前回の記事では、GDPR実装にはITガバナンスのフレームワークであるCOBIT5が有効だとご説明しましたが、今回はさらに詳細について解説します。

なぜCOBIT5がGDPR実装に有効か？

COBITの正式名称はControl Objectives for Information and related Technology（情報と関連する技術の制御目標）です。

リスクとIT資源活用の最適化のバランスをとって、経営層が組織のIT資源を最大限活用して、ビジネスにおける最適な価値を生み出すことを支援するフレームワーク（枠組み）です。

企業や政府等の団体は、ステークホルダー（株主、経営者等）の要求すること（ニーズ）を充足するために存在しています。例えば、株価の最大化、売上の増加、予算（税金）を適切に配分し最大の政策効果を生み出すことなどです。ITガバナンスの目的は、その様なニーズを、IT資源を活用してサポートすることです。

しかし、実現したい「価値」というのは、ステークホルダーごとに違うので、利害や期待値の衝突が発生します。例えば、人事部は従業員の満足度を向上したいが、株主はとにかく利益率を上げたい、経営幹部は企業の持続性を維持したいなどです。

そこでITガバナンスは、IT資源の視点から、そういった利害の衝突を調整する役割として機能します。

COBIT5と各ステークホルダーのニーズ

COBIT5では、各ステークホルダーのニーズを、「事業の達成目標」から「IT達成目標」に落とし込み、さらに、「イネーブラーの達成目標」に落とし込みます。

イネーブラーとは、ビジネスプロセスや監査活動など、目標を実現する活動のことをさします。

COBIT5では7種類の「イネーブラー」が存在しますが、COBIT5５の特徴は、モノ、人、プロセス、情報といったお互いに作用するビジネスに欠かせないものの関係性を明確化し、IT目標を達成することで、各要素が達成しなければならない目標が「見える化」することです。

例えば、「GDPR標準の個人情報保護」を実装するIT目標は何か？ と考えた場合、まずは、ITで達成しなければならない目標をCOBIT5で明確化し、同時に達成しなければならないポリシーやプロセス、組織体制は何になるのか？ が明確になるわけです。

COBIT5の7種類の「イネーブラー」

1.　原則、ポリシーおよびフレームワーク
　要求される行動を日々のマネジメントの実践的なガイダンスに変換する手段である。

2.　プロセス
　文書化され組織化された確かな目標を達成し、IT関連目標をサポートするアウトプットの
　集合を生み出すための実践とアクティビティの組織化された集合を記述する。

3.　組織構造
　組織において重要な意思決定を行うための重要なエンティティである。

4.　文化、倫理および行動
　各個人のものであり、組織のものである。非常に多くの場合、ガバナンスと
　マネジメントのアクティビティの成功要因として過小評価されている。

5.　情報
　いかなる組織でも全体に深く浸透しているものである。すなわち、その事業体で
　生み出され使用されている全情報が取り扱われる。情報はその組織の運営を維持し、
　うまくガバナンスされるために必要とされるが、運用レベルでは、非常に多くの
　場合、情報が事業体そのものの重要生産物である。

6.　サービス、インフラストラクチャおよびアプリケーション
　情報技術処理とサービスを事業体に提供するインフラストラクチャ、技術
　およびアプリケーションが含まれる。

7.　人、スキルおよび遂行能力
　人とリンクし、全てのアクティビティがうまく完了し、正しい意思決定を行い、
　是正措置を行うために必要とされる。

出典: COBIT® 5 日本語版