DX推進に潜む新たなプライバシー関連リスクと
企業が対応すべきファーストステップ

 

DX推進によるビジネス変革の裏には、技術の進展が副作用として生じさせた新たなプライバシーリスクが潜んでいる。新たなリスクの台頭と消費者によるプライバシー保護意識の高まりを受けて、プライバシーに係る各種法規制も厳格化の傾向にある。
今回のインサイトでは、企業がDX推進を円滑に進めるためにも知っておくべきDX推進に潜む新たなプライバシーリスクや法規制への対応を行うためのポイント、効率的かつ網羅的な見直しを行うための方法を解説する。

企業を取り巻くプライバシー関連の動向

DX推進によるビジネス変革と、変革の裏に潜む新たなプライバシーリスク
近年では、AIやIoT等のDXのめざましい発展を受けて、今までの常識を打ち破るような新たなビジネスやサービス等が次々と台頭してきており、企業を取り巻く環境は過去に例のないスピードで変化している。一方、既存ビジネスの変革の裏には、新たなリスク(消費者のプライバシーに係るリスク)が潜んでいる。

<AIやIoTによるビジネス変革の例>

分類 ビジネス変革の例 プライバシーリスクの例
AI
  • 個人のウェブ閲覧履歴やECサイトでの購買履歴等をもとに当該個人の趣味嗜好をAIで推測し、趣味嗜好に合致した広告を表示させることで、より低コストかつ効果的なマーケティングを実現
  • 企業は、従来の個人情報(姓名、電話番号等)に加え、個人の趣味嗜好等のデータも大量に保持することとなる。仮に漏洩の恐れがなくても、そもそも企業に保持すらされたくない等、保持するだけでプライバシーを傷つける可能性がある
IoT
  • ドローンを活用して上空から農薬を散布し、農薬散布に係る人的・時間的コストを大幅削減
  • ドローンのカメラで上空から自家の畑を撮影したつもりが、写真に隣家が映り込み、思わぬトラブルに発展する可能性がある

このような状況に拍車をかけるように、昨近では消費者によるプライバシー保護意識の高まりも見られるため、プライバシー保護対策を怠ることで、社会的信頼性の損失や収益悪化リスク等も顕在化しうる。

プライバシーに係る各種法規制の厳格化
このような新たなプライバシーリスクの台頭や消費者によるプライバシー保護意識の高まりを受けて、各国のプライバシー関連の法規制も、より厳格化の動きを見せている。

<各国のプライバシーに係る法規制の動向>

法規制 動向
GDPR
(欧州)
  • 欧州では既に1995年時点でEUデータ保護指令を採択していたが、当該指令は強制力も違反時の罰則もなく、近年拡大している新たなプライバシーリスク等も考慮されてなかったため、EEA域内の各種プライバシー法規制を共通化・厳格化するため、2016年にEU一般データ保護規則(GDPR)が採択、2018年5月に適用された
  • GDPRでは、EEA域外へのデータ移転に係る要件厳格化、データ保護影響調査の必須化、データ保護責任者の設置義務化、違反時の罰則厳格化などが盛り込まれた
  • また、GDPRを補完する法律として、2017年1月に欧州委員会よりePR(eプライバシー規則)が提案されている(2021年4月現在未採択)。ePRは、ネットワーク上で通信されるあらゆる電子通信データ※や端末上のデータの収集・処理に対し、消費者の事前同意を必須化する等、電子通信に係るプライバシー保護を目的とした法規制である(違反時の罰則はGDPRと同等)
 ※音声、画像、動画データ等のコンテンツデータ、およびCookie(クッキー)等のメタデータ
CCPA
(米国)
  • 米国では近年までは包括的なプライバシー関連法は存在しなかったが(金融記録や教育記録等、業界毎にプライバシー保護法が点在)、消費者によるプライバシー保護意識の高まりを受け、2018年6月に米国初の包括的なプライバシー保護法であるカリフォルニア州消費者プライバシー法(CCPA)が成立、2020年1月1日に施行
  • CCPAでは、プライバシーに係る消費者の権利が強調され、個人情報収集時や販売時の消費者への通知義務化、消費者からの個人情報の開示・削除要求への対応義務化、個人情報の記録管理義務化等が盛り込まれた
  • カリフォルニア州は米国最多の人口を誇り、州単独のGDPは3兆132億ドル(2018年、世界第5位)※に及ぶため、当該法律の施行は米国全体に大きな影響を及ぼしている。メイン州やニューヨーク州等でも類似の法案が提出されており、連邦法でプライバシー法案を成立させる動きも出てきている
 ※出典:Bureau of Economic Analysis, U.S. Department of Commerceより
個人情報保護法
(日本)
  • 2005年に「個人情報保護法」が施行されたが、DXの発展やそれに伴う新たなプライバシー関連リスクの台頭等の環境変化を受け、2017年の改正以降は3年毎に法律を見直すこととなった
  • 2020年6月の改正(2022年春施行予定)では、特に2019年に発生した、「学生の就活支援サイトが学生のウェブ閲覧履歴をもとに内定辞退率を予測し企業に販売していた問題」の再発防止を目的として、提供元では個人情報に当たらないが提供先で個人情報となる情報(個人関連情報)も個人情報と同様の制限が課せられる等、一層の厳格化が図られた
  • 他、個人情報漏えい時の個人情報保護委員会への報告・本人への通知義務化や、消費者による個人データの開示・削除・第三者提供停止に係る権利行使条件の緩和化、企業によるビッグデータの利活用を促進するための新たな制度(仮名加工情報)の創設等が盛り込まれた

