データカストディアン（Data Custodian）

データカストディアンとは、ひとことで言えば、データオーナーが定めたポリシーに従ってデータの技術的な管理・保護を実行する担当者です。たとえば、IT部門のシステム管理者がバックアップの実行、暗号化の適用、アクセスログの管理、パッチ適用といった日常的な運用を行う役割がカストディアンにあたります。データの分類レベルや保持期間を決定する権限はなく、それらはデータオーナーの責任です。カストディアンはオーナーの方針を技術的に実装する「実行者」であり、オーナーは「意思決定者」であるという役割分担を明確に理解しておくことがCISSPでは重要です。両者の連携が不十分だと、ポリシーと実装に乖離が生じてセキュリティホールになります。