レポート

データガバナンスの背景と新規格ISO/IEC38505-1「データガバナンス」について
情報セキュリティ大学院大学 教授
JTC1/SC40専門委員会委員  WG1主査

原田 要之助 氏

国際標準化制定の背景

原田氏

 ISO/IEC38505-1制定の背景には、2018年5月に適用されるEUの「GDPR(General Data Protection Regulation)」が関係している。
GDPRはあらゆる業種、EU加盟国の全組織、EU市民を対象に事業展開している域外企業が対象となり、特に個人情報保護に関しては違反した場合の多額の罰金、アカウンタビリティの義務づけ、PIA調査の義務づけ、漏えい時の通知義務、忘れられる権利、データポータビリティの権利など、該当企業にとってかなり厳しい制度となる。
 GDPRは直接「データガバナンス」について触れてはいないが、GDPRが求める以下の要請を遵守するために経営層が行うべきことをISO/IEC38500で対応できないか、との議論がSC40で出され、ISO/IEC38505-1「データガバナンス」の規格が2017年5月に制定された。
 GDPRの要請事項は次のとおり。

  • 個人情報を扱う場合、組織による対応メカニズム、経営判断が必要
  • 個人情報取扱いの説明責任を追及
  • 組織的なインシデント対応を要請
  • 個人情報取扱いのためのPIAの実施、プライバシー・バイ・デザインによるマネジメントシステムの構築が求められている

 組織がGDPRによる「アカウンタビリティ」を求められた際には、「ISO/IEC38505-1に述べている組織体制をとっており、規格に適応しているからGDPRのいう説明責任や組織体制はできている」ということを示せると考えている。 

ISO/IEC38505について

 ISO/IEC38505「データガバナンス」は2部構成からなり、2017年5月にパート1が公表された。本規格を適用した事例集としてパート2があるが、2017年11月現在最終投票中であり、今後各国のコメントを受け最終化することとなる。ここではISO/IEC38505-1の規格内容について紹介する。
 なお、今回紹介する日本語訳は原田講師が個人的に解釈・翻訳したものである。

 本規格は、①経営者が実施すべきガバナンスのタスク、②経営者が従うべき原則、③データを利活用する際の特殊性を規格化したもので、章構成は図1のとおりである。

図1.ISO/IEC38505-1「データガバナンス」の章構成(ISO/IEC38505-1:2017より)

図1.ISO/IEC38505-1「データガバナンス」の章構成 (ISO/IEC38505-1:2017より)

 以下、主要な各章の内容について説明する。
(1)「4.データのガバナンスの向上」
  データガバナンスの利点はどこにあるのか?を一般論として説明したものである。利点は次のとおり。

  • データガバナンスを実践することにより、データ資産の適切な導入と運用、保護と潜在的な価値の可能性の両方の責任と説明責任と明快さが確保できる。
  • 経営者(Governing Body)の責任としては、データの利活用のための権限、責任および説明責任が生じる。
  • 組織がリスクを管理し、制約を考慮しながらデータおよび関連するIT投資から価値を得られる。
  • 効果的なマネジメントシステムを作り、経営者がガバナンスすべき

 なお、データガバナンスの実践にあたっては、ガバナンスのほかに監督(Oversite)のメカニズムが必要となるとともに、データ特有の側面を考慮する必要がある。

(2)「6.データに関わるアカウンタビリティ(説明責任)」
 データはライフサイクルで管理する必要があり、データモデルを図2のように定義した。

図2.データモデル(ISO/IEC38505-1:2017より)

図2.データモデル (ISO/IEC38505-1:2017より)

(3)「7.データガバナンスのガイダンス-原則」
 ここでは、原則と責任、戦略、調達、パフォーマンス、適合、人間行動について説明している。

①責任 データのライフサイクル全体をカバーする必要がある
②戦略 ・現在および将来の全体的な戦略目標に取り組むデータ利用計画を考慮する
・データ・アカウンタビリティ・マップを組織で規定し、すべての部分をカバーする
・ガバナンスのデータ特有の側面(価値、リスク、制約)を考慮する
③調達 データを外部から調達する場合も含め、データ配布に関し、組織内で意図して利活用する
④パフォーマンス ・データ利活用が組織内の意思決定をどの程度サポートしているかを確認する
・データがサプライヤや顧客と共有されている場合、データ利活用が意思決定をどれだけサポートしているかを確認する
・組織内の新しいデータセットとデータストリームの採用率 等
⑤適合 ・PIIの正しい処理
・組織のニーズと義務を満たすセキュリティポリシーに従って、すべてのデータセットとデータストリームを保護する
・データに関するすべての法的義務の理解、および組織全体でこれらの義務が満たされているかを保証する
⑥人間行動 ・組織全体で許容されるデータとデバイスの利活用を管理するポリシーの策定
・ステークホルダーの人間行動の影響と要件
・組織の人がきちんと理解し、文化的にデータを利活用しなければならない

(4)「データガバナンスのガイダンス-モデル」
 データはEDMモデル(①評価(Evaluate)②指示(Direct)③モニタ(Monitor)を適用して管理する必要がある。

  • 現在と将来のITの利用について評価する(Evaluation)
  • ITの利用が組織のビジネス目標に合致するよう、計画とポリシーを策定し、実施する(Direct)
  • ポリシーへの準拠と計画に対する達成度をモニタする(Monitor)

 また、外部圧力があることを理解していなければならない。たとえば、法令やステークホルダーの要求事項は市場によって異なることを理解することが必要である。
 戦略や規制に対しては以下の点を考慮する必要がある。

  • プライバシーに関する懸念、同意要件、データ利活用の透明性を含むPIIの活用(ISO/IEC 29100参照)。
  • データの戦略的重要性を反映する効果的な情報セキュリティマネジメントシステム(ISO/IEC 27001)の活用。クラウドコンピューティングサービス(たとえば、ISO/IEC 27017)における第3者データフィードおよびデータ管理を含むように拡張されるべきである
  • データ保存および処分の要件
  • データの再利用、共有または販売、ならびにその関連する権利、ライセンスまたは著作権
  • 意思決定における文化的規範、偏見、差別、またはプロファイリングを適切に考慮する

図3.データガバナンスモデルISO(ISO/IEC38505-1:2017より)

図3.データガバナンスモデル (ISO/IEC38505-1:2017より)

(4)「10.データ・アカウンタビリティ・マップの適用」
 組織として何を行うべきかを明確にするため、「データ・アカウンタビリティ・マップ」を作成する。これはデータのライフサイクルを縦軸に、それぞれの段階での価値、リスク、制約を示したもので、ガバナンスフレームワークを開発する際に考慮しなければならない包括的なガイダンスとなる。
 なお、これらの行動はすべて経営者(Governing Body)が命令し、組織での状況を評価し、必要に応じて行動を追加する必要がある。

図4.データ・アカウンタビリティ・マップ(ISO/IEC38505-1:2017より)

図4.データ・アカウンタビリティ・マップ (ISO/IEC38505-1:2017より)

最後に

 本規格は前述のとおり、GDPRを意識し、本規格の実践がGDPRの遵守につながる、として制定された国際規格である。GDPRの適用開始は2018年5月のため、本規格と必ずしも合致しない可能性があるが、概念はカバーしていると確信している。
 組織としてデータ・アカウンタビリティを保証するために何をすべきか、をとりまとめたのが本規格ISO/IEC38505-1である。

 本規格が含まれる「ISO/IEC38500シリーズ」の詳細については、力氏の講演録を参照のこと。