ホワイトペーパーグローバルな法規制に強くなるデータガバナンスの 7 ステップ金融、医療業界における厳しいコンプライアンスを克服するデータ管理本文書には Informatica Corporation (Informatica) の機密情報、専有情報および企業秘密情報 (以後、｢機密情報｣とします) が含まれており、Informatica による事前の書面による承認を得ることなく、いかなる手段においても、本文書をコピー、配布、複製、複写することを禁止します。本文書の情報が正確かつ完全であるようにあらゆる試みを行っていますが、誤植または技術的に不正確な部分が存在する可能性があります。Informatica は、本文書に含まれる情報の使用から生じるいかなる損失に対しても一切の責任を負いません。本文書に含まれる情報は、予告なく変更されることがあります。こうした資料で検討している製品特性を Informatica ソフトウェア製品のリリースやアップグレードへ採用することは、リリースやアップグレードの時期と同様に、Informatica が独自に決定します。以下の米国特許の 1 つまたは複数の特許によって保護されています: 6,032,158; 5,794,246; 6,014,670; 6,339,775; 6,044,374; 6,208,990; 6,208,990; 6,850,947; 6,895,471; または以下の申請中の米国特許: 09/644,280; 10/966,046; 10/727,700 2015 年 7 月発行ホワイトペーパー目次法規制へのコンプライアンスに伴う負荷の高まり . . . . . . . . . . . . . . . . . . . . . . . . . . 2 データガバナンスの基本 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 データガバナンスとコンプライアンスを成功へ導く 7 つのベストプラクティス . . . 4 次のステップへ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 詳細情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 1 法規制へのコンプライアンスに伴う負荷の高まり企業にとって、コンプライアンスは「両刃の剣」です。あらゆる業界の企業が、公共の利益を守るため、政府や業界団体が設定した規制、ルール、標準、ポリシーに従っています。これは、コンプライアンス確立のために企業が多大な労力とコストを投入しなくてはならないことを意味し、たとえこのようなプロセスによって他のビジネス価値を手にできるかどうかが分からない場合であっても変わりません。コンプライアンスの主な特性は次の通りです。 • 外部的な強制要因: 政府の規制や業界の取り決め、社内的な監査要件へのコンプライアンスでさえ選択の余地はなく、規制当局や組織から義務付けられたもので、コンプライアンス違反は望ましくない結果につながります。 • 期限が厳しい: 期限と提出物は外部の団体が決めたものであり、コンプライアンスのスケジュールを自社で管理することには限界があります。 • 生産性への負担: コンプライアンスのためのコストと人員は大きな負担で、生産性にマイナスの影響を及ぼします。 • 検証が困難: 一般的に、どれほど人的・物的資源を投入しても、社内の監視体制がなければコンプライアンスが確立されているかどうかを判断することは困難です。 • 常にリスクが伴う: コンプライアンス違反 (適切に実行できていない場合を含む) は重大な結果を招く恐れがあり、罰金やブランド評価の低下、場合によっては関係者の逮捕にさえつながります。このような外部からのポリシーに決まった形や形式はありません。保険業界を対象とした欧州連合 (EU) のソルベンシー規制 (Solvency II) や医療機関と保険業界を対象とした米国の HIPAA (医療保険の相互運用性と責任に関する法律) など、業界に固有の規制やコンプライアンス指令がある一方で、PCI (クレジットカード業界) のコンプライアンスや COPPA (子供のオンラインプライバシー保護ルール) など複数の業界に課せられる規制や指令もあります。コンプライアンスを示す必要性コンプライアンスの必要性が高まっている現在、信頼できる監査可能なコンプライアンス体制を確立するための整流化されたプロセスを定義することは、効率性と拡張性を実現する上で不可欠です。またこうした目標を達成する上で、高品質なデータへのアクセスは重要な意味を持っています。データガバナンスにおける強力なプラクティスとテクノロジーはコンプライアンスの確立に役立つだけでなく、コストを削減すると共に、データおよびプロセスへの高い信頼性のレベルを示す上で欠かせない、監査可能な環境を実現します。一般的に、コンプライアンスはデータガバナンス策定の大きな推進要因となります。