戦略的なデータガバナンス・マネジメントとプライバシーガバナンス

1 ビジネス要件に対するデータガバナンス・マネジメントとプライバシーガバナンス

データ利活用のよくある取り組みとして、①ビジネス要件を踏まえ、関係するデータを洗い出し、ユースケースを検討、関連する法規制を把握しPoC（Proof of Concept）等も踏まえて実現可能性を検証する構想段階。②データ基盤の設計・構築、サービス・新商品開発の設計・構築段階、③マーケットへの投入や社内利用における運用段階の3つの段階があります（図表1）。なお、セキュリティ対応は設計・構築段階から検討と導入をしていくことが一般的です。

単発的なサービスや商品、暫定的なデータ基盤等であれば、一次的な効果は十分に発揮されますが、プライバシー問題に向き合う取り組みであるプライバシーガバナンスも包括した、データを利活用し継続的な取り組みを維持するためには、構想段階から戦略的なデータガバナンス・マネジメントの検討が必要になります。

構想段階においてデータガバナンスを適用する

構想段階においてデータを利活用するにあたり、ビジネス要件として達成すべきものは、単一的な利益追求や効率化の側面だけでなく、ビジネスへのインパクトの正負が同時多発的に発生する特徴を踏まえ、法令遵守、企業統治・企業統合、リスク対応、意思決定の精緻・迅速化、運用の効率化といった総合的なものであるべきです。当ビジネス要件に対するデータガバナンスとして、KGI（Key Goal Indicator）等の目標を定義し、データ管理・品質規程やプライバシーガバナンスなどの原則を策定し、実行に向けた組織体制を整備することが肝要です。

具体的には、データ管理のオーナーシップに係る役割・責任を全社的に明確化することが重要です。データガバナンスは、データ資産のプライバシー／セキュリティの担保、法的規制要件への対応、データ品質／信頼性の改善、組織横断的なデータ利活用などの各領域に対して、計画とルールを提供します。また、組織の事業戦略とデータマネジメントの戦略を一致させることもデータガバナンスの役割です。組織の事業戦略に合わせて、基本的な方針（ポリシー、フレームワークなど）を策定し、遵守・実行するためのデータガバナンス態勢を構築することで、組織としてデータマネジメントを推進する意義が明確になります。

構想段階ではプライバシーガバナンスの要素も考慮する

データ管理のオーナーシップに関わる役割・責任を明確にするにあたっては、プライバシーガバナンスの要素を取り込むことも重要です。2020年8月28日に経済産業省、総務省から「DX時代における企業のプライバシーガバナンスガイドブックver1.0」（以下、ガイドブックという）が策定され、公開されました※1。このガイドブックには、パーソナルデータの利活用を伴う新たな事業の創出を試みる企業が、ステークホルダーからの信頼を確保し、企業価値向上へとつなげ得るプライバシーガバナンスを構築するにあたり、最初に取り組むべき事項が取りまとめられています。具体的には、「経営者が取り組むべき三要件」および「プライバシーガバナンスの重要項目」が記載されています。

経営者が取り組むべき3要件

• プライバシーガバナンスに係る姿勢の明文化
  経営者がプライバシーに係る基本的な自社の考え方や姿勢を明文化し、社内外に公表することが求められています。社内外のステークホルダーに対するアカウンタビリティの確保という点でも重要です。
• プライバシー保護責任者の指名
  明文化されたプライバシーガバナンスに係る姿勢を具体的に実現し、プライバシー保護の取り組みを推進するにあたっては、経営者のコミットメントとリーダーシップが不可欠であるため、プライバシー保護責任者を設置し、その役割と責任および権限を明確にすることが求められています。
• プライバシーへの取り組みに対するリソースの投入
  顧客などのプライバシーを保護するにあたっては、その仕組みを予防的にビジネスプロセスや情報システムに組み込むこと、また万が一、プライバシーを侵害する恐れのある事象が発生した際には、被害を最小限にとどめるあるいは被害者を救済するための措置を実行できる態勢が重要です。そのために必要となる体制の整備や人材の育成など、必要十分な経営資源の投入が求められています。

