ガバナンスとBYODとクイーンメリー2号（CA Security Reminder）

CA Security Reminder は、コンシューマライゼーションが進行する企業情報システムの情報セキュリティとアイデンティティ管理について考えます。

CA Technologies の Robert Stroud によれば、「ガバナンス」という言葉は誤解されているということです。

--企業のITガバナンス標準を推進すべく、国際標準化機構のワーキング・グループの一員としてシドニーを訪れました。2008年、私はISO／IEC 38500:2008策定チームに加わっていました。この標準は、あらゆる組織や団体において効果的で効率的かつ規定に則したITの使用を推進することを目的として作られました。

オーストラリア、ニュージーランド、アイルランド、アメリカ、韓国、日本、インド、南アフリカ、オランダの代表者がミーティングには参加していましたが、「皆が共通に使用する略語が数多くある」という話になったことがありました。ある参加者が「BYOD」を例に挙げたので、私の頭には早速「Bring Your Own …」などで始まる言葉がいくつか浮かんできました。

・BYOD - Bring Your Own Drink
・BYOD - Bring Your Own Dice (サイコロを使ってゲームでしょうか)
・BYOD - Bring Your Own Dessert (デザート持参、これはいいですね)
・BYOD - Buy Your Own Drinks

携帯メールの普及によって、略語は日常生活の一部になりました。しかし、略語が何を意味するのか分かっているという思い込みは危険です。「ガバナンス」という言葉についても同じことが言えます。

「ガバナンス」は、管理活動と誤解/ 混同されがちです。ガバナンスは経営トップの責任範疇にあり、「ISACA Glossary of Terms 」では以下のように明確に定義されています。

「利害関係者のニーズ、条件、選択肢を評価したうえで、バランスがとれ合意された企業の達成目標が設定されるようにし、優先順位付けと意思決定を行って方向性を定め、合意された方向性と目標に対する成果とコンプライアンスのモニタリングを行う。」

要するに、ガバナンス組織が作業を直接管理するわけではないのです。なぜなら、作業自体は管轄外だからです。

今朝、シドニー港のサーキュラーキーにクイーン・メリー2が入港しているのを見て、ガバナンスの実例と言ってもよいのではないかと思いました。船長が「リーダーシップチーム」と協力して船の「ガバナンス」を行い、航路を指示する様子を思い浮かべてみてください。様々なチームが協力して指示を実行に移し、船長は常にその結果の船舶位置情報について報告を受けています。天候が悪いときは、情報を検討/評価して、状況にもとづいた指示が出されます。

つまり、真のガバナンスとは管理やタスクの実施ではなく、利害関係者のニーズに合った成果を出すことだと言えるでしょう。

効果的な企業のITガバナンスについては、ISACAウェブサイトに詳細情報が掲載されています。当サイトから企業のITガバナンスと管理のフレームワークであるCOBIT 5にアクセスしてご確認ください。

ISO WG8 ミーティングの参加者は全員BYODとガバナンスの定義を共有しているので、国際基準を作るという目前の問題に取り組むことができます。面白いものができると思いますので、ご期待ください。

（Robert Stroud）

筆者略歴：CA Technologies社ヴァイスプレジデント。同社複数部門のエヴァンジェリストを務めるかたわら、国際団体 ISACA 副代表として COBIT の作成において指導的役割を果たす。