ナレッジ・インサイトトップ
ソリューション・サービストップ
サステナビリティトップ
ニューストップ
企業情報トップ
株主・投資家情報(IR)トップ

フリーワード検索

タグ検索

  • 注目キーワード
    業種
    目的・課題
    専門家
    国・地域
JPN ENG CHN

NRIの海外拠点一覧

NRI トップ ナレッジ・インサイト コラム コラム一覧 組織・企業間データ取引におけるデータガバナンスの確立

組織・企業間データ取引におけるデータガバナンスの確立

2023/07/27

  • Facebook
  • Twitter
  • LinkedIn

執筆者プロフィール

関西ITコンサルティング部 玉村 亘:
2001年、グローバル総合IT企業に入社し、製造・金融・公益等でのソリューション技術支援の経験を経て、2019年にNRI入社。
現在はIT・デジタル組織の企画構想・計画策定・実行支援、プロジェクトマネジメント支援等のシステムコンサルティング業務に従事。
専門はサイバーセキュリティ、PMO、データマネジメント。

目次

  1. はじめに
  2. データ取引における全社的な仕組みと体制の整備
  3. おわりに

はじめに

こんにちは。野村総合研究所 関西ITコンサルティング部の玉村です。
データガバナンスを中心とした、IT・デジタル組織のガバナンス整備を支援しています。

企業の競争力を向上させるためには、データを活用したビジネスの高度化・創出が不可欠です。最近では、単一組織が保有するデータだけでなく、他部門や他企業のデータを組み合わせて活用することで、より効果的なデータ活用を実現しようとする動きが活発化しています。同時に、自組織のデータを他部門や他企業に提供する事例も増えています。今回は、部門間および企業間でデータを取引する際に起こりがちな問題とその解決策についてお話しします。

私は、これまでいくつもの企業のデータ取引の現状を見てきました。多くの企業では、全社的なデータガバナンスの仕組みや体制が整備されておらず、現場の担当者が試行錯誤しながら、個々の判断でデータの取引や管理が行われていました。

この「現場任せ」の対応は、2つの問題を引き起こす原因となります。

1つ目の問題は、必要なデータが思うように利用できないことによる「ビジネスの停滞」です。現場の担当者に十分な知識がなく、交渉力が弱いため、必要なデータを取得できなかったり、取引に長い時間がかかったり、また自社・自組織に不利な条件での取引になってしまうことがあります。その結果、既存ビジネスの高度化や新規ビジネスの展開が思うように進められない場合が出てきます。他の企業からデータを提供してもらう際、現場の担当者がデータの利用条件を十分検討せず、様々な用途に使えると思い込んでしまうことがあります。しかし後になって、限られた用途にしか使用できないことが明らかになり、新規ビジネスの計画が見直しされてしまう場合もあります。社内の部門間のデータ取引には別の問題もあります。データ活用の重要性が十分理解されていない、データ提供のメリットを感じられない、またはデータ準備の負荷が高すぎるなどの理由から、データの提供に消極的な部門も多く見られます。

2つ目の問題は、金銭、社会的信用、ブランド価値などが失われてしまう「損失の発生」です。提供を受けたデータの管理を現場の担当者任せにすると、どうしても管理が甘くなり、データの漏えいやデータの目的外使用などの事故が起こりやすくなります。データが漏えいしてしまうと、社会や関係者からデータガバナンスの不備に対する批判と説明責任の追及が強まり、社会的信用やブランド価値の損失につながります。また、担当者の判断で、個人情報を許諾された目的以外の用途に利用してしまうと、個人情報保護法をはじめとする関連法令の違反になるとともに、社会、特に当事者からの激しい非難が起こります。これにより、ビジネスへの投資が無駄になる可能性があります。このような問題が、他社から提供を受けたデータに関して発生した場合、データ提供元企業にも問題が飛び火するため、損害賠償を請求されることもあります。さらに、問題を起こした企業は、他企業からの信用を失い、データの提供を受けられなくなる可能性があります。

