データガバナンスとコンプライアンスを成功へ導く 7 つのベストプラクティス ~金融、医療業界における厳しいコンプライアンスを克服するデータ管理とは?~

インフォマティカ・ジャパン編集部です。今回は、コンプライアンスを確立するプロセスを簡素化するデータガバナンスの 7 つのベストプラクティスを紹介します。

コンプライアンスの必要性が高まっている現在、信頼できる監査が可能なコンプライアンス体制を確立するために、正しく整備されたプロセスを定義することは、効率性と拡張性を実現する上で不可欠です。また目標を達成する上で、高品質なデータへのアクセスは重要な意味を持っています。一般的に、コンプライアンスはデータガバナンス策定の大きな推進要因となります。

データガバナンスとコンプライアンスを成功へ導く 7 つのベストプラクティス

  1. データの依存性の発見と文書化: 明示的/暗示的なデータの依存性とビジネスルールを明確に分ける

 コンプライアンスを実証するには、指令へのコンプライアンスが確立されているかどうかを示すためのレポートを作成する必要があります。例えば、HIPAA 情報漏えい通知ルールでは、HIPAA の対象である企業とその取引先に、無保護の医療情報の漏えいが発生した場合に通知することが義務付けられています。

多くのルールや規制は、レポートの作成に必要なデータ要素を明示的に規定していると共に、社内で共有しているデータの概念に合致する多くのビジネス用語の定義を提供します。

その一方で、規制には行間を読み、文脈から推測しなければならない多くの暗示的な依存性が存在する場合があります。このような例には、データの保護、収集、プロビジョニングに関する一般的な指令などがあります。

これらの規制を確認し、明示的/黙示的なデータの依存性とルールを明確にして、正確に文書化できるようにします。これによって、監査可能なコンプライアンスを整流化するガバナンス業務の優先付け、標準化、自動化を実行するプロセスを明確にできます。

  1. データの可用性を確保するためのデータに対する認識の確立: コンプライアンスに必要なデータ資産のカタログの作成

次は企業内で使用可能なデータ資産と、それらの情報をコンプライアンス・プロセスに組み込む方法を明確にします。

多くの企業では、存在するデータセットの種類とその情報の中身、データへのアクセス方法、これらのデータの最新性、完全性、正確性といった品質特性を把握している人はほとんどいません。結果として、コンプライアンスのデータを要求する連絡が来ると、その要求を満たすためのデータを収集して、まとめる方法をあわてて見つけ出そうとすることになります。

こうした状況を回避するため、アナリスト間で共有してコンプライアンスに必要なデータを見つけることができる企業データ資産のカタログを作成し、管理します。このカタログには、アクセス可能なデータセットに関する次のような詳細情報を含めます。

  • データセットの作成、読み取り、更新のためのビジネスプロセス
  • データセットが表す現実世界の概念 (「顧客」、「サプライヤ」、「アカウント」など)
  • データセットに保存されている属性名
  • データセットの作成元
  • データセットを担当するデータ スチュワードの名前
  • データセットの保存場所
  • データへのアクセス方法
  • データの読み取りに必要なアクセス権限

データの認識機能は、必要なデータを見つけ出し、収集するプロセスを簡素化します。いくつかの要件を次にリストアップします。

  • 組織間のコラボレーションをサポートするデータ カタログを取り込み、維持するためのメタデータリポジトリ
  • データセットのメタデータを検証、文書化、更新するためのプロセス
  • データセットのメタデータの収集と管理のための適切な教育を受けたスタッフ
  • データセットとデータ要素情報のインデックスを作成する方法
  • コンプライアンス要件に関連する用語を検索する方法
  1. ビジネス用語集の定義: 共通の言語基盤を構築

多くの企業では、最も使用頻度の高い単語やフレーズでさえも、業務環境や部門間で具体的な定義が共有されていないのが現実です。こうした状況によってコンプライアンスの課題はさらに深刻さを増します。なぜなら、レポートに求められる正確な計算は、明確に定義されている入力データを基盤にしているためです。

例えば、銀行の国際規制フレームワークであるバーゼル III のNSFR (安定調達比率) の概念について考えてみましょう。資金や資本のソースがわずかに異なっているだけでも銀行の流動性資産に悪影響を及ぼし、結果的に破綻するリスクが増大するため、このフレームワークではリスクを軽減しながら資金調達構造を効果的に管理できる能力を実証することを銀行に求めています。

あらゆるコンプライアンス指令と同様にバーゼル III でも重要な財務的概念のビジネス用語が数多く使われているため、明確な定義が必要であると共に、これらの用語が社内のデータソースで使われている用語と一致していなければなりません。このためビジネス用語の定義を提案して同意するプロセスと、これらの定義と用語を共有のビジネス用語集として文書化し、管理する方法が絶対に欠かせません。

通常はメタデータ管理プラットフォームで展開するビジネス用語集には、多くの利点があります。例えば、次のような機能があります。

  • ビジネス用語とそれぞれの定義の取り込み
  • 使用しているビジネス用語とそれぞれの用語に対応するデータ要素の概念との関係の文書化
  • これらの定義とリネージを主要なコンプライアンス関係者と共有
  1. データリネージの追跡と文書化: データの「証拠保管の連続性」の管理