本ホワイトペーパーでは、データガバナンスを活用してリソースへの投資を減らし、企業の俊敏性を向上させると共に、なによりも重要なトレーサビリティと監査可能性を実現する方法について説明します。また、最終的にコンプライアンス確立のプロセスを簡素化するデータガバナンスの 7 つのベストプラクティスを紹介します。一般的に、コンプライアンスはデータガバナンスに向けた取り組みのきっかけ (トリガー) となります。一方、データガバナンスへの投資には、顧客中心主義や高度なアナリティクスイニシアチブ、アプリケーションの移行／統合プロジェクト、データウェアハウスの最新化、クラウドの最新化など、企業にとって重要な他のデータ中心の要件へ柔軟に対応できる高い拡張性が必要です。 2 データガバナンスの基本全てのコンプライアンスのイニシアチブでは、さまざまな法規制とコンプライアンスに必要なデータとの関係を把握するためのプロセスに焦点を当てる必要があります。これには 3 つの側面があります。 1.コンプライアンスに必要な情報を判断。 2.コンプライアンスに必要なデータを取得、更新、使用するプロセスの忠実度の定義と監視。 3.情報が利用可能であること、アクセス可能であること、信頼できることを確認。データガバナンスは、これらの全てを実行するための基盤になり、下記をサポートするプロセスとツールを提供します。 • コンプライアンス確立のプロセスと要件に関連するデータの依存性の発見と解釈 • コンプライアンスの指令と要件を反映したビジネス用語、データポリシー、ビジネスルールの定義を明確化 • これらの解釈とビジネス用語、ポリシー、ルール定義を共有することで、コンプライアンスの確立に携わる関係者間で意思の統一を図り一貫性を確保 • データの選択と蓄積－必要なデータの内容と場所、操作方法、使用するための設定方法を理解 • 詳細な状況の確認－明確にしたビジネスルールを適用し、その遵守状況を検証 • 定義した評価基準と繰り返し実行可能なプロセスを使ったコンプライアンスレポートによって、法的義務に従った標準レポートを提供 • 採用したプロセスの信頼性を示し、監査可能性を実証コンプライアンスの確立を支えるデータガバナンスの策定は、単に組織図を作成したり、データガバナンス委員会のミーティングを設定したりすることだけではありません。規制に対応するデータポリシーやデータポリシーを監視するためのプラクティス、さらにデータポリシーの運用を整流化する適切なツールとテクノロジーの導入・統合プランをサポートする運用モデルとプロセスによって、個々の役割と責任範囲を肉付けする必要があります。 3 データガバナンスとコンプライアンスを成功へ導く 7 つのベストプラクティス最初に、コンプライアンス ( と他のビジネス推進要因 ) を確立するためのデータガバナンスの基盤について、下記 7 つの重要なベストプラクティスを説明します。 1.データの依存性の発見と文書化 2.データの可用性を確保するためのデータに対する認識の確立 3.コラボレーションを通じたビジネスグロッサリの定義 4.データリネージの追跡と文書化 5.データ品質の評価 6.モニタリングと制御の適用 7.レポート作成と通知機能の実装 1 – データの依存性の発見と文書化: 明示的／黙示的なデータの依存性とビジネスルールを明確に分けるほとんどのルールと規制は、データとの間に二重の依存関係があります。コンプライアンスを実証するには、指令へのコンプライアンスが確立されているかどうかを示すための、何らかのレポートを作成する必要があります。これはコンプライアンスの前提条件として明確にしておかなければならないデータとプロセスの明示的な依存性です。例: HIPAA 情報漏えい通知ルール (45 CFR §§ 164.400-414)。このルールでは、HIPAA の対象である企業とその取引先に、無保護の医療情報の漏えいが発生した場合に通知することが義務付けられています 1 。漏えいの被害者が 500 人を超える場合、医療機関は米国保健社会福祉省に通知すると共に、漏えいの具体的な情報を提供しなければなりません。これらの情報には、組織の名前、州、組織のタイプ、被害人数、報告日、漏えいのタイプ、漏えいした情報の場所、漏えいの発生状況の説明などがあります2。もう 1 つのタイプのデータの依存関係は上記のタイプほど明確ではありませんがより包括的なもので、企業の広範囲にわたるデータアーチファクト (中間生成物) を監視する必要があります。例: ドッド・フランク・ウォールストリート改革および消費者保護法 (ドッド・フランク法) の第 153 項 (f)。この項では、米金融調査局 (Office of Financial Research) の局長が金融機関を召喚し、金融環境の安定性への潜在的なリスクを監視する同局の業務遂行に必要なデータの提供を求めることができると規定されています3。