のおさらい
「なぜデータにはマネジメントが必要なのか?」と問われたら、皆さんはどう答えますか?
意思決定の質の向上のため、業務プロセスの効率化のため、データの資産価値を最大化、リスクの最小化などなど、答えは様々かと思います。ここでもし、ひと言でまとめてくださいと言われたなら、私は次のように答えたいと思います。
「データは無色透明・純粋無垢だから」
これは次のことを意味しています。
- データは定義をしてあげないと意味をなさない
データ自体はただの値に過ぎないので、「どんな意味なのか」「何に利用されるのか」などは人が定義してあげる必要がある。 - データをどこに置くかは人次第
データが発生しても、それをどこに格納するかは人次第である。データの利活用しやすさを考慮しつつ、なるべくミニマムに格納できるよう意識し、最適なデータ流通が図れるようにデータを配置してあげる必要がある。 - データの正しさは登録する人やセンサーの精度次第。そして生まれた瞬間から劣化が始まる
そのデータが現在の世の中を正しく表しているのかはデータを見てもわからないため、だれかが値の正しさ・品質を担保してあげる必要がある。 - 誰かが適切に守ってあげないと容易に盗まれる、改ざんされてしまう
データは簡単に複写、移動でき、常に破壊、改ざん、盗難、漏洩のリスクを負っているため、人が安全を確保してあげる必要がある。
要するに、データが活用して価値を生む資産なのか、はたまた負債なのかは人の管理次第であるということです。
そして、この4つのデータの特徴を踏まえると、データマネジメントに必要不可欠な活動が見えてきます。
| データの特徴 | データマネジメント活動 |
| データは定義をしてあげないと意味をなさない | メタデータ管理 |
| データをどこに置くかは人次第 | データアーキテクチャ策定 |
| データの正しさは登録する人やセンサーの精度次第。そして生まれた瞬間から劣化が始まる | データ品質管理 |
| 誰かが適切に守ってあげないと容易に盗まれる、改ざんされてしまう | データ保護 |
今回は、このうちの「データ保護」についてご説明します。
「データ活用」を支える「データ保護」
「データ活用」による競争力強化は世界的なトレンドとなっており、それに伴って各国が法規制を強化しています。中でも個人情報に関するデータに対する規制は特に先行しています。
例えば、EUのGDPR、米国のCCPA、中国の個人情報保護法などといった様々な規則が制定され、数百億円に至る制裁金や経営者の禁固、事業免許取消といった厳しい制裁の規制が世界中に伝播している状況です。
さらに、最近ではEU Data Actによるセンサーデータ利用規制やEU AI ActによるAI利活用規制なども登場しています。今後、個人情報に関するデータだけではなく、あらゆるデータに対する規制強化の波が世界中に広がっていき、日本でもイコールフッティングの考えに基づき、同様の規制が策定・強化されることが予見されます。
データは常に破壊、改ざん、盗難、漏洩のリスクを負っているため、何も策を講じなければ巨額制裁金や事故後のレピュテーションリスク、集団訴訟リスク、経営陣の禁固、事業免許取消といった事業の存続に影響を及ぼしかねません。しかし現状、多くの企業では「データ活用活動」ばかりに目を向けてしまい、「データ保護活動」が手薄になってしまっているように思います。
データ駆動型経営を実現するためにはデータ活用活動だけでなく「データ保護活動」にも注力し、安心してデータ活用ができる環境を整備することが重要です。
既に専任組織を立ち上げ、個人情報保護の整備を実施している場合でも、今後はその範囲をデータ全般に広げていくことが求められます。
データ保護活動のポイント
データ保護活動とは「法令・規定に遵守し、個人情報や機密データなどを破壊、改ざん、盗難、漏洩などから守るとともに、データ主体の権利を保護するための一連の取り組みやプロセス」を指します。
データ保護活動の全体像は以下のようなイメージです。
具体的には以下のような活動が求められます。
- すべてのデータに対し管理者(データオーナー)をきちんと定め、活動を主導する。
- データの処理者を外部に委託する場合は、厳密な委託先管理をする。
- データプロテクション・バイ・デザインの考えに基づいて、システムの開発段階から保護対策を組み込む。
- 情報提供者からデータを取得する場合、取得時に利用目的と管理手段を明示する。
- データはその重要性や機密性などのリスクに応じて分類し、リスク分類に応じた適切な管理をする。またデータは利用目的と合わせて管理する。
- データ保護影響評価を行い、データ処理の内容を明確にし、データの処理に係るデータ主体へのリスクを管理する。
- データへのアクセスは必要な人だけに制限する。またデータに暗号化を施し、万が一の漏洩に備える。
- 法務部門等と協調し、常にデータ保護に関する最新情報を把握する。
- 有事の際にはデータ保護当局へと報告する。
この中で特に重要なキーワードは以下の3つです。
- リスク分類とリスクベースドアプローチ
- データ保護影響評価
- データプロテクション・バイ・デザイン
DXの時代において「取り扱うデータの見える化」し、適切な「リスク分析・対応」を行わなければ、せっかくの「攻めのDX推進」が逆に事業存続を脅かす原因にもなります。「攻めのDX推進(=データ活用)」を安心して進める上でも「守りのDX推進(=データ保護)」の実施は必要不可欠と言えます。
次回予告
今回はデータ保護活動の重要性とその全体像についてご説明しました。次回はデータ保護活動にあたり特に重要な考え方である「リスク分類とリスクベースドアプローチ」「データ保護影響評価」そして「データプロテクション・バイ・デザイン」についてより詳しくご説明いたします。今後のデータ保護活動を進めるうえでの参考にしていただければ幸いです。
メルマガで最新情報を受け取る
データ総研に関する最新情報をメールでお送りいたします。データマネジメントweb談義の開催情報や、定期ウェビナのスケジュール、最新ブログ記事の情報などを見逃すことなくチェックできます。こちらのフォームからご登録ください。
