データコンプライアンスとは

データコンプライアンスとは、組織と政府機関が関連する法律と政府規制を満たすことができるように、機密性の高い保護されたデータの整理および管理を実践することです。さまざまな点で、データコンプライアンスは、個人のデータと情報を保護することを目的とした詳細な規則のセット（プロトコル、基準、要件などとよく呼ばれるもの）であると考えることができます。

データコンプライアンス要件は規制によって異なりますが、一般に（1）データを収集、使用、保存する方法と、（2）データを紛失、窃取、誤用から保護するために組織が導入すべきプロセスを定義します。

企業にデータコンプライアンスが必要な理由

今日の働き方において、インスタントメッセージやEメールの送信から文書処理、スプレッドシート、その他の無数のタイプのデジタルデータの使用まで、デジタル情報の作成と使用は広く普及しています。組織がお客様の情報、クレジットカード番号、その他の財務情報をデジタルで保存するというこの劇的な変化に加えて、eコマースとオンライン取引への大規模な移行に伴い、組織がデータをどのように扱い、保護しているかを監視することが必要になりました。

根本的に、取引の一環として個人を特定できる情報 (PII) がお客様から提供されると、組織には、その情報を保護し、サイバー犯罪者などの悪意のある第三者に渡らないようにする責任が発生します。データコンプライアンス要件を遵守することで、組織にはいくつかの利点がもたらされます。

データ侵害の防止

データコンプライアンスにより、組織は適切なセキュリティプラクティスを適用して、企業のデータを安全に維持し、侵害から保護できるようになります。不可欠なビジネスプラクティスであり、組織が機密データや顧客データを責任を持って扱える優秀な管理人であることを実証するものです。

データ管理の改善と効率化

データ管理は、組織によって作成および収集されたデータを取り込み、保存、整理、維持するプロセスです。効果的なデータ管理は、データ規制要件を満たすための重要な要素であり、単にコンプライアンスへの取り組みを支えるだけでなく、作成から破棄までデータライフサイクル全体を通して企業のデータ処理プロセスを改善します。

ブランドロイヤルティの構築

今日の組織は、競争の激しい市場で事業を展開しています。つまり、消費者が多数の選択肢からブランドを選べることを意味します。優れたプラクティスに従ってデータコンプライアンス要件を満たしていることをお客様に提示できれば、組織のブランドへの信頼を高め、ひいては顧客維持率を高めることができます。

優秀な従業員を引きつける

企業のコンプライアンス認証と認定は、組織がデータコンプライアンスを真剣に受け止めていることの証しであり、データ管理やその他の事業運営に対し念入りに策定したプラクティスを適用していることを示す指標でもあります。いずれも求職者にとって魅力的な要素であり、組織が優秀な従業員を引きつけて維持するうえで有利に働く可能性があります。

データコンプライアンスの規制と基準

私たちを取り巻くデータ経済において、組織は、データの領域を完全に把握し、ビジネスに適用されるコンプライアンス要件を遵守することがこれまでになく重要になっています。次に、データを保護するために導入された法律と規制の注目すべき例をいくつか示します。

NIST Cybersecurity Framework

NISTサイバーセキュリティフレームワークは、組織がデータを保護してデータ侵害を防止できるよう、サイバーセキュリティポスチャを構築および改善する際に役立つ一連のガイドラインとベストプラクティスです。米国立標準技術研究所 (NIST) によって公開されたフレームワークであり、起業したばかりの組織またはセキュリティの成熟度の高い組織を問わず、サイバーセキュリティプログラムを構築するための代表的な基準であると広く考えられています。NISTフレームワークでは、すべてのサイバーセキュリティ機能を次の5つの主要機能に分類しています。

• 特定 — 保護を必要とするプロセスとアセットを特定する
• 保護 — 組織のアセットを保護する適切な保護対策を実装する
• 検知 — サイバーインシデントを特定する適切なメカニズムを実装する
• 対応 — サイバーセキュリティイベントの影響を封じ込める手法を導入する
• 回復 — レジリエンスの計画を維持し、サイバーセキュリティインシデントが原因で損なわれた機能やサービスを復元する適切なアクティビティを実装する

