情報ガバナンスの体制構築方法と各要素

IT・情報セキュリティ

 情報ガバナンスを徹底するためにとるべき体制を教えてください。

 情報ガバナンスのための体制は、①情報資産の洗い出し、②基本原則・方針・細則で実現されるポリシーの構築、③人的システムの構築、④教育・トレーニング、⑤メトリックスなどから構築されます。

解説

目次

  1. 情報ガバナンス体制の構築とは
  2. 枠組みの各要素
    1. 情報資産の洗い出し
    2. ポリシーの構築
    3. 人的システムの構築
    4. 教育・トレーニングの実施
    5. メトリックスの設定

情報ガバナンス体制の構築とは

 「情報資産を活用するための枠組みとプロセス」という観点から情報ガバナンスを論じる際には、体制の構築方法を考えることは、その徹底のためにきわめて重要です。ここでは、仕組みと手順について、大きく5つのポイントから述べます(図)。

情報ガバナンスの枠組み

情報ガバナンスのための体制は、大きく5つのポイントから構築される

枠組みの各要素

情報資産の洗い出し

 情報資産は、企業経営に用いられる情報そのものと、情報を収集・処理・保管するためのシステムをいいます。情報そのものについては、その情報がどのような分野に関連するものかによって、財務情報、人事情報、顧客情報、技術情報、市場の情報などとわけられます。また、収集・処理・保管のシステムについては、コンピュータ・記録媒体、紙などがあります。これらの情報資産を洗い出していくことから、情報ガバナンスは、始まります。

 情報資産の洗い出しは、情報資産を識別し、個々の資産を種々の観点から分析・評価していく手続です。具体的には、識別のための符号、資産名、分類、特性、保管形態、保管場所、保管期限、保管者、利用者などの観点からなされます。

 このうち特性は、情報そのものについて、機密性と個人情報該当性の観点から洗い出しを行うことが重要です。また、保管者を整理しておくことは、企業において不祥事対応等が必要になったときに、情報資産と事案との関連性等の判断において重要な役割を果たします。一方で、各情報資産についてどのような活用が考えられるのかもひとつの観点になるでしょう。

ポリシーの構築

 ポリシーは、情報資産をどのような基本原則・方針・細則で実現していくかについての表明と考えられ、組織に関わる人たちの指針や手引きとなります。具体的には次のとおりです。

(1)基本原則

 基本原則は、企業の姿勢と理念を示す表明で、情報資産を活用するための要素すべて、またはそれに影響を及ぼす価値観、運用、信念を定義付けします。たとえば、JISQ 38500:20151では、責任、戦略、取得、パフォーマンス、適合、人間行動が原則の項目としてあげられています。

(2)方針

 ここで方針というのは、具体的に細則で定められる対応措置を実装し、維持するうえでの方向性を定めるものです。情報資産の扱い方の方向性を明らかにし、どのような人的システムが、どのようなプロセスのもと、どのような責任を負うのかの概要を明示するものです。

(3)細則

 細則は、基本原則をもとにして、各組織が情報を活用する局面ごとに、具体的な活用時のルールや、リスクへの対応ルールを定めます。これらは整合性とその透明性を念頭に定義されます。具体例として、顧客情報管理・活用プログラムや、ドキュメント管理ポリシーなどが考えられます。それぞれの業務のプロセスの定めにおいて対応措置が実装されることになります。

(4)対応措置(コントロール)

 基本原則の実現過程において、組織の動作を監視するために管理・測定するための機能を対応措置といいます。具体的には、情報に対する物理的なアクセス、ネットワークによるアクセス、メカニズムの制御、測定、モニタリングと検出、変更管理、監査などがあります。

人的システムの構築

 情報ガバナンスの徹底においては、人的な仕組みの構築も重要です。現代の企業で、情報ガバナンスにおける責任者たる情報責任者(CIO)が任命され、その権限と責任が明らかにされることはきわめて重要です。

 また、情報ガバナンスに関わる規定(理念、原則、手続規定)を決定し、具体的な規定の運用(たとえば、ネットワーク管理規定やSNS運用規定)を行うための合議体の仕組みなどを構築することも必要になるでしょう。さらに情報資産の日々の運用を具体的に担当する管理者を決めることも求められます。

教育・トレーニングの実施

 個別のプログラムが充実していたとしても、それを利用するべき構成員にその内容が理解されていなかったり、実際に利用されるレベルに至っていなかったりすると、「絵に描いた餅」となってしまいます。個別のプログラムを機能させるためには、教育・トレーニングが非常に重要です。現在では、実際の事件などを念頭にトレーニングを実施するテーブルトップ・エクサイズ(机上演習)なども行われています。

メトリックスの設定

 メトリックスは、ある仕組みが実行に移されている場合、当該の仕組みが経営目標を実現するために有効に機能しているのかを測定する枠組みをいいます。メトリックスには、達成されるべきビジネスの目標の達成に向けて動くプロセスの状況を表す指標である重要目標達成指標(KGI)や、その成果をモニタリングする際に用いる指標、重要成果達成指標(KPI)などがあります。また、ITガバナンスの成熟度を測るためには、アメリカの情報システムコントロール協会(ISACA)とITガバナンス協会(ITGI)が提唱しているフレームワークであるCOBITなども広く使われています。


  1. 出典:日本工業標準調査会ウェブサイトJISQ38500 (閲覧:2019年6月28日) ↩︎

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する