「なぜデータにはマネジメントが必要なのか?」と問われたら、皆さんはどう答えますか?
意思決定の質の向上のため、業務プロセスの効率化のため、データの資産価値を最大化、リスクの最小化などなど、答えは様々かと思います。ここでもし、ひと言でまとめてくださいと言われたなら、私は次のように答えたいと思います。
これは次のことを意味しています。
要するに、データが活用して価値を生む資産なのか、はたまた負債なのかは人の管理次第であるということです。
そして、この4つのデータの特徴を踏まえると、データマネジメントに必要不可欠な活動が見えてきます。
データの特徴 | データマネジメント活動 |
データは定義をしてあげないと意味をなさない | メタデータ管理 |
データをどこに置くかは人次第 | データアーキテクチャ策定 |
データの正しさは登録する人やセンサーの精度次第。そして生まれた瞬間から劣化が始まる | データ品質管理 |
誰かが適切に守ってあげないと容易に盗まれる、改ざんされてしまう | データ保護 |
今回は、このうちの「データ保護」についてご説明します。
「データ活用」による競争力強化は世界的なトレンドとなっており、それに伴って各国が法規制を強化しています。中でも個人情報に関するデータに対する規制は特に先行しています。
例えば、EUのGDPR、米国のCCPA、中国の個人情報保護法などといった様々な規則が制定され、数百億円に至る制裁金や経営者の禁固、事業免許取消といった厳しい制裁の規制が世界中に伝播している状況です。
さらに、最近ではEU Data Actによるセンサーデータ利用規制やEU AI ActによるAI利活用規制なども登場しています。今後、個人情報に関するデータだけではなく、あらゆるデータに対する規制強化の波が世界中に広がっていき、日本でもイコールフッティングの考えに基づき、同様の規制が策定・強化されることが予見されます。
データは常に破壊、改ざん、盗難、漏洩のリスクを負っているため、何も策を講じなければ巨額制裁金や事故後のレピュテーションリスク、集団訴訟リスク、経営陣の禁固、事業免許取消といった事業の存続に影響を及ぼしかねません。しかし現状、多くの企業では「データ活用活動」ばかりに目を向けてしまい、「データ保護活動」が手薄になってしまっているように思います。
データ駆動型経営を実現するためにはデータ活用活動だけでなく「データ保護活動」にも注力し、安心してデータ活用ができる環境を整備することが重要です。
既に専任組織を立ち上げ、個人情報保護の整備を実施している場合でも、今後はその範囲をデータ全般に広げていくことが求められます。
データ保護活動とは「法令・規定に遵守し、個人情報や機密データなどを破壊、改ざん、盗難、漏洩などから守るとともに、データ主体の権利を保護するための一連の取り組みやプロセス」を指します。
データ保護活動の全体像は以下のようなイメージです。
具体的には以下のような活動が求められます。
この中で特に重要なキーワードは以下の3つです。
DXの時代において「取り扱うデータの見える化」し、適切な「リスク分析・対応」を行わなければ、せっかくの「攻めのDX推進」が逆に事業存続を脅かす原因にもなります。「攻めのDX推進(=データ活用)」を安心して進める上でも「守りのDX推進(=データ保護)」の実施は必要不可欠と言えます。
今回はデータ保護活動の重要性とその全体像についてご説明しました。次回はデータ保護活動にあたり特に重要な考え方である「リスク分類とリスクベースドアプローチ」「データ保護影響評価」そして「データプロテクション・バイ・デザイン」についてより詳しくご説明いたします。今後のデータ保護活動を進めるうえでの参考にしていただければ幸いです。
データ総研に関する最新情報をメールでお送りいたします。データマネジメントweb談義の開催情報や、定期ウェビナのスケジュール、最新ブログ記事の情報などを見逃すことなくチェックできます。こちらのフォームからご登録ください。