ISO/IEC 27001

最初2005年に公布されたISO/IEC 27001は、情報セキュリティ管理システムの確立、実装、維持、継続的改善に関する助言を企業に提供する国際規格です。ISO/IEC 27001を遵守しているということは、組織が、企業で所有または取り扱われるデータのセキュリティに関連するリスクの管理システムを導入済みであること、およびそのシステムによってこの国際規格に規定されているベストプラクティスと原則がすべて適用されていることを意味します。

PCI DSS

ペイメントカード業界データセキュリティ基準 (PCI DSS) は、カード所有者のデータを適切に管理して、クレジットカード詐欺を減らすために2004年に制定された一連のセキュリティ基準です。ペイメントカード情報を処理、受理、送信、または保存する企業は、PCI DSS要件を遵守している必要があります。

GDPR

最初2016年に公布、2018年に施行された一般データ保護規則 (GDPR) の目的は、EU加盟国全体でデータプライバシー法を調整することにより、データとプライバシーの侵害からすべての欧州連合 (EU) 市民を保護することです。企業がEU市民の個人データを取り扱う場合、その所在地を問わず企業はGDPR要件を遵守しなければなりません。

CCPA

2018年に導入されたカリフォルニア州消費者プライバシー法 (CCPA) では、カリフォルニア州の消費者は、企業が保存する自身のすべての情報と、そのデータを共有するすべての第三者の詳細なリストの開示を要求することができます。年間収益が2,500万ドル以上でカリフォルニア州居住者にサービスを提供する企業は、CCPAを遵守する必要があります。また、CCPAでは、侵害がなくてもプライバシーガイドラインに違反している場合には消費者が企業を訴えることができることを企業は認識しておく必要があります。

FedRAMP

連邦リスクおよび承認管理プログラム (FedRAMP) は、クラウド製品とサービスのセキュリティ評価、認証、継続的モニタリングに対する標準化されたアプローチを政府機関に提供する米国連邦政府全体の制度です。これにより、政府機関は、古くて安全でないレガシーのITから、ミッションの実現を可能にする安全で展開が容易なクラウドベースのソリューションにすぐに適応できるようになります。

組織がデータコンプライアンスを確保する方法

データコンプライアンスを確保するには、企業はまず、適切な規制を遵守できるように、どの規制が適用されるのかを理解する必要があります。関連するデータコンプライアンス義務を理解したら、その基準に合わせて適切なデータ保護対策、ポリシー、プロトコル、プロセスを確立します。かなり手間のかかる作業であるため、データコンプライアンスアクティビティに対して財政面と上級管理職からのサポートを確保することはこのアプローチの重要な要素です。

データコンプライアンスは企業の日々の事業活動の中心となる取り組みであるため、すべての不確定要素への対応を担当する専任の連絡役を配置することが重要です。この連絡役の重大な役割に、継続的なデータコンプライアンスアクティビティを確立する、定期的なテストをスケジュールする、ドキュメントをレビューする、業務を監査する、さまざまなコンプライアンスイニシアチブについて上級管理職に定期的に最新情報を報告するといったことがあります。

一般的に、コンプライアンス規制には、組織が最新の要件に従っていることを確かめる定期監査が含まれます。独立第三者監査人は通常、このプロセスを通して組織と共同でデータコンプライアンスを検証します。こうした監査に対処するには、すべての組織のデータ保護対策を記録しておくことが不可欠です。これにより、組織が一連の規制の遵守に誠実に取り組んでいる証拠を監査人に提示することができます。

データコンプライアンスの成功を示す指標

コンプライアンス監査に合格することが、企業のコンプライアンスプログラムがうまく機能していることを示すバロメーターになることは間違いありません。ただし、監査サイクル以外で、データコンプライアンスプログラムが正常に機能しているかどうか組織が把握するにはどうすればよいでしょう。以下に、プログラムが正常に機能していることを示す要素をいくつか挙げます。