このような問題を回避するためには、データ取引を現場任せにせず、企業としての一貫した取り組みが必要です。データ取引に関する全社的なルールを整備し、役割と責任を明確化した推進体制を確立することが重要です。これらを実現するために行うべき活動内容とその進め方についてお話しします。

データ取引における全社的な仕組みと体制の整備

データ取引に関する仕組みの整備

異なる企業や組織間でデータを取引する際には、データ取引に関する全社的なルールを策定します。さらに、ルールを遵守させるための仕組みを導入します。

1)データ取引に関するルールの策定

データ取引の全社的なルールを定めます。

  • データ取引を行うにあたっての行動指針や考え方(なぜそうするのか)を示すルール
  • データ取引において守るべき要件(機密情報管理・個人情報管理・情報セキュリティ管理など、何を誰が行うのか)を示すルール
  • データ取引における具体的な手順(契約手続き、データ加工処理、その際に用いられる書類・ツールなど)を示すルール

多くの企業では、上記に関連するセキュリティや契約などの全社ルールが既に存在しています。そのため、データ取引のルール整備においては既存の関連ルールを修正・拡張したり、データ取引に関するガイドラインやチェックリストを作成するなどの取り組みを行い、既存の関連ルールと整合性を持たせます。

ルール策定を行うにあたっては、以下の3つのポイントを考慮します。

①ガバナンス強度の設定
②データの機密レベルの設定
③データ取引方法の決定

①ガバナンス強度の設定
データ取引の際は、自社内の他部門、グループ会社、外部企業・組織の順でガバナンスを強化する必要があります。例えば、自社内であれば個々の担当者が簡易セルフチェックを通じて確認すれば十分であると見なされるかもしれませんが、外部企業・組織との取引の際には契約書による法的効力の確保、交渉窓口の統一、過去の取引内容を踏まえた取引条件の交渉などが必要になるでしょう。もし既にこうした取り組みを行っている企業とのデータ取引が必要となった場合、自社も同等程度のガバナンスを確立した上で取引に臨む必要があります。

②データの機密レベルの設定
データに対して、誰でも閲覧可能な公開データ、特定の相手にのみ公開される一般データ、原則として第三者の利用を想定しない機密データといった、機密性のレベルを定めておく必要があります。また、データの機密レベルが高い場合、NDAの締結や同意の取得など適切な手続きが必要となるため、データの機密レベルに応じて、誰が何をすべきかを定めておく必要があります。例えば機密レベルの設定を総務部門が、機密レベルに沿ったデータの管理を情報システム部門が、契約上の管理を法務部門が行うといった役割分担が行われています。

③データ取引方法の決定
データ取引の相手とデータの機密レベルに基づいて取引をパターン化し、それぞれのパターンにおける最適な取引方法を定めます。具体的には、外部企業・組織とのデータ取引では所定の契約書で取引条件を明確にすることにより、不利な条件での取引を抑止したり、グループ会社内のやり取りでは取得者と提供者の双方がチェックリストを用いて相互確認を行うことで円滑なデータ提供と本社の管理負担の抑制を両立させたり、自社内でのデータのやり取りの際は個々の担当者がセルフチェックを行うことでリスクを抑制するといった取り組みが行われています。

2)ルール遵守のための仕組み作り

データ取引を行う際には、先に述べた2つの問題(ビジネスの停滞と損失の発生)を防ぐために、以下の項目を含んだチェックリストの活用をお勧めします。

①ビジネスの停滞を防ぐためのチェック項目
データ活用の目的に合った適切な利用条件になっているか、相手との取引条件が不公平なものになっていないかの観点でチェックします。

✓ データの利用目的・範囲・利用権限(複製・販売等)・対価・問題発生時の責任など、データ取引に関する条件が明確になっており、提供者と利用者の間で合意形成されているか
✓ 著しく不利な条件や、優越的地位の濫用にあたる条件など、ビジネス上不適切な取引条件が設定されていないか

