データライフサイクルにおいて、ライフサイクルを回してくれる人は誰でしょうか?組織のデータを誰が管理するのかを明確にしておかなければなりません。適切な個人によって実行、監督される必要があります。データオーナー(Data Owner)、もしくは資産オーナー(Asset Owner)とは、情報資産の管理についての最終的な責任を負っている人のことです。情報を分類し、セキュリティラベルを適切にマークし、データの機密性、完全性、可用性を確保するための保護手段を定義して、それを実装します。簡単に言うと、「このデータをどのように守り、どのように使うのか」ということを決定する人です。データオーナーは通常、社長、CEO、もしくは部門長になります。機密データを保護することになるセキュリティポリシーの実施に関して適切な注意を怠った場合、過失の責任を負います。
データオーナーは、データに関する責任はありますが、実際の作業員ではありません。日常的な運用責任はデータ管理者(Data Custodian)に委任します。データ管理者は、データ保護を目的とした日々のタスクを完了できるように操作し、バックアップやシステムテストなどを実施します。ちなみに、データオーナーとデータ管理者は、呼び方が似ており、どっちかわからなくなります。ここで、実業務をする「データ管理者」を英訳するとcustodian(カストディアン)というまあまあ聞きなれない英単語になりますので、これは英語のほうが紛らわしくていいかもしれませんね。また、データオーナーと言っていますが、データそのものの所有者は本人であるユーザーですから、間違えないようにしてください。あくまで、適切な管理の責任者です。ユーザーは、企業側から提示される同意内容にしたがって、自身の持つデータを預け、サービスを受ける人たちです。
補足ですが、データオーナーとシステムオーナーの違いを説明しておきましょう。データオーナーは、コンピューターに含まれるデータを保護する責任があります。システムオーナーは、コンピューターのハードウェアとソフトウェアを保護する責任があります。システムとデータは似ていますが、システムは仕組みのことで、データはその中を流れる水のようなものです。具体的に言えば、データベースソフトウェアを決定するのはシステムオーナーで、その中のデータに対する決定をするのがデータオーナーです。とはいえ、同じシステム内に共存することになるため、しばしば同じチームが両方の役割を持つこともあります。
ちなみに、組織内のロールではありませんが、一般データ保護規則(GDPR)で使われる役割の用語についても紹介しておきましょう。一般データ保護規則は、EU市民のデータを国外に持ち出さないように規制した規則です。今日ではさまざまなインターネットサービスが登場し、実際のデータの保管場所が海外サーバーであるケースも多々見受けられます。そうした場合に、国民のデータの流出は、権利や国益を脅かしますから抑止したいと考えるわけです。一般データ保護規則内では、データを管理・操作するシステムや組織を示すとき、データコントローラー、データプロセッサーという言葉が使われます。
例えば、ある企業が自社の従業員のデータを管理するのに、クラウドのアカウントデータベースサービスを利用していたとします。この時、データを扱う企業はEUにあっても、実際にデータを処理しているのはクラウド事業者であり、EU外という関係性になる可能性があります。そのため、ちゃんと規則の中で区別して定義してあげないといけないわけです。このケースの場合、データを扱う側であるEU内の企業はデータコントローラーと呼ばれ、実際にデータを処理しているクラウド事業者はデータプロセッサーに当たります。
#データオーナー #ユーザー #システムオーナー #上級管理職(シニアマネージャ) #CISO #ビジネスオーナー #データ管理者(データカストディアン) #セキュリティ専門家 #データコントローラ #データスチュワード #データプロセッサー