by マシュー・バーンスタイン、MC Bernstein Dataの情報管理ストラテジスト
企業はデータに価値を見出すことにますます依存するようになり、規制当局、政治家、一般市民は、企業が消費者のデータをどのように使用するかについての監視を強めています。
大量の利用可能なデータ、コモディティ化されたITインフラストラクチャ(ストレージやコンピューティングなど)、抽出される推定価値は、すべてを保持、保存、処理するインセンティブを生み出します。同時に、データプライバシー規制が急増し、データ保護と保持のルールが拡大し、消費者の権利と期待が高まっています。これらの開発が交差する部分から生じる情報ガバナンス(IG)の課題の増加に対応することは、すべての企業の業務における「外部化」データの普及によってより困難になっています。この記事では、これらの増加するIGの義務のいくつかを検証し、重要な情報リソースを外部化することによってもたらされるリスクの一部に焦点を当て、状況に対処するための優れたIGプラクティスを特定します。
データプライバシーは情報ガバナンスのリスクを増大させる
米国では、データプライバシーの分野では、産業セクターの規制がルールとなっています。セクター固有のデータプライバシー規則の対象となる業界には、消費者信用、教育、電気通信、広告、ヘルスケアなどがあります。しかし、欧州一般データ保護規則(GDPR)、カリフォルニア州の消費者プライバシー法(CCPA)、米国連邦法の草案、データの使用に対する一般の注目など、プライバシーに関する懸念のプロファイルと範囲は拡大しています。これらはすべて、記録管理、情報セキュリティ、電子情報開示など、既存のIGのリスクと義務に加えて行われます。
リスクはどこにあるのか?
データ管理の「外部化」やアウトソーシングの増加傾向は、多くの企業が利用するシステムやアプリケーションの多様性を考えると、企業にとって課題となっています。広く利用されているほぼすべての通信、処理、ストレージプラットフォーム(クラウドサービス、コラボレーションツール、メッセージングツール、SaaSアプリケーションなど)は、企業の枠外で運営されているため、サードパーティリスクの特定は困難です。
企業は、Box、Slack、LinkedIn、Twitter などのツールを使用して、社内外でコミュニケーションをとる可能性があります。SalesforceやWorkdayなどのエンタープライズ管理ソリューションや、AWS、Microsoft Azure、GoogleCloudなどのクラウドプロバイダーは、急速に発展する企業に最適なプラットフォームです。しかし、規制当局の視点から見ると、データが外部にあるという事実に関係なく、このデータの管理責任はビジネスユーザーにあります。これらのデータプライバシーリスクの認識と責任は、外部に委託することはできません。
さらに懸念されるのは、サービスプロバイダーは通常、データプライバシーポリシーを開発および実装するために独自に行動していないという事実です。ソリューションやサービスは、保護手段を提供し、機能を利用可能にすることがありますが、対象となるルールを決定し、それらのルールの対象となるデータを特定し、システムまたはサービスプロバイダーにそれらのルールに基づいて行動するように指示し、遵守を保証するのはユーザー企業の責任です。
今何をすべきか
このような状況におけるリスクに対処するために、金融機関は、以下の4つのIG運用フレームワーク「ビルディングブロック」に基づいて、データプライバシーリスクフレームワークを確立する必要があります。リソースは、企業の規模と範囲に合わせて適切に拡張する必要があり、大規模なエンタープライズITソリューションを伴う必要はありません。
規制コンプライアンス
-
会社のデータに適用されるデータプライバシー要件(法律および規制)を理解する
-
プロセス、外部システム、およびデータストアでデータプライバシー要件の対象となるデータを特定する
情報ライフサイクル管理
-
不要な個人データの分類、保持、アーカイブ、廃棄をサポートするプロセスを実装する
-
個人データの処理が法令を遵守していることを確認する
-
重要でない情報の量を減らし、機密データを分類、区分化、暗号化し、アクセスを制限することで、個人データが適切に保護されるようにします
統治
-
ベンダーが該当する企業のポリシーを認識し、遵守していることを確認するための管理機関
情報ガバナンス技術
-
ポリシーに従って個人データを適切に管理するための適切な技術を実施します
情報に基づいたアプローチを取り、強固なコンプライアンス対策を採用している企業は、規制執行措置のリスクを軽減します。そうでない人は、新しいデータ保護制度の照準に照準を合わせることになるかもしれません。
注意:この記事には、Matthew Bernsteinの単独の見解と意見が含まれており、Guidepoint Global、LLC(「Guidepoint」)の見解または意見を反映していません。Guidepointは登録された投資顧問ではなく、投資顧問としてビジネスを取引したり、投資アドバイスを提供したりすることはできません。この記事に記載されている情報は、投資アドバイスを構成することを意図したものではなく、オファーのオファーまたは勧誘、または証券の購入、保有、または売却の推奨を意図したものでもありません。GuidepointとMatthew Bernsteinの書面による明示的な同意なしにこの記事を使用することは禁止されています。