連載
» 2006年05月17日 12時00分 UPDATE

システム部門Q&A(31):部門のエゴによるデータ公開反対運動を回避せよ (1/2)

この連載では、いままで何度もデータウェアハウス導入による情報検索系システムの有効性を紹介してきた。しかし、現実にはセキュリティ面や自部門のデータを公開する不安から反対されるケースが多い。このような場合、どのように対応すればよいのだろうか。

[木暮 仁,@IT]

質問

データウェアハウスの有効性は分かりましたが、セキュリティ面などから反対され、中途半端になってしまいます。どうすればよいのでしょうか?

データウェアハウス推進担当者です。このシリーズでは、情報検索系システムを普及させることの有効性を主張していますが、現実にはセキュリティ対策からの慎重論や、自部門のデータ公開への反対論があり、中途半端なデータベースになっています。データ公開については、どのように考えればよいのでしょうか。


意見

 効果的なデータウェアハウスを作成し、利用をするには、部門を超えたデータ共有が必要です。

 当然、セキュリティ対策やアクセス権についての考慮は重要ですが、それが部門エゴによるものでは困ります。それを回避する方法には正攻法とゲリラ戦法が考えられますが、両方に通用する万能な銀の弾丸はないと思います。



データウェアハウス的利用では他部門情報が必要だ

 データウェアハウス的な利用が重要なことは、本連載の第8回第9回第14回などでも取り上げましたが、データウェアハウスを普及させる真の目的は、問題発見や仮説検証、課題解決を支援したい、そのようなアプローチを多くしたいことにあります。

 このような利用では、

  • ある情報を見て問題を発見し、次の情報を必要とするというように、必要な情報はイモヅル的に発見されるものであり、必要な情報は事前に分かっているのではない
  • 必要となる情報は、自部門に限定されたものではない。どの部門に関係する情報であるかも、事前には分からない

 という特徴があります。それで、データウェアハウスを円滑に利用するには、他部門のデータをいつでも自由にアクセスできることが求められます。

過剰なセキュリティ意識は困る

 技術的な対策はともかくとして、社内の不特定多数の人がネットワークを通してアクセスできる環境になれば、外部からの不正盗聴の危険性も生じますし、内部の人が情報漏えいをする機会も多くなるのは否定できません。

過剰なセキュリティ論には賛成できない

 しかし、セキュリティに留意することは健全なことなのですが、“過剰”なセキュリティ論は困りものです。データウェアハウスのような利用に反対するには、セキュリティを問題にするのが簡単です。

 過剰セキュリティ論者にかかれば、データウェアハウスに存在するデータは、どのようなデータであれ、第三者に漏えいすれば大問題だと主張することができます。売り上げデータの1レコードですら、そこと取引していることを競争相手に知られたら売り込みを掛けられてしまいますし、単価が入っていたら一大事だと主張します。極端にいえば、その漏えいが企業存亡につながるような主張になります。

 万全なセキュリティ対策を講じても、それが破られる危険は皆無にはなりません。危険を減らすためにセキュリティを強化するには、その費用が問題になるでしょう。そもそも、アクセス権限を持つ幹部や管理者が不正をしない保証はありません。

効用/危険のバランス論もあいまいだ

 このような問題を検討するには、情報入手による効用と情報漏えいによる危険の大きさを見積もり、適切なバランス点を見つけるべきだといわれます。そして、それらの大きさは、実現金額×実現確率により評価するのだといいます。これ以外に適切な方法論はないのでしょう。

 しかし、アクセス権限者が故意にせよ不注意にせよ、データを漏えいして、それが競争相手に渡り、深刻な戦略を講じる確率を見積もれといわれても困ります。また、自分の業務以外の情報を得ることにより発見できる問題は何か、その解決でいくらもうかるかといわれても、そもそも問題があるかどうかすら不明なのですから、見積もることはできません。結果として、水掛け論になるだけです。

アクセス権限を明確にできるか

 セキュリティ対策では、アクセス権限の明確化が重要だといわれます。ある特定のデータを業務上利用する必要がある人とそうではない人に分けて、アクセス権限を設定することが必要なことは分かるのですが、現実には、誰に何が必要かを明確にするのは、案外困難なものです。

r8image01.jpg

  職務機能が明確に定められており、その職務以外のことは何も知らなくてもよいというのであれば簡単です。しかし実際には、企業全般の状況をよく理解していることが重視されていますし、自分の業務だけでなく、組織の壁を越えて積極的な提案や行動をすることが求められています。それには、職務規定には明示されていない他部門の情報にもアクセスできることが必要になります。


 例えば、東京支店の人は東京支店の売り上げデータにはアクセスできるが、大阪支店の売り上げデータにはアクセスできないとしたら、商品の動きを自支店のデータだけから判断することになります。それを店舗・地域レベルまで細分化すれば、銀座担当の人は新宿の動向も把握できなくなります。

 他部門の情報が必要になるときには、しかるべき申請をして臨時にアクセス権限を得ればよいという意見もありましょうが、申請をするには、何らかの理由が必要になります。前述の例のように、それほど明確な目的があるのではなく、「ふと思い付いたので調べてみた」ようなことが問題発見につながることが多いのです。しかも、思い付いたときが欲しいときであり、申請などに時間を掛けていたら、発想そのものが消えてしまうでしょう。

       1|2 次のページへ

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -