データガバナンスを「コンプライアンスの負担」から「競争優位性」へと転換する方法
Time to read:
データガバナンスを「コンプライアンスの負担」から「競争優位性」へと転換する方法
多くの組織にとって、データガバナンスは監査や事務処理と同じようなものです。つまり、必要なもの、コストがかかるもの、手間がかかるもの。
そして、「規制当局が義務付けているから行うもの」です。
しかし、その捉え方は時代遅れです。データガバナンスは、単にリスクを軽減するためのものではありません。正しく行えば、信頼を高め、パーソナライゼーションを加速させ、よりスマートなイノベーションを可能にします。
それは「ブレーキペダル」というより、むしろ「ハンドル」に近いものです。企業がデータガバナンスを活用して競争優位を築く方法を紹介します。
データガバナンスとは何か(そしてなぜ必要か)?
データガバナンスとは、適切なデータを責任あるやり方で収集・保存し、利用するのを保証するフレームワークです。そのためには、以下のことを把握しておく必要があります。
どのようなデータを保有しているか
データはどこにあるか
誰がデータにアクセスできるか
データがどのように使用されているか
シンプルに聞こえますが、実際には、これは現代のビジネスにおける最も困難な課題の一つです。
そのため、規制がそれほど厳しくない業界では、ガバナンスを「任意のもの」として扱いたくなるのも当然です。ヘルスケア関連の規制対象である、財務記録を扱っている、といった場合は別として、コンプライアンスに投資する必要があるのだろうか、と思うかもしれません。そうですよね?
あなたの業界が規制の対象か否かを、気にする顧客はいないでしょう。顧客にとって気になるのは、自分たちのデータを企業が敬意を持って扱っているか、ということです。
もしある企業が、例えばZachという顧客の嗜好(購入履歴、エンゲージメント行動、位置情報など)を把握していれば、その企業にとって大きな強みとなります。しかし、それには責任が伴います。顧客は、自分のデータが慎重かつ安全に、透明性を持って扱われると信じています。
結局のところ、規制が示すのは最低限の基準にすぎません。信頼が築く基準はそのはるか上にあります。
私たちが今いる世界
現代のコンプライアンス対応状況は、以下のように感じられます。
終わりのないチェックリスト
ほとんどの人が理解できない法的ドキュメント
断片化されたシステム
手作業による監査
何か間違いを犯すことへの恐れ
GDPR、CCPA、EU AI法といった略語を耳にすると、多くの人が不安を抱きます。どのボックスにチェックを入れたらよいか? どのポリシーを更新する必要があるか? 見落としているリスクは何か?
コンプライアンスは「罰せられないために行うもの」と化していますが、そうした考え方は組織の可能性を狭めてしまいます。
ガバナンスを後からシステムに組み込むことは、問題を招きがちです。製品開発チームの足を引っ張り、イノベーションか法令順守かという葛藤を生み、先を見越して計画するのではなく、事後対応的に修正するしかない状況になります。
しかし、データガバナンスへのアプローチにはもう一つ、より良いやり方があります。
私たちが築くべき世界
「必要最低限の基準は何か?」ではなく、こう問いかけてみてください。
「もし顧客がこの場にいるとしたら、責任あるデータ管理体制とはどのようなものになるだろうか?」
奇妙に聞こえるかもしれませんが、顧客もデータガバナンスのプロセスの一部だと想像してみると、すべてが変わります。その目的は、チェックリストを満たすことや政府を満足させること(顧客にとってはどうでもいいこと)ではなくなります。そこで重要なのは、信頼、尊重、透明性です。
例えば、自動車の整備士に何を期待するかを考えてみてください。車検の基準を満たすだけの最低限の整備をして欲しい、とは思いませんよね。あなたの車のタイヤを見た整備士が、「まぁ、技術的にはこのすり減ったタイヤも最低基準は満たしているので、顧客には何も言わないでおこう。もうすぐ冬で、これでは冬の道路を走れそうにないけど」と思ったとしたらどうでしょう。
説明を聞いてもあなたには完全には理解できないとしても、彼らの専門知識を活かして安全な整備をして欲しいと思うはずです。
貴社の製品を利用している顧客は、あなたを専門家と見なしています。システム、インフラストラクチャ、セキュリティについて、自分よりも多くの知識を持っていると考えています。そして、顧客の最善の利益のために誠意を尽くしてくれると信じています。
つまりガバナンスとは、罰金を逃れるための仕組みではなく、顧客の信頼に応えることなのです。
ガバナンスを「顧客体験」という観点から定義し直すと、すべてが変わります。より強力(より意図的)なガバナンスは、以下をもたらします。
データの信頼性が担保され、より迅速なパーソナライゼーションが可能になる。
データがインデックス化され分類されることで、より良い意思決定が可能になる。
システムに透明性が組み込まれ、企業への信頼が高まる。
ポリシーをワークフローに組み込むことで、長期にわたり運用負荷を軽減できる。
基準を満たす(または超える)ために必要なこと
現代の規制要件を満たすには、プライバシーポリシーを更新するだけではなく、構造的な投資が必要になります。最低でも、組織には以下が求められます。