コンプライアンスを確立するためのデータガバナンスの重要な業務には、効果的なデータの「証拠保管の連続性」の文書化があります。このプロセスは「データリネージ」と呼ばれ、データ アーチファクト (中間生成物) の取得や作成からエンドユーザーによる使用、最終的なデータ処理まで、データのライフサイクルのさまざまな段階を通じてその流れを文書化します。

恐らくデータリネージについて最も重要な点は、プロセスの信頼性について、その監査可能性を実証する役に立つことでしょう。データリネージによってデータの「証拠保管の連続性」を可視化することで、コンプライアンス レポートに使用しているデータの信頼性を損なうような変更がないことを明らかにできます

  1. データ品質の評価: 企業データ品質のベースラインを定義するプロセスを確立

信頼性の高いデータがコンプライアンスの基盤です。しかし、データ品質の確保は簡単なことではありません。

例えば 2015 FIMA (Financial Information Management conference) 調査レポートによると、調査対象となった回答者の 74% が、データガバナンスに最も関連性が高い特性はデータ品質であると回答しています。また回答者の約半数 (46%) が、データ品質はデータガバナンス プログラムで「最も難しい」部分であると指摘しています。1

datagovernance

FIMA:「データガバナンスに最も関連性が高い特性」

コンプライアンスに対応するデータの品質確保には、次の 3 つの方法があります。

  1. 既存データのベースラインを定義することで、コンプライアンス要件に対する現在の品質レベルを評価
  2. 潜在的な異常の特定と欠陥データが社内に入ってくることを防止するための管理体制を実装
  3. 例外管理のための透過的なデータ品質プロセスを実装

 

  1. モニタリングと制御: 検証と監視の自動化

整流化された監査可能なコンプライアンス プログラム実現の鍵となる要素は次の通りです。

  1. 適切なデータ資産から収集できるデータを活用し、コンプライアンスの目的を満たすこと
  2. コンプライアンスを管理するプロセスが明確に定義されており、監査可能であること

最初の目的を達成するには、自動化して、データセットを収集してレポートにまとめることでデータセットをスキャンできると共にビジネスルールを適用してコンプライアンス レポートを生成します。また、監査人が一連のビジネスルールとこれらのルールへの自動化ツールの適用状況を検証できるので、透明で質の高いコンプライアンス プロセスを確立できます。

コンプライアンス レポートは、データプロファイリング・ツールを使うことで、ビジネスルールを検証しながらプロセスを簡単に自動化できるとともに、レポート生成時に適切なビジネス環境を考慮するビジネスルールを定義することができます。さらに、自動化によって予測可能性と透明化が促進されます。

検証は定期的に実施できますが、さらにプロアクティブなデータ品質管理を情報フロー全体にわたって実行し、新しいレコードの取得時や作成時にビジネスルールが適切に適用されていることをチェックできます。

データプロファイリング ツールを使った検証によって、信頼性の高い監査可能なコンプライアンス レポートを作成できます。また、データプロファイリング ツールは、企業全体を通じて数多くの異なるコンプライアンス プログラムに活用できます。

  1. レポートの作成と通知: コンプライアンスのためのデータガバナンス ダッシュボードを実装

ここまでに紹介したベストプラクティスは、データ コンプライアンス管理の自動化によってビジネスプロセスの向上を実現するターンキー環境を確立することを目的にしています。この管理環境は、情報が生成されるすべてのラインにわたり、データの規制要件やポリシーへのコンプライアンス レポートを継続的に実行するために使用できます。この目的を達成する環境が、データガバナンス ダッシュボードです。

自社のデータ資産に関するポリシーへのコンプライアンス状況を視覚的に確認しながら、ダッシュボードを設定できます。これらのダッシュボードは、コンプライアンスのデータに関する要件が現在満たされているかどうかを表示します。検証プロセスでは、ドリルダウン機能を使うことでコンプライアンスの障害になっているデータ アーチファクトを明らかにできます。また、データ ビジネスルールが満たされずにコンプライアンスのリスクが生じた場合、指定のコンプライアンス アナリストとデータアナリストに通知することができます。

そして、データガバナンス ダッシュボードによってコンプライアンス レポートの作成プロセスが簡素化されると共に、定期的にレポートを自動的に生成することができます。

ダッシュボードは監査可能性の要件にも対応しており、ビジネスプロセスの情報フロー全体にわたりビジネスルールの遵守状況をモニタリングし、その結果を収集し共有する機能によって、ポリシーへのコンプライアンスが組織内でどのように運用されているのかを明確に示すことができます。

次のステップへ

今回、コンプライアンス プロセスを簡素化する 7 つのベストプラクティスを紹介しました。さらに金融、医療業界における厳しいコンプライアンスを克服するデータ管理に対する具体的なソリューションについては、以下のサイトをご覧ください。

医療業界向けソリューション
https://www.informatica.com/jp/solutions/industry-solutions/healthcare.html

保険業界向けソリューション
https://www.informatica.com/jp/solutions/industry-solutions/insurance.html

銀行および資本市場向けソリューション
https://www.informatica.com/jp/solutions/industry-solutions/banking-and-capital-markets.html

1 WBR Digital 社のホワイトペーパー「Transforming Financial Institutions Through Data Governance」 FIMA 2015