はじめに
ISOやNISTのような、海外のセキュリティ関連ガイドラインを参照すると、これまで情報の管理責任者として位置づけられていたOwnerとは別に、Steward(スチュワード)やCustodian(カストディアン)と呼ばれる役割が出てくるようになりました。
これらの役割について理解しておきたいと思います。
注)なお、本稿は筆者が文献の参照と経験に基づき独自に解釈した内容のため、認識が間違っている可能性があります。(誤りに気付いた方は、コメントいただけると幸いです)
データマネジメント
先ず、データを管理する役割が細分化された背景について考えます。
インターネット上でStewardやCustodianを検索すると、データマネジメント(ガバナンス)に関するページに行き着くことが多いためその意味を確認します。
一般社団法人 日本データマネジメント・コンソーシアム(JDMC)では、データマネジメントを以下のように定義しています。
一般社団法人 日本データマネジメント・コンソーシアム(JDMC)サイトから引用
データマネジメントとは、ビジネスの成長と成果のために「データをビジネスに活かすことができる状態を継続的に維持、さらに進化させていくための組織的な営み」によりデータを利活用することをいいます。
近年はデータドリブンと言われるようにビジネス上の様々な意思決定においてデータが重要視される傾向が強くなっており、例えばDXの成否もデータの精度に依るところが大きいと思われます。
上記のような背景があり、従来はOwnerが全て実施したり、或いは委任していた業務についてデータガバナンスの要求を満たすために職務の分離、役割と責任を明確にすることが必要になったのではないかと推測します。
データマネジメントに関しては、DAMA-I(Data Management Association International) により知識体系ガイド(DMBOK)がまとめられており、StewardやCustodianについても触れられているようです。詳しくはDMBOK*1や解説サイトにより確認することができます。
各役割について
次に、各役割の管理範囲について考えてみます。
前述のDMBOKでは、StewardとCustodianを同義語として扱っているようです*2。そのため、同一ガイドライン内で片方の言葉しか出てこない場合は同義と考えて良い可能性があります。
しかしながら、他の場面で明確に異なる定義を割り当てている可能性もあるため、念のためもう少し掘り下げます。
情報セキュリティ研究の分野で有名なカーネギーメロン大学の情報セキュリティ室では、情報セキュリティの役割を"CISO","Data Steward","Data Custodian","User"に分けそれぞれに対し、明確に責務(Responsibilities)を定義していますので簡単に紹介します。
カーネギーメロン大学の情報セキュリティ室ホームページより引用(抜粋)
Data Steward
データのライフサイクルの監督責任
・データに(例えば機密区分のような)適切な分類を割り当てる
・データカストディアンを任命する
・データの運用管理に関する基準と手順を承認する
・データアクセス基準を決定する
・データのCIA保護のためのセキュリティ管理策を確実に実施する
・データがどのように保管、処理、送信されるのか理解し、承認する
・リスク許容基準を定義し残留リスクを受容する
・法令・規制、組織内セキュリティ方針、契約上の要求事項の順守状況を把握するData Custodian
データの運用管理責任
・データがどのように保管、処理、送信されるのか理解し、報告する
・データのCIAを保護するための適切な管理策を実装する
・データの一貫した保管、処理、送信を確実にするための管理・運用手順を文書化し配布する
・データアクセス基準に基づくアクセスプロビジョニングを実施するDeepLにより翻訳したものを筆者が修正
まとめ
今回は、データマネジメントための役割であるStewardとCustodianについて考察しました。
上記二つの役割に、従来から情報の管理責任を負う役割として使用されてきたownerを加え、それぞれのイメージを考えました。
参考資料
本稿は、以下のサイトを参考にしています。より詳細な情報を得たい、正確性を重視したい方は以下を参照して下さい。
脚注
*1:本ブログ執筆時の最新版は、2nd Editionです。
*2:詳しくは、https://datacrossroads.nl/2020/08/18/designing-data-management-data-governance-roles/を参照願います。