この場合、対象の金融機関が所有し管理する全てのデータアーチファクトへの依存性を示す、あらゆる時期のあらゆるデータセットを要求できます。レポートの作成を規定する規制や契約には、明示的なデータの依存性と黙示的なデータの依存性の両方が存在します。多くのルールや規制は、レポートの作成に必要なデータ要素を明示的に規定していると共に、社内で共有しているデータの概念に合致する多くのビジネス用語の定義を提供します。 1 2 3 米国保健社会福祉省、Health Information Privacy「Breach Notification Rule」 (http://www.hhs.gov/ocr/privacy/hipaa/administrative/breachnotificationrule/) 米国保健社会福祉省、Office for Civil Rights Breach Portal (https://ocrportal.hhs.gov/ocr/breach/breach_report.jsf) 「The Dodd-Frank Wall Street Reform and Consumer Protection Act in full」 (http://www.gpo.gov/fdsys/pkg/PLAW-111publ203/pdf/PLAW-111publ203.pdf) 4 その一方で、規制には行間を読み文脈から推測しなければならない多くの黙示的な依存性が存在する場合があります。このような例には、データの保護、収集、プロビジョニングに関する一般的な指令や、より個別的な例として、社内の 1 つまたは複数のデータ資産で取り込んだデータの値に基づく計算方法を説明したビジネスルールなどがあります。これらの規制や外部ポリシーの文言をチェックして、データ資産との関係を確立している部分を分離する必要があります。これらの参考情報をコンプライアンス担当者と確認し、明示的／黙示的なデータの依存性とルールを明確にして、正確に文書化できるようにします。これによって、監査可能なコンプライアンスを整流化するガバナンス業務の優先付け、標準化、自動化を実行するプロセスを明確にできます。このステップを実行しなかった場合の影響このプロセスを実行しないと、コンプライアンスを実証する残りのプロセスが遅延したり、非効率的になったりするリスクが生じます。また、ポリシーの調査や該当するデータ検索を繰り返し実行する必要が生じる場合もあります。 2 – データの可用性を確保するためのデータに対する認識の確立: コンプライアンスに必要なデータ資産のカタログの作成ポリシー内の情報の依存性を明らかにして文書化したら、次は組織内で使用可能なデータ資産と、それらの情報をコンプライアンスプロセスに組み込む方法を明確にします。ほとんどの企業では、トランザクション処理や運用タスクの機能要件に対応できるようにアプリケーションシステムの高度化か進められていますが、これらのシステムをソースとして使用、処理、出力データの管理をアプリケーション設計者が考慮するようになったのは、最近のことです。しかし多くの組織では、どのようなデータセットが存在し、どのような情報を示しているのか、またデータへのアクセス方法に加え、これらのデータの最新性、完全性、正確性といった品質特性を把握している人物はほとんどいないのが現実です。結果として、コンプライアンスのデータを要求する連絡が来ると、その要求を満たすためのデータをどうやって収集してまとめることができるのか、その方法をあわてて見つけ出そうとすることになります。こうした状況を回避するため、アナリスト間で共有してコンプライアンスに必要なデータを見つけることができる、企業データ資産のカタログを作成し、管理します。このカタログには、アクセス可能なデータセットに関する次のような詳細情報を含めます。 • データセットの作成、読み取り、更新のためのビジネスプロセス • データセットが表す現実世界の概念 (「顧客」、「サプライヤ」、「アカウント」など) • データセットに保存されている属性名 • データセットの作成元 • データセットを担当するデータスチュワードの名前 • データセットの保存場所 • データへのアクセス方法 • データの読み取りに必要なアクセス権限 5 データの認識機能は、必要なデータを見つけ出し、収集するプロセスを簡素化します。いくつかの要件をリストアップすると下記のようになります。 • 組織間のコラボレーションをサポートするデータカタログを取り込み、維持するためのメタデータリポジトリ • データセットのメタデータを検証、文書化、更新するためのプロセス • データセットのメタデータの収集と管理のための適切な教育を受けたスタッフ • データセットとデータ要素情報のインデックスを作成する方法 • コンプライアンス要件に関連する用語を検索する方法このステップを実行しなかった場合の影響規制要件とコンプライアンスに必要なデータセットを明確にマッピングしないと、コンプライアンスプログラムの効率性が失われてしまいます。