経営陣とポリシーのアライメント(EPA): ガバナンスを法務部門だけに任せるべきではありません。経営陣の支援と、データの取り扱い方法に関する部門横断的な明確化が必要です。仮想フォルダにしまい込まれたドキュメントではなく、実際のシステムに対応づけられたポリシーが求められます。
専任チーム: ガバナンスを継続的に管轄する人材が必要です。データガバナンスにはセキュリティ、エンジニアリング、プロダクト、コンプライアンスも関係します。責任の所在を明確にすることが重要です。
データインデックスとデータカタログ: 見えないものを管理することはできません。最新のデータカタログは、収集しているデータ、データの保存場所、システム間のデータの流れ、データに依存しているシステムを可視化します。それらの情報が見えなければ、推測に頼るしかありません。
ベストプラクティスの組み込み: ガバナンスは、プロダクトやエンジニアリングのワークフローに組み込む必要があります。アクセス制御、暗号化、監査ログ、保存ポリシーなどは、標準装備されるべきものです。
これらは、GDPRやEU AI法などの規制への準拠に必要なものです。単なる事務処理ではありません。運用の成熟度を表すものです。
ただし、重要なのはこれだけではありません。上記のことをすべてを行ったとしても、最低限の基準を満たすに過ぎません。顧客はもっと多くのことを期待しています(そしてその権利があります)。
Twilioにお任せください。
コンプライアンスの先を目指す取り組みを、Twilioがどう支援するか
Twilioの役割は、コンプライアンスの負担を顧客に押し付けるのではなく、それを顧客にとって「シンプルなもの」にすることです。ビルダーが構築に集中できるよう、基礎となる複雑な部分をTwilioが引き受けます。
Twilioが提供するグローバルなコンプライアンス対応設計のインフラストラクチャが、180か国以上における企業の事業運営を支えています。
エンタープライズレベルのセキュリティ基準を満たすため、ISO/IEC 27001やSOC 2などの認証を取得・維持しています。
データ分離とアクセス制御を組み込んだシステムを設計しています。
- 企業が不要なデータ複製を行うことなく顧客データを活用できるように、Segmentを通じてゼロコピー型のガバナンス機能を提供しています。
- Twilioのリソース全体で行われたすべての変更をトラッキングできるように、Monitor Eventsを通じて監査ログを提供しています。
- データを暗号化して転送・保存しています。顧客のアプリケーションとTwilio間のネットワークトラフィック暗号化にTLS 1.2を使用しており、業界標準の暗号化アルゴリズムを用いて顧客データを暗号化して保存します。
何よりも重要なのは、「顧客のデータは、顧客自身のもの」ということです。
顧客から預かったデータを、Twilioが別の目的に転用したり、データマイニングを行ったり、自社の資産として扱ったりすることは決してありません。企業が責任あるやり方で自社のデータを管理できるよう、安全なインフラストラクチャとツールを提供すること、それがTwilioの役割です。
この区別は重要です。ガバナンスとはスチュワードシップ、すなわち責任を持ってデータを管理・運用することであり、それには所有権の所在の明確化が不可欠です。
Twilioではまた、AIシステムの仕組みに透明性を組み込んでいます。AI Nutrition Factsなどを企業に提供して、AIモデルと企業のデータとの相互作用の仕組みを理解できるようにしています。
突き詰めると、Twilioが目指すのは「ベースラインの引き上げ」です。つまり、企業がすべてをゼロから構築することなく、規制の最低基準を上回る水準で運営できるよう支援することです。コンプライアンスに必要とされる複雑な部分はTwilioが引き受けるため、自社のビジネス課題の解決に集中して取り組んでいただけます。
「負担」から「強み」へ
ガバナンスは、事後対応型である限りは「コストセンター」ですが、戦略的なガバナンスとすることで、他社との差別化を実現できます。
これからの10年で成功を収める企業は、単に優れたAIや最高のパーソナライゼーションエンジンを備えているだけではなく、最も高い信頼を獲得できる企業です。
顧客は自分のデータを尊重してくれる企業を選ぶ傾向にあり、その傾向はますます顕著になっています。規制当局は、創業当初から責任ある管理に取り組んでいる組織を高く評価します。社内チームもまた、最初からガードレールが明確であれば、より迅速に業務を進めることができます。
優れたガバナンスがもたらす効果
イノベーションを遅らせるのではなく、加速させる
パーソナライゼーションを制限するのではなく、強化する
その場しのぎではなく、永続的なコンプライアンスへの取り組みにより信頼を築く
確かに、基準の最低ラインはこれからも引き上げられていくでしょう。時代とともに規制も変化し、AI基準は厳格化されていくでしょう。しかし、細かい規則がどうであれ、信頼とは過去から現在、そして未来へと積み重ねていくものです。
問題は、データガバナンスが必要かどうかではありません。それを「我慢して従うもの」にしたいのか、それとも他社との差別化要因にしたいのか、ということです。