情報セキュリティ大学院大学　教授
JTC1/SC40専門委員会委員　　ＷＧ1主査
原田　要之助　氏

• 印刷用PDF

ISO/IEC38505「データガバナンス」は２部構成からなり、2017年5月にパート1が公表された。本規格を適用した事例集としてパート２があるが、2017年11月現在最終投票中であり、今後各国のコメントを受け最終化することとなる。ここではISO/IEC38505-1の規格内容について紹介する。
なお、今回紹介する日本語訳は原田講師が個人的に解釈・翻訳したものである。

本規格は、①経営者が実施すべきガバナンスのタスク、②経営者が従うべき原則、③データを利活用する際の特殊性を規格化したもので、章構成は図1のとおりである。

以下、主要な各章の内容について説明する。
（1）「4.データのガバナンスの向上」
データガバナンスの利点はどこにあるのか？を一般論として説明したものである。利点は次のとおり。

• データガバナンスを実践することにより、データ資産の適切な導入と運用、保護と潜在的な価値の可能性の両方の責任と説明責任と明快さが確保できる。
• 経営者（Governing Body）の責任としては、データの利活用のための権限、責任および説明責任が生じる。
• 組織がリスクを管理し、制約を考慮しながらデータおよび関連するIT投資から価値を得られる。
• 効果的なマネジメントシステムを作り、経営者がガバナンスすべき

なお、データガバナンスの実践にあたっては、ガバナンスのほかに監督（Oversite）のメカニズムが必要となるとともに、データ特有の側面を考慮する必要がある。

（2）「6.データに関わるアカウンタビリティ（説明責任）」
データはライフサイクルで管理する必要があり、データモデルを図2のように定義した。

（3）「7.データガバナンスのガイダンス－原則」
ここでは、原則と責任、戦略、調達、パフォーマンス、適合、人間行動について説明している。

（4）「データガバナンスのガイダンス－モデル」
データはEDMモデル（①評価（Evaluate）②指示（Direct）③モニタ（Monitor）を適用して管理する必要がある。

• 現在と将来のITの利用について評価する（Evaluation）
• ITの利用が組織のビジネス目標に合致するよう、計画とポリシーを策定し、実施する（Direct）
• ポリシーへの準拠と計画に対する達成度をモニタする（Monitor）

また、外部圧力があることを理解していなければならない。たとえば、法令やステークホルダーの要求事項は市場によって異なることを理解することが必要である。
戦略や規制に対しては以下の点を考慮する必要がある。

• プライバシーに関する懸念、同意要件、データ利活用の透明性を含むPIIの活用（ISO/IEC 29100参照）。
• データの戦略的重要性を反映する効果的な情報セキュリティマネジメントシステム（ISO/IEC 27001）の活用。クラウドコンピューティングサービス（たとえば、ISO/IEC 27017）における第３者データフィードおよびデータ管理を含むように拡張されるべきである
• データ保存および処分の要件
• データの再利用、共有または販売、ならびにその関連する権利、ライセンスまたは著作権
• 意思決定における文化的規範、偏見、差別、またはプロファイリングを適切に考慮する

（4）「10.データ・アカウンタビリティ・マップの適用」
組織として何を行うべきかを明確にするため、「データ・アカウンタビリティ・マップ」を作成する。これはデータのライフサイクルを縦軸に、それぞれの段階での価値、リスク、制約を示したもので、ガバナンスフレームワークを開発する際に考慮しなければならない包括的なガイダンスとなる。
なお、これらの行動はすべて経営者（Governing Body）が命令し、組織での状況を評価し、必要に応じて行動を追加する必要がある。

本規格は前述のとおり、GDPRを意識し、本規格の実践がGDPRの遵守につながる、として制定された国際規格である。GDPRの適用開始は2018年5月のため、本規格と必ずしも合致しない可能性があるが、概念はカバーしていると確信している。
組織としてデータ・アカウンタビリティを保証するために何をすべきか、をとりまとめたのが本規格ISO/IEC38505-1である。

本規格が含まれる「ISO/IEC38500シリーズ」の詳細については、力氏の講演録を参照のこと。

• 「ITガバナンスの国際標準化（ISO/IEC38500シリーズ）の最新動向とその取組み」（力氏講演要旨）