コンプライアンスレポートの提出が遅れる恐れがあるだけでなく、これらのデータセットへのアクセスの必要性を明確にしてカタログ化しないことで、新たなギャップが生じる可能性があります。このデータ認識機能を確立しておくことで、現在のコンプライアンス要件を満たすだけでなく、将来の電子情報開示 (e-discovery) におけるリスクを大幅に軽減できます。 3 – ビジネスグロッサリの定義: 共通の言語基盤を構築規制やポリシーを遵守するためには、精度と正確性が非常に重要になります。しかしほとんどの組織では、最も使用頻度の高い単語やフレーズでさえも、業務環境や部門間で具体的な定義が共有されていないのが現実です。こうした状況によってコンプライアンスの課題はさらに深刻さを増します。なぜなら、レポートに求められる正確な計算は、明確に定義されている入力データを基盤にしているためです。例えば、銀行の国際規制フレームワークであるバーゼル III の、NSFR (安定調達比率) の概念について考えてみましょう。資金や資本のソースがわずかに異なっているだけでも銀行の流動性資産に悪影響を及ぼし、結果的に破綻するリスクが増大するため、このフレームワークではリスクを軽減しながら資金調達構造を効果的に管理できる能力を実証することを銀行に求めています。バーゼル銀行監督委員会 (BCBC、通称: バーゼル委員会) は、バーゼル III のフレームワークを提供して監視すると共に、NSFR の算出についてのガイダンスを提供しています。同委員会は、「利用可能な安定調達額」の「所要安定調達額」に対する比率が、100% 超になることを求めています。利用可能な安定調達額とは、「NSFR が考慮する計画対象期間 (1 年に延長) において信頼できると思われる資本と負債の部分」として定義され、所要安定調達額は、「資金年限」、「資金タイプ」、「資金調達の相手方」、「銀行の動向」、「資産年限」、「流動的価値」などの多数の要因により影響を受けます。4 あらゆるコンプライアンス指令と同様にバーゼル III でも重要な財務的概念のビジネス用語が数多く使われているため、明確な定義が必要であると共に、これらの用語が社内のデータソースで使われている用語と一致していなければなりません。このためビジネス用語の定義を提案して同意するプロセスと、これらの定義と用語を共有のビジネスグロッサリに文書化し、管理する方法が絶対に欠かせません。 4 Basel Committee on Banking Supervision のコンサルティング文書「Basel III: The Net Stable Funding Ratio」 (http://www.bis.org/publ/bcbs271.pdf) 6 通常はメタデータ管理プラットフォームで展開するビジネスグロッサリには、多くの利点があります。例えば、次のような機能があります。 • ビジネス用語とそれぞれの定義の取り込み • 使用しているビジネス用語とそれぞれの用語に対応するデータ要素の概念との関係の文書化 • これらの定義とリネージを主要なコンプライアンス関係者と共有このステップを実行しなかった場合の影響このベストプラクティスの鍵となっているのは、1 つはビジネス用語、標準計算、ビジネスルール、プロセスの定義を取り込むこと、もう 1 つはこれらの定義に対する社内のコラボレーションと合意です。関係する全てのユーザーからのコラボレーションを基盤にしたフィードバックがなければ混乱が生じるだけでなく、コンプライアンスを実証するために作成したデータは整合性がなく不正確なものになってしまいます。このように不正確なコンプライアンスレポートは、罰金から逮捕まで、深刻な結果を招く恐れがあります。 4 – データリネージの追跡と文書化: データの「証拠保管の連続性」の管理コンプライアンスを確立するためのデータガバナンスの重要な業務には、効果的なデータの「証拠保管の連続性 (Chain of Custody)」の文書化があります。このプロセスは「データリネージ」と呼ばれ、データアーチファクト (中間生成物) の取得や作成からエンドユーザーによる使用、最終的なデータ処理まで、データのライフサイクルのさまざまな段階を通じてその流れを文書化します。このようなデータリネージの管理が明示的に規定されているコンプライアンス環境もあります。例えば、製薬業界の製薬会社や医療機器メーカーなどのサプライヤは、米国連邦規制基準のタイトル 21 (一般的な呼称は 21 CFR Part 11) に従う必要があります。この規制では、電子記録や電子署名を管理するための体制の確立、検証の実行、監査の実行、監査証跡の提供を製薬業界の企業に求めています。米国食品医薬品局 (FDA) は、21 CFR Part 11 によりコンプライアンスを監視しており、次のようなデータリネージに関する業界向けの明示的なガイダンスを提供しています5 (この部分を特に強調)。