プライバシーガバナンスの重要事項

• 体制の構築
  プライバシー保護責任者の下、プライバシー保護の取り組みを推進する中核的な組織としてプライバシー保護組織の設置が求められています。
• 運用ルールの策定と周知
  プライバシー保護の取り組みを組織的かつ継続的に推進できるよう、当該取り組みに係る運用ルールを策定し、周知徹底することが求められています。
• 企業内のプライバシーに係る文化の醸成
  明文化されたプライバシーガバナンスに係る姿勢や運用ルールが理解、実行されることに加え、自社の従業員がプライバシーに係る問題意識を持ってパーソナルデータを取り扱うことができるよう、また企業文化として定着するよう、経営者やプライバシー保護責任者からの継続的なメッセージの発信やプライバシーに係る啓発や教育研修の実施が求められています。
• 消費者とのコミュニケーション
  プライバシーに関する個人の受け止め方や社会的受容性はコンテキストや時間の経過によって変わり得るものです。そのため、自社におけるパーソナルデータの取り扱いに問題がないかを把握するためにも、またプライバシー保護に係る自社の取り組みの改善につなげるためにも、消費者との継続的かつ双方向のコミュニケーションが求められています。
• その他のステークホルダーとのコミュニケーション
  ビジネスパートナー、株主や投資家、関係行政機関など、消費者以外のさまざまなステークホルダーとも積極的かつ継続的なコミュニケーションが求められています。
  

設計・構築、運用段階では、構想段階に検討されたデータガバナンスに基づきデータマネジメントを適用する

データマネジメントの4つの要素

• データアーキテクチャ
  新たな状況や要件に対応してきた結果、データの構造と流れが複雑化しているケースがあります。データアーキテクチャは、データとビジネスのつながりを書き出した俯瞰図です。データアーキテクチャには今後のビジネス・業務の拡張性も加味したうえで、自社にとっての最適なデータ構造を模索し、反映することが望まれます。
• データ品質コントロール
  データが整理・統合されたとしても、データの品質が低い状態では誤った意思決定を行ってしまう可能性が高まります。正しい意思決定を行う前提としてデータ品質を維持・管理する取り組みが重要です。データ品質の向上のためにモニタリングし、問題が発生した場合には原因究明と改善を行うサイクルが必要です。また、メタデータ管理を行うことでデータの意味・出典が明確化され、誰でも安心してデータを使うことが可能になります。
• データモデリング
  事業の成長や多角化に伴い、管理するデータの種類が増加すると、データの相互関連性を把握することが難しくなります。データ利用者やメンテナンス担当者にとって対象データの関連性がわからない状況はリスクであり、その利用には高いコストが生じます。データモデリングの目標は、データの仕様を理解し文書化することです。適切なデータモデリングを行えば、運用コストが削減され、将来の取り組みに再利用できる可能性が高まり、結果として、新しいアプリケーションを構築するコストの削減に寄与します。
• データセキュリティ
  組織の法的・道徳的責任を果たし、ステークホルダーの信頼を得るにはデータセキュリティが重要です。組織は情報管理とデータ資産の保護を一貫した戦略として、ビジネスと統合していくことが必要です。データセキュリティは組織が扱うデータを分類し、保護が必要なデータを特定することから始まります。特定されたデータをどのように保護・管理していくかを記載したデータセキュリティのポリシーを策定し、当該ポリシーを維持・管理していくことが望まれます。

なお、プライバシーガバナンスの要素も考慮すると、利用者の目的ごとに本人の同意取得と管理を行うCMP（同意管理プラットフォーム）の検討や導入を行う場合もあります。データプラットフォームなどデータモデルやデータを取得した後に、個別に同意を得る仕組みを盛り込むことは機能上あるいは設計上難しい場合があるためです。

2 自組織の成熟度を踏まえた戦略的なデータガバナンス・マネジメント

会社統合やデータ基盤の構築を契機として、データガバナンス・マネジメントは常に議題に上がり、その導入が検討されます。同様にプライバシーガバナンスも個人情報保護法の改正等に伴い、導入すべきかどうか検討されます。

一方で、これらは維持・継続していくことが難しい取り組みでもあります。そのため、冒頭で述べたように、すぐに陳腐化しないよう構想段階から取り組むことに加え、持続可能なガバナンス・マネジメントが講じられているかを定期的に評価し、環境変化や自組織の戦略を踏まえて柔軟に対応していくことが重要です（図表2）。

