情報ガバナンスとは、どう言うものでしょうか? 情報管理とは、どう違うのでしょうか?
情報管理は、組織内で取得、生成した情報について、情報ライフサイクル(取得、生成、処理、保存、転送、廃棄等)に従って、適時、適切に運用して行くことを指します。
これは、組織内の情報に関するポリシー、ルールやガイドライン等に従って実行されることになります。
このポリシーやルール等を、CIO(最高情報責任者)やCDO(最高データ責任者)が責任者となり、組織全体の目標や戦略等を実現し、効率的、効果的な組織運営を達成できるよう、整備、導入し、情報を必要な人に適時に提供できる様な体制の整備等を進めることが情報ガバナンスと言われています。
利害関係者
情報ガバナンスの利害関係者にはいろいろありますが、以下の3つを挙げる事ができます。
- 組織の情報を必要とするユーザ
- 情報管理をシステムとして導入するIT部門等
- 組織の守るべき法令等を理解している法務部門等
組織のリーダーは、組織の価値の向上を目指して、これらの利害関係者との連携・調整を通して、情報管理の体制を構築していきます。
具体的には、情報管理のためのポリシーを制定し、ポリシーに基づいて、ルールやガイドラインを策定し、さらに、手続きやシステムを導入します。
また、これらの遵守の状況をモニタリングや監査を通じて把握することにより、情報管理の内容を向上させていきます。
ポリシー、ルールとガイドライン
情報管理のポリシーは、組織全体の目標、戦略やポリシーに従った形で導入されることになります。
これを策定する前には、組織に存在する情報の棚卸しが必要になります。すなわち、管理の対象となるもの(情報)の全体像を把握する事が必要ということです。
ここで把握された管理対象となる情報について、組織全体の目標、戦略やポリシーと情報の保有の状況から、情報管理のポリシーを導き出します。(何をどの様に入手し、使用し、守るのか。)さらに、この策定されたポリシーを実現するための、ルールとガイドを制定します。
ここでは、組織全体の目標、戦略やポリシーのほか、組織の業務上必要となる要件、法令、その組織の所属する業界等の実務慣習等も考慮する必要があります。ガイドラインでは、管理対象となる情報や媒体等に応じて、詳細な手続きを策定して行くことになります。
さらに、必要に応じて、コンピュータシステムの構築や改修等の投資を行う事も考えられます。
自主点検と監査
ルールとガイドラインを制定し、それを実現する、手続き、システムを導入した後には、当該手続き及びシステムの運用状況を確認することになります。
第一段階として、現場の管理者による定期的な自主点検を実施します。
第二段階として、組織の内部的な監査を実施する部門による監査を実施します。
この点検と監査は、適時に報告書として整理されて、適切に報告されます。
また、報告には、発見事項や改善提案等が含まれることもあります。
報告された発見事項や改善提案は、事案に応じてルールやガイドラインの改定として反映され、必要があれば、システム改修も実施されます。
研修と改善
手続き、システムを導入した場合、ニュースサイトや電子メール等で周知するだけでは、導入したことにならないのは自明のことです。導入の周知と並行して、手続き等に関する研修、説明会等を実施して、定着させていきます。
また、定期的な監査等により、実務上の改善点や実施されたシステム改修等についても研修等を実施する事により、周知することが必要になります。
さらに、法令の改定、業界の慣習の変化等の外部環境の影響や、組織の変更、新規事業等の立ち上げ等の内部環境の変化を収集し、適時にポリシー、ルールやガイドラインの見直しを行うことも必要といわれています。
情報ガバナンスとEnterprise Audit
ガバナンスは、実務を実施することではありませんが、導入された実務が適切に運用されているかについてはモニタリングや監査等を通じて確認することが必要です。このため、自主点検と監査の結果は、組織のリーダーに報告される必要があります。つまり、ガバナンスを正しく続けるには、正確な組織の状態が適時に報告される事が重要と言うことです。
Enterprise Auditでは、定期的でも、随時でも、点検や監査を実施する事ができます。
例えば、組織の慣習や業務の実態を考慮したキーワードを選定し、当該キーワードを含む電子メールやチャットのコミュニケーションが発生した都度、または、一定期間に発生したものをまとめて、という様々な形でレポートを生成することも可能です。
情報ガバナンスでは、組織が必要とする情報を、必要な期間、必要な方法で使用、保管し、また、必要が無くなった情報は、適時、適切な方法で廃棄することの実現を目指します。
この情報の適切な管理の実現には、組織の情報管理の実態を把握することに有用です。そのために必要なツールの導入も検討すべきです。また、ツールの導入により、結果として、情報の管理コストの適正化を実現することにも可能になるのではないでしょうか。
なお、情報ガバナンスは、ここでは、EDRMのステップの一つとして、説明しています。しかし、情報ガバナンスはそれだけでEDRMのような参照モデル(情報ガバナンス参照モデル (Information Governance Reference Model)としての説明がされることもあり、多くの議論が行われているようです。
EDRMに関するwebサイトでも、以下のような図などが紹介されています。
https://edrm.net/resources/frameworks-and-standards/information-governance-reference-model/
まとめ
情報ガバナンスについて、少しお話しして来ましたが、これはEDRMの単なる1つのステップではなく、これ自体がたくさんの論点を持っている大きな項目です。これが、情報ガバナンスに関心を持たれる機会になれば幸いです。
執筆:公認情報システム監査人
(サイバーソリューションズ株式会社 製品開発アドバイザー)
eDiscovery対応のメール監査システム
「Enterprise Audit」
サイバーソリューションズの「Enterprise Audit」は、eDiscovery対応のメール監査・アーカイブシステムです。Microsoft 365やGoogle Workspaceをはじめとしたクラウドメールサービスや、Exchangeなどの各種メールサーバーに連携して利用できます。ご興味がある方は、お問い合せください。