「個々の具体的な研究プロトコルにおいて、ソースデータの作成、変更、メンテナンス、アーカイブ、検索、転送にコンピュータ化システムを使用する各段階を明確化しなければならない。コンピュータ化システムは、(1) 具体的な研究プロトコルで使用するためにこれらのシステムに割り当てられたプロセスを満たすと共に (測定ユニットへのデータの記録や盲検試験など)、(2) データの作成、変更、メンテナンス、アーカイブ、検索、転送でのエラーを回避するよう (過失による非盲検試験など) 設計されている必要がある。」個人や個人データの保護に関するルールや規制 (HIPAA、PCI、EU データ保護規制、グラム・リーチ・ブライリー法など) に対し、データリネージはデータ暴露の潜在的なリスクを明確化するだけでなく、個人データ保護へのコンプライアンスを実証するためにどこにデータ管理を実装すべきなのか、その適切な場所を判断する手段を提供します。さらに、データリネージはコンプライアンスプロセスの継続的な維持管理において重要な役割を果たします。これは、特に規制やポリシーの変更時に高い価値を発揮します。コンプライアンスの分析担当者は、重要な全てのデータのタッチポイントを監視することで、規制やポリシーの変更によるシステムへの影響を評価します。恐らくデータリネージについて最も重要な点は、プロセスの信頼性について、その監査可能性を実証する役に立つことでしょう。データリネージによってデータの「証拠保管の連続性」を可視化することで、コンプライアンスレポートに使用しているデータの信頼性を損なうような変更がないことを明らかにできます。 5 FDA 社「Guidance for Industry Computerized Systems Used in Clinical Investigation」 (http://www.fda.gov/downloads/Drugs/GuidanceComplianceRegulatoryInformation/Guidances/UCM070266.pdf) 7 このステップを実行しなかった場合の影響データセットを処理する各段階のレポートが法律で義務付けられている場合 (21 CFR Part 11 など)、データリネージを文書化し、追跡できないとコンプライアンス違反になります。ただし、一般的にデータリネージの追跡は、情報の処理や使用時にデータセットが指定のビジネスルールに準拠していることを監視する機能の基盤となっています。データリネージの文書化のベストプラクティスに従わないと、コンプライアンスの判断とレポートに使うデータの品質を確保する監査可能なプロセスを実証する上で、非常に不利になります。 5 – データ品質の評価: 企業データ品質のベースラインを定義するプロセスを確立データの品質、データガバナンスの監査可能性、規制へのコンプライアンスの実証の間には、論理的なつながりがあります。簡単に言うと、信頼性の高いデータがコンプライアンスの基盤であるということです。しかし、データ品質の確保は簡単なことではありません。例えば 2015 FIMA (Financial Information Management conference) 調査レポートによると、調査対象となった回答者の 74% が、データガバナンスに最も関連性が高い特性はデータ品質であると回答しています。また回答者の約半数 (46%) が、データ品質はデータガバナンスプログラムで「最も難しい」部分であると指摘しています。6 ㈗♫䛾䝕䞊䝍䜺䝞䝘䞁䝇䝥䝻䜾䝷䝮䛻䛚䛡䜛᭱኱䛾䝁䞁䝢䝔䞁䝅䞊䛿䠛䝕䞊䝍䛾ရ㉁䛸䛿䚸㧗䛔ಙ㢗ᛶ䜢᭷䛧䚸౑⏝┠ⓗ䛻᭱㐺䛺ရ㉁䛷䛒䜛䛣䛸䜢ព࿡䛧䜎䛩䚹 74% 䝕䞊䝍ရ㉁ 33% 䝬䝇䝍䞊䝕䞊䝍⟶⌮ 33% 䜰䝘䝸䝔䜱䜽䝇䠋䝺䝫䞊䝖సᡂ 32% 䝯䝍䝕䞊䝍⟶⌮䠋䝕䞊䝍䝸䝛䞊䝆 30% ཧ↷䝕䞊䝍⟶⌮ 12% 䝕䞊䝍䝉䜻䝳䝸䝔䜱䝕䞊䝍䝥䝷䜲䝞䝅䞊䝕䞊䝍䛾ಖᣢ䠋䜰䞊䜹䜲䝤 5% 3% 図 1. FIMA:「Transforming Financial Institutions Through Data Governance」コンプライアンスに対応するデータの品質確保には、次の 3 つの方法があります。 1.既存データのベースラインを定義することで、コンプライアンス要件に対する現在の品質レベルを評価 2.潜在的な異常の特定と欠陥データが社内に入ってくることを防止するための管理体制を実装 3.例外管理のための透過的なデータ品質プロセスを実装 6 WBR Digital 社のホワイトペーパー「Transforming Financial Institutions Through Data Governance」 FIMA 2015 (http://now.informatica.com/en_transforming-financial-institutions-through-data-governance_white-paper_2882.html) 8 ベースラインの定義には、統計分析や潜在的異常値の特定を通じたデータセットの品質の客観的な評価が含まれます。