所有権とリソースが割り当てられている

組織が所有者を明確に定義し、関係者全員のロールと責任を確立していれば、データコンプライアンスプログラムが成功する可能性がはるかに高くなります。データの取り扱いに関する説明責任を組織内のロールに割り当てる必要があるため、多くの場合、コンプライアンスの責任を果たせるように支援する「データ所有者」（通常は技術チームではなくビジネスグループに所属）を指名すると有益です。

ドキュメントが維持されている

企業は、データ管理運用をステージごとにまとめたデータコンプライアンスプログラムのドキュメントを最新の状態に維持する必要があり、信頼できるレポートを通してそのドキュメントにアクセスして検証できる必要があります。ビジネスは止まることはなく、規制は頻繁に更新されるため、必要な変更をすぐに行えるように、組織のデータコンプライアンスプログラムを定期的に評価する必要があります。

データライフサイクルが適切に管理されている

データライフサイクルを管理するためのポリシーを適切に策定すると、企業はデータコンプライアンスプログラムの正常な運用を支える以下のような重要な質問に回答できるようになります。

• データがいつ有用でなくなるか
• データの保存にかかるコストが、データがもたらす利点を上回るのはどのような場合か
• 収集するデータが多くなって有効活用できなくなるのはどのような場合か
• データがライフサイクルの終わりに到達し、破棄できるようになった場合、その要因は何か

成功を示すメトリックが確立されている

組織にコンプライアンスプログラムに関する主なパフォーマンス指標 (KPI) がある場合、プログラムの成功を追跡する際の指標として役立ちます。KPIはこのほか、プログラムの長所と短所を特定する場合にも役立ちます。最も重要なKPIは、組織が定めたプログラムの目標に到達するまで直接追跡していく指標です。そのために企業はまず、コンプライアンスの有効性を測定できるよう目標のベースラインを規定する必要があります。

データコンプライアンスの主な課題

規制をめぐる環境は絶え間なく変化するため、ひどく入り組んだコンプライアンスはますます複雑になり、これに対処していくのは容易なことではありません。それでも、コンプライアンスに違反すると、多額の罰金が科されるだけでなく、インシデントが発生したときにデータの保護や機敏な対応ができない事業体制になる可能性があります。

さまざまな課題が混在していることに加えて、組織のコンプライアンスへの取り組みではハイブリッドワーク環境、飛躍的に増大するデータ量、拡大する技術スタック、リソースの限界、予算に関する懸念というニューノーマルに対処しなければならず、リスク管理チームとコンプライアンスチームに過度の負担がかかり、人員が不足することが少なくありません。

スキルとリソースの不足

データコンプライアンスとセキュリティに確固たる専門知識を持つ優秀なスタッフを確保することが依然として課題となっています。空きポジションを埋める候補者を引きつけるという複雑な業務に対処しなければならない状況では、リソースとスキルが不足していると、コンプライアンスに関する準備状況を整えるのが難しくなります。

データ量の指数関数的増大

デジタルビジネスが広まったことで、組織のデータコンプライアンスへの取り組みに含める必要があるデータがますます生成されるようになっています。Statistaによると、企業のデータ量は2020年から2022年にかけて約1PB（ペタバイト）から2.02PBに増えました。このペースで増えると、データコンプライアンスチームにとってその対応に大きな負担がかかる課題となる可能性があります。

ハイブリッドワークと拡大する攻撃対象領域

クラウドの導入と従業員のリモートワークモデルへの移行によって攻撃対象領域が拡大するなか、組織のどのデータがどこにあるかをすべてインベントリーに記載してデータコンプライアンスに盛り込むことがますます困難になっています。

テクノロジーの進歩

ビジネスを実行可能にするテクノロジーの進歩により、コンプライアンスチームとセキュリティチームが管理および保護しなければならないデジタル環境は絶え間なく変化しています。企業はこれまでにビデオコラボレーションプラットフォームの導入、ソーシャルメディア革命への参加、Anything-as-a-service への支持の表明、従業員へのスマートフォンの支給といったことを実施してきました。企業がデータコンプライアンスプログラムに含める必要がある終わりのないイノベーションの例をざっと挙げるだけでもこれだけあります。