LINEの個人情報保管問題-「データガバナンス」とは何か?
今週の日経新聞「迫真」では、LINE社で発生した個人情報の不適切保管問題をネタとして、親会社であるZHDとLINEとの実質支配の力学が語られています。親会社からすると「グループ経営管理の難しさ」を痛感する具体的事例として興味深い内容ですね。
この「迫真」記事を読むと、今回の問題には様々なガバナンス上の論点があることがわかります。その論点のひとつとして、本日は「データガバナンス」について考えてみたいと思います。たとえば7月27日「苦悩のLINE(1)-いつか起こる問題だった」では、韓国での個人情報保管問題にせよ、中国の業務委託先企業が日本の利用者データを閲覧できた問題にせよ、LINE社では開発担当者以外には知らなかった可能性があり、これは同社における「データガバナンスの問題だ」と述べられています。
ところで、この「データガバナンス」なる定義はどのようなものなのか。そもそも、いったいどのようなガバナンスなのか。ということで、とりあえずGoogleで検索をしますと、
データガバナンスとは、組織が目標を達成するうえで情報を効果的かつ効率的に使用するための、プロセス、役割、ポリシー、標準、評価指標の集合を意味する単語です。 ビジネスや組織全体で使用されるデータの品質とセキュリティを保証するプロセスと責任を確立します。
と出てきます。重要なデータ保管の状況を開発担当者しか知らなかったということは、まさにデータのセキュリティを保証するプロセスに欠けていた、ということかと思われます。しかし上記の問題を「データガバナンスの問題」と捉えるのであれば、役員が知っていたらすぐに対策をとることが前提となるはずですが、果たしてそうでしょうか?
LINE社の役員の方々が、利用者データの保管場所や業務委託先企業の作業プロセスを知っていたとしても、何が悪いのかわからなかったのではないでしょうか。もしくは、たとえ問題だと認識したとしても、すぐに対策を打たなかった(有事の意識が欠けていた)という可能性はなかったのでしょうか。「こんな事態になっていますが、ZHDさんはご存じですか?」といった外部通報が親会社に届いたそうですが(おそらくLINEの社員による内部告発かと思いますが)、これはLINE社経営陣の感度が悪いからこそ外部に情報提供があったように推測されます。
上記の「データガバナンス」の一般的な定義からは逸脱しているかもしれませんが、ときどき情報漏洩事件を発生させた企業の危機管理のお手伝いをするなかで、一番問題だと思うのは「経営者が情報管理の重要性を認識していない」という点だと感じておりまして、私の中での「データガバナンス」の問題はむしろ「経営者は何がデータ管理上の問題なのかわからない」「たとえ漏洩の可能性はあったとしても、実際に利用者に損失が発生していなければ騒ぐほどのことではない」といった経営者の姿勢ではないでしょうか。
経営者自身に関心がないからこそ開発担当者(責任者)は問題と思われる事態を報告しないのではないかと。このあたり、真実はどうだったのか、LINE社の幹部の方にでもお尋ねしてみたいところです。
| 固定リンク
コメント