この評価を、規制やポリシーに記載されているデータの依存性とビジネスルールに基づいてデータ品質の例外を測定する方法と連動させます。新たに見つかった全ての異常値は、リスクおよびコンプライアンスの分析担当者が検証し、これらの異常値がコンプライアンスに重大な影響を及ぼすかどうかを評価できます。データ品質の評価は、自動データプロファイリングツールを使えば簡単に実施できます。これらのツールは、潜在的なデータの問題と異常を幅広く評価する頻度分析と統計的指標を提供します。自動データプロファイリングによって、有効なデータと無効なデータを区別するインサイトを手にできると共に、許容可能なデータ品質の遵守状況をプロアクティブに数値化してレポートすることが可能になります。データプロファイリングを活用して繰り返し実行可能なデータ品質評価プロセスを標準化することで、コンプライアンスプロセスを簡素化できます。自動データプロファイリングによって、ビジネスルールへのコンプライアンスを実証するトレーサビリティと透明性を確立できるだけでなく、重大なリスクを迅速に特定し、回避することができます。このステップを実行しなかった場合の影響データアーチファクトがビジネスルールに準拠していないと判断された場合、指定のデータスチュワードが詳細に定義されたプロセスによって問題点を検証し、根本原因を特定しなければなりません。問題点を明らかにするこれらのルールを取り込み、完全に把握したら、既存のデータ品質プロセスへ統合して継続的なデータガバナンスルーチンの一部にしていきます。このように増分的な学習とフィードバックのループは、コンプライアンスプロセスの自動化を向上させていく上で欠かせません。この作業を行わないと、既存のデータの問題を放置すると共に、コンプライアンス管理の精度と信頼性を損なう新たな問題も見逃すという、二重のリスクを負うことになります。 6 – モニタリングと制御: 検証と監視の自動化整流化された監査可能なコンプライアンスプログラム実現の鍵となる要素は次の通りです。 1.適切なデータ資産から収集できるデータを活用し、コンプライアンスの目的を満たすこと 2.コンプライアンスを管理するプロセスが明確に定義されており、監査可能であること最初の目的を達成するには、手作業でデータセットを収集してレポートにまとめる方法や一連のビジネスルールを実装するアプリケーションをハードコード化する方法など、いくつかの方法がありますが、いずれもプロセスが 1 回限りで繰り返し実行できないか (多大な時間とコストを要することは言うまでもなく)、柔軟性に欠け不透明であることから、監査可能性の確立という目的には適していません。一方、自動化による方法ではデータセットをスキャンできると共にビジネスルールを適用してコンプライアンスレポートを生成できるため、最初の目的を達成できます。また、監査人が一連のビジネスルールとこれらのルールへの自動化ツールの適用状況を検証できるので、透明で質の高いコンプライアンスプロセスを確立できます。明確に定義されたビジネスルールの一例として、電子カルテを有意義に活用する米国医療プロバイダーのコンプライアンス環境が挙げられます。この目的の 1 つは、患者の希望言語、性別、人種、民族性、生年月日を電子的に記録することですが、コンプライアンスの指標では、全ての一意の患者の 80% 以上についてこのような統計データ値を記録することが求められます7。 7 有意義な使用目的と方法 (http://www.healthit.gov/sites/default/files/meaningfulusetablesseries2_110112.pdf) 9 この要件を満たすために、例えば各患者記録で該当するデータ要素が無効値でないこと、また米国行政管理予算局 (OMB) の人種および民族性に関する連邦政府データの維持、収集、提示に関する第 107.207 項 (f) の基準に従って人種と民族性を記録することを指定するルールなど、必要な一連のビジネスルールが明確になります。また希望言語は、ISO 639-2 の Alpha-3 の言語コードの使用を規定している OMB 第 107.207 項 (g) の基準に従って記録している必要があります (言語コードは ISO 639-1 の Alpha-2 にも含まれていることが必要) 。コンプライアンスレポートはデータへのクエリによって作成できますが、これには時間を要する場合があります。データプロファイリングツールを使うことで、ビジネスルールを検証しながらプロセスを簡単に自動化できると共に、レポート生成時に適切なビジネス環境を考慮するビジネスルールを定義することができます。これは、1 回限りのプロセスやハードコード化されたアプリケーションでは行うことができません。