②損失の発生を防ぐためのチェック項目
リスクにつながるデータは必要でなければ提供・受領せず、必要な場合は漏えい等のセキュリティ対策を徹底します。特に、プライバシーデータなど制約のあるデータの取り扱いについては、適切な対応が行えるかを確認します。営業秘密や機微なプライバシーデータなど取り扱いに注意を要するデータについては、不要なものが含まれていないかをチェックしましょう。

✓ 注意を要するデータが含まれている場合:

  • セキュリティ上安全な方法でデータの授受・保管が行われることを確認しているか
  • データの加工に委託先を使う場合は委託先も含めて監督できているか
  • セキュリティ事故発生時の対応について把握できているか

✓ プライバシーデータを含む場合:

  • プライバシー性を排除した利用、顧客等への利用目的や期間の告知、国内外のプライバシー関連法案への準拠等、適切な対応を把握できているか

データ取引のための全社的な体制

データの活用は各部門が主体となって進める必要があります。一方で、各部門がデータ取引に関するルールを遵守し、適切なデータ取引を実施しているかを全社的な観点からモニタリングする体制が必要です。さらに、適切な取引が円滑に行えるよう、各部門の現場の担当者を支援する体制も重要です。

こうした体制を確立するための最適解は、企業や組織ごとに異なります。トップダウンで全社統制のための体制を確立できるか、ボトムアップでの事業や部門の意向をどこまで汲み取るかにより、体制は4パターンに大別されます。自社の事業や組織の特性を考慮したうえで、取るべき体制を検討する必要があります。

・個別マネジメント型
このパターンでは、個々の組織が自己管理を行います。全社的な統制をかけない(もしくは統制を取れる組織機能がない)ため、個々の組織の取り組みに大きく依存することになります。全社で統一的なデータマネジメントの確立が困難となるため、少なくとも次に挙げる「IT部門管理型」への移行を検討することが望ましいです。

・IT部門管理型
このパターンでは、データマネジメントのための専任組織は存在せず、全社的な統制を行う部門の中にデータマネジメント機能が設置されます。
多くの企業ではIT部門がその役割を担当しています。契約関係は法務、社内ルール関係は総務といった形で必要な部門と協力しながら、仕組みづくりに取り組みます。

・データマネジメント専任型
全社に対する影響力を保ち、一貫したデータマネジメントを行う専任組織を設置します。
組織の設立や人員確保が必要となるため、経営層がその必要性を認識している企業で採用されます。

・ハイブリッド型
専任組織が全社を統括しつつ、各事業部門にもデータマネジメント機能を設け、各部門の活動を促進する体制です。
全社的な統制と、個々の組織による主体的なデータ活用の両立が可能ですが、多くの人材と高度な調整力が必要になります。

おわりに

今回は、組織・企業間のデータ取引において起こりがちな2つの問題(ビジネスの停滞、損失の発生)を取り上げ、これらを回避するための取り組みについて解説しました。

組織や企業の枠を超えたデータの活用は、企業の競争力を左右する重要な要素となっており、データの取得、提供ともに一層活発化するでしょう。データ取引を安全に行うためには、現場任せにせず、全社的な仕組みや体制を整備する必要があります。同時に、データ取引を実際に行う事業部門の現場の担当者をサポートして、データ活用を推進するという姿勢も重要です。また、仕組みや体制を整備しただけでは十分ではなく、それが実際に機能するように、社員に対する啓蒙活動や研修などの取り組みも重要になります。

NRIでは今回ご説明したデータ取引にかかわる仕組み・体制の確立をはじめ、データガバナンス整備の支援を行っております。お悩みのことがあればご相談ください。

NRI Digital Consulting Edge 一覧ページへ

システムコンサルティングトップページへ

執筆者情報

  • 玉村 亘

    関西ITコンサルティング部

  • Facebook
  • Twitter
  • LinkedIn
お問い合わせ

お問い合わせ

メルマガ登録

NRI Digital Consulting Edgeの更新情報はFacebook・Twitterでもお知らせしています。

新着コンテンツ

もっと見る

前のページに戻る