経営層・管理組織は何をすべきか

このような取り組みは戦略に基づいてすべきことで、バラバラに取り組むことではありません。現場でデータを利活用したくとも、組織間の壁の弊害や、そもそも利活用できるデータがないなどはよくある問題です。また、データ利活用にあたり、プライバシーへの配慮、セキュリティ、リスク、技術への対応などのリテラシー不足により、停滞することも考えられます。

そのため、管理組織はデータガバナンス・マネジメントおよびプライバシーガバナンスの状態や効果を定期的にモニタリングし、経営層の意思決定と評価のための情報提供と現場とのコミュニケーションをつなぐことが必要です。

経営層は、データ利活用によるメリットを最大化し、継続して享受するために、自組織のデータ利活用戦略を踏まえ、データガバナンス・マネジメントおよびプライバシーガバナンスの状態を定期的に評価することで過不足を検討し、リソースを割り当てることが求められます。また、データを利活用することで生じるビジネス上のインパクトについて、ステークホルダーとのコミュニケーションを通して、自組織のデータ利活用における正統性を社会に説明することも必要になります。

成熟へのステップアップ

データ利活用においては、プロジェクト・特定サービス単位におけるサイロ化された状態、または単体の個別事業・部門において組織的な取り組みを始めていくことが多くあります（図表3）。そのため、プライバシーガバナンスにおける法令対応部分は全社統一的に行われることがあっても、データ利活用に主眼をおいたデータガバナンス・マネジメントおよびプライバシーガバナンスは、個別サービスや個別事業におけるミッション単位で進むことが多々あります。また、合併等に伴う経営統合をきっかけにデータガバナンスが見直されることも考えられます。

いずれの場合においても、データを真に経営資源として昇華させていくためには、実現性と継続性を重要視し、段階的に取り組むことが重要です。そのため、前述したように現状のデータガバナンス・マネジメントの姿と、今後のあるべき姿を継続的に検討し、維持するサイクルを経営層自らが戦略的に意思決定していくことが求められます。

【実践事例】
例えば、単一サービスではなく複合的なサービスを目指し、各事業部のレバレッジを効かせて新規事業の推進や相乗効果を狙った経営戦略を検討したときに、事業部間の壁や有意な情報の選別がうまく進まず、各現場で問題点や課題が散在してどこから手をつけていいかわからないことがよくあります。そのような場合は、現状の取り組みをデータガバナンス・マネジメントおよびプライバシーガバナンスに必要な要素に照らして自組織の習熟度合いを確認し、過不足のある箇所とそれが戦略的に重要な箇所なのかを検討します。その後、段階的な目標設定を定めて、事業間の壁を取り払うために横断的なCoE（Center of Excellence）組織の組成による実行支援を行い、さらにデータスチュアードやデータオーナーを任命してデータの源泉となる業務プロセスおよびデータ基盤の改善・統合等を進めていきます（図表3）。これらの施策により、新規事業の推進や相乗効果を発揮した例があります。

3 おわりに

データガバナンス・マネジメントは継続することが難しい取り組みのひとつです。データガバナンス・マネジメントの構築に取り組んだものの、うまく継続できずに終わってしまった経験を持つ企業も多いのではないでしょうか。PwCあらたでは、このような状況を踏まえ、持続可能なデータガバナンス・マネジメントが必要であると考え、アシュアランス業務で培ってきたガバナンス、セキュリティ、内部統制および業務監査などの知見と経験を活かし、持続可能なデータガバナンス・マネジメントが構築されているかを診断するツールを開発しました（図表4）。

本ツールを用いて診断を行えば、データの質を継続的に担保していく取り組みで必要な事項について、ベストプラクティスおよび現状のギャップ、自社の強みと弱み、改善点を識別できます。診断結果に基づいて、持続可能なデータガバナンス・マネジメントの構築に向け、ビジネス目標と整合した今後の対応方針やロードマップを検討することも可能になります。PwCあらたは、AI、DX、データ、プライバシーの各ガバナンス構築の豊富な支援実績やPwC Japanグループの知見を活かし、データガバナンスおよびプライバシーガバナンスの構築や高度化を行う企業の支援により一層力を注ぎ、DXの実現に向けて貢献してまいります。

※1 https://www.meti.go.jp/press/2020/08/20200828012/20200828012.html

執筆者