さらに、自動化によって予測可能性と透明化が促進されます。検証は定期的に実施できますが (例えば毎晩)、さらにプロアクティブなデータ品質管理を情報フロー全体にわたって実行し、新しいレコードの取得時や作成時にビジネスルールが適切に適用されていることをチェックできます。ビジネスルールのコンプライアンス要件を満たしていないデータが見つかった場合、状況を確認して対応するようにアナリストへ警告が通知されます。データプロファイリングツールを使った検証によって、高い信頼性の監査可能なコンプライアンスレポートを作成できます。また、データプロファイリングツールは、組織全体を通じて数多くの異なるコンプライアンスプログラムに活用できます。このステップを実行しなかった場合の影響自動化は、コンプライアンスプログラムの整流化に不可欠な要素です。コンプライアンス管理のプロセスで繰り返し実行でき予測可能な部分を自動化するツールがなければ、コストは増加し、担当者の時間は手作業の処理に浪費されることになります。 7 – レポートの作成と通知: コンプライアンスのためのデータガバナンスダッシュボードを実装ここまでに紹介した 6 つのベストプラクティスでは、繰り返し実行可能なデータガバナンスプロセスが、コンプライアンスのさまざまな課題の解決にどのように役立つかについて説明してきました。これらのベストプラクティスは、データコンプライアンス管理の自動化によってビジネスプロセスの向上を実現する、ターンキー環境を確立することを目的にしています。この管理環境は、情報が生成される全てのラインにわたり、データの規制要件やポリシーへのコンプライアンスレポートを継続的に実行するために使用できます。この目的を達成する環境が、データガバナンスダッシュボードです。個々のコンプライアンス要件をサポートするデータビジネスルールは 1 つまたは複数ありますが、これはポリシーのデータ依存性を確認することで明確にできます。ビジネスグロッサリとデータリネージのマッピングによって、どのシステムがどのデータに依存しているのかが明らかになります。ビジネスルールの遵守状況を監視および測定するビジネスプロセスには新たに定義したビジネスルールを追加でき、その測定値は各コンプライアンス要件に関連する「コンプライアンスデータマート」に取り込むことができます。コンプライアンスマネージャは、自社のデータ資産に関するポリシーへのコンプライアンス状況を視覚的に確認しながら、ダッシュボードを設定できます。これらのダッシュボードは、コンプライアンスのデータに関する要件が現在満たされているかどうかを表示します。検証プロセスでは、ドリルダウン機能を使うことでコンプライアンスの障害になっているデータアーチファクトを明らかにできます。また、データビジネスルールが満たされずコンプライアンスのリスクが生じた場合、指定のコンプライアンスアナリストとデータアナリストに通知することができます。データガバナンスダッシュボードによってコンプライアンスレポートの作成プロセスが簡素化されると共に、定期的にレポートを自動的に生成することができます。 10 ダッシュボードは監査可能性の要件にも対応しており、ビジネスプロセスの情報フロー全体にわたりビジネスルールの遵守状況をモニタリングし、その結果を収集し共有する機能によって、ポリシーへのコンプライアンスが組織内でどのように運用されているのかを明確に示すことができます。このステップを実行しなかった場合の影響データガバナンスに関するコンプライアンス状況を可視化することは、予測可能性と監視可能性の鍵となる要因です。規制に対応するビジネスルールの遵守状況を監視する環境を確立しなければ、コンプライアンスのリスクをいち早く把握することができず、対応措置を講じるために欠かせない根本原因を明確にすることが非常に難しくなります。次のステップへデータガバナンスの能力がなければ、コンプライアンスの目標を達成することは困難です。その場限りの対応や文書化されていないデータ管理プロセスでは、コンプライアンス管理を適切にサポートすることができません。コンプライアンスの必要性が高まるのに伴い、整流化したデータガバナンスへのニーズも急速に高まっています。本ホワイトペーパーでは、コンプライアンスプロセスを簡素化する 7 つのベストプラクティスについて検討してきました。これらのベストプラクティスでは、データガバナンスチームの能力を高めるツールとテクノロジーが欠かせません。これらのツールは、以下のようなコンプライアンス管理とレポート作成に不可欠なデータの使用と実際の運用環境との間のギャップを埋める役割を果たします。 • ビジネスプロセス管理: ビジネスプロセスにおけるデータの監視と検証を実行するための前提条件、それは実際のビジネスプロセスのマッピングとこれらのプロセスに対応する情報フローを明確にすることです。ビジネスプロセスのアナリストが組織のビジネスプロセスを文書化し、これらのプロセスの中で重要なデータが関わる部分に注釈を付けられるツールを導入することによって、エンジニアは監視と制御を行う最適な場所を判断できます。 • コラボレーティブなメタデータ管理: データの認識機能が重要な理由、それはコンプライアンスレポートの作成や管理の必要に応じて、コンプライアンス担当者がコンプライアンスに必要なデータセットはどれなのか、適切なデータスチュワードは誰なのか、利用できる参照データセットはどれなのか、規定のデータ標準を識別し、必要なデータへのアクセス方法を明確にするところにあります。メタデータ管理ツールをビジネスプロセス管理ツールと共に活用することで、データリネージの文書化と検証を簡単に実行することが可能になります。 • ビジネスグロッサリ: アナリストには、コンプライアンス管理のためにビジネス用語とその定義を取り込み、検証し、コメントを付加し、最終的に全ての関係者間で合意することを可能にするツールと手法も必要です。 • データプロファイリングとプロアクティブな検証: データの品質を評価する上で、標準化したプロセスにとって純粋かつシンプルな最良のツールが、データプロファイリングです。データプロファイリングツールの統計分析と頻度分析によって、潜在的な異常や問題のあるパターン、データの異常値を明らかにし、さらに詳細に分析することが可能になります。また、データに関するリスクが見つかったら、データスチュワードとコンプライアンス担当のアナリストへ即座に通知することで、データの制御能力も高まります。 • データ品質とマスターデータ管理: 運用および分析の全てのシステムとプロセスにわたり標準化した「真実唯一のバージョン」のデータを共有するためのマスターデータ管理ツールに加え、ビジネスルールやデータ標準化ルール、データ品質評価指標のレポート機能を統合したデータ品質管理ツールの完全なスイートによって、確立したデータ標準を最適に展開し適用することが可能になります。 11 • データマスキングとアーカイブ: 多くの規制では、機密情報の保護、保持、破壊に関する明確な要件を規定しています。インフォマティカについて Informatica Corporation (NASDAQ: INFA) はデータ統合ソフトウェアにおける世界 No.1 独立系プロバイダーの 1 社です。世界中の企業がデータへの投資から最大限の効果を手にし、最も重要なビジネスニーズを満たせることでインフォマティカに信頼を寄せています。業界初にして唯一の埋込み型仮想データマシン (VDM) である Informatica Vibe は、「一度マッピングすれば、どこにでも適用可能」というユニークな機能を備えたインフォマティカのプラットフォームです。現在、世界中の 5,500 社を超える企業が、インフォマティカのプラットフォームを利用して、オンプレミス、クラウド、ソーシャルネットワークに保有するデバイスデータやモバイルデータ、ソーシャルデータ、ビッグデータといった情報資産から最大限の価値を引き出し、活用することに成功しています。インフォマティカに関する詳細はインフォマティカ・ジャパン株式会社 ( 代表 : 03-5229-7211) までお問い合わせいただくか、インフォマティカ We b サイトこれらのベストプラクティスを実行するための最初のステップ、それはコンプライアンス実現のためのデータガバナンスがもたらすさまざまなプラスの効果をより深く理解することです。また、データガバナンスにおける自社の能力と成熟度を慎重に検証することで、運用データの管理とスチュワードシップ (データ管理標準) をプログラム的に改善し向上できる部分を明らかにし、コンプライアンスの飛躍的な整流化を実現することができます。詳細情報 www.governyourdata.com では、データガバナンスの詳細情報を掲載したコンテンツや他のリソースへのリンクと、組織のデータガバナンスの能力と成熟度の評価を支援するツールを提供しています。また、さまざまな業界の組織との比較における自社の能力のベンチマークテストも実施できます。 http://www.informatica.com/jp/ をご覧ください。 12 13 〒162-0845 東京都新宿区市谷本村町 1-1 住友市ヶ谷ビル 13 階電話: 03-5229-7211 (代表) FAX: 03-5229-7623 www.informatica.com/jp linkedin.com/company/informatica twitter.com/InformaticaCorp © 2015 Informatica Corporation. All rights reserved. Informatica® および Put potential to work™ は、米国およびその他の国における Informatica Corporation の商標または登録商標です。その他すべての企業名および製品名は、各社が所有する商号または商標です。 IN09_0715_02935