企業に求められること

「規範・法律」「プロセス」「人・組織」「テクノロジー」の観点で網羅的な対応が求められる
新たなプライバシー関連リスクへの対応を怠ると、思わぬところで企業の成長を阻害することになりかねないため、確実な対応が求められる。ただし、体制を見直すだけ、システムを刷新するだけ、プロセスを見直すだけ等、片手落ちの対応では根本的なリスク低減にはならない。根本的なリスク低減のためには、 ABeam Security® で提唱している「規範・法律」(社内規定やルール等)「プロセス」「人・組織」「テクノロジー」※のすべての観点で網羅的な見直しを実施する必要がある。

<企業に求められる対応の一例>

分類 企業に求められる対応の一例
規範・法律
  • 社内のシステム開発スタンダード等にプライバシー保護やデータ利活用に係る規定を追加
    例:要件定義の段階でプライバシー保護を確保する規定(プライバシーバイデザイン)、消費者のプライバシーを保護する設定をシステムのデフォルト設定とする規定(プライバシーバイデフォルト)、個人情報を仮名加工情報として扱うための条件等
プロセス
  • 個人情報のCRUD処理(収集・利用・変更・削除)や、処置・対応(第三国へのデータ移転、消費者からの要求に基づいた開示・利用停止・第三者提供停止等)に係る業務フローやマニュアルの整備
人・組織
  • 個人情報の取り扱いプロセスにおける各部門・各担当の責任・権限の明確化
  • 新たな人員の調達・配置・教育(データ保護責任者の採用、欧州域内への代理人の設置等)
テクノロジー
  • 保有する個人情報の区分、物理的・論理的保管場所等の一覧化
  • 手作業では対応困難な処理の自動化(個人情報漏えい時等に漏えいした情報等をトレースできる仕組み等)

※参考: ABeam Security® が提唱する情報セキュリティ対策における4つの観点(Security Quadrant)

※参考: ABeam Security® が提唱する情報セキュリティ対策における4つの観点(Security Quadrant)

対応のメリット
これらの見直しを実施することは、プライバシーに係る各種法規制への違反リスクを低減するだけでなく、企業の収益拡大にもつながるだろう。

<プライバシー保護強化による収益拡大への寄与(例)>

分類 収益拡大への寄与(一例)
規範・法律
  • 仮名加工情報の利用に係る社内スタンダードが整備され(加工時に最低限満たすべき事項、削除情報等に必要な安全管理措置等)、社内でのビッグデータの利活用が促進されるため、より消費者のニーズにマッチした製品やサービスの提供につながる
プロセス
  • 個人情報の取り扱いプロセスが明確になり、社内での個人情報の分析・共有が促進されるため、新たな製品・サービスの検討やマーケティング戦略の改善が期待できる
人・組織
  • 個人情報の取り扱いプロセスにおける各自の責任・権限が明確になるため、製品部門やマーケティング部門等による一層のデータ利活用が期待でき、革新的なサービスの検討につながる
テクノロジー
  • 保有する個人情報区分が明確となり、マーケティング戦略へのインプット精度向上等、業容拡大につながる

対応ステップ
プライバシー保護強化を確実に遂行するためには、下記ステップで対応を進めることが望ましい。

プライバシー保護強化を確実に遂行するための望ましいステップ

自己評価においては、法律に準拠することが企業としては最優先であるため、プライバシーに係る各種法規制の条文単位で対応状況を評価する必要がある。その際に、日本国内のみでビジネスを行う企業であっても、海外からでも利用できるサービスを展開している場合等は、GDPRやCCPAの規制対象となり得るため、個人情報保護法に加えてGDPRやCCPAへの対応状況も評価することが望ましい。
また、各種法律への対応状況を評価する際には、単純に各条文への対応状況を確認するだけでは、課題の網羅的な洗い出しはできない。例えば、消費者からの個人情報の開示・削除要求等に対応するための窓口は設立したが、対象データの特定から消費者へ開示するまでの業務フローが整備できていない、開示・削除業務を実施する担当者に手順等の教育が行き届いていない等、片手落ちの対応となる懸念がある。

このような状況を回避するためには、自己評価を実施する前に、まずは評価項目を網羅的に洗い出す必要がある。例えば、当社が提供する「プライバシー法対応評価と対策支援サービス」では、Security Quadrantに基づき「規範・法律」「プロセス」「人・組織」「テクノロジー」の4つの観点で評価項目における自己評価を実施することで、全方位的な課題の洗い出しを行っている。また、当該4観点の勘所を抑えた当社コンサルタントが支援するため、自己評価を効率的に進めることができる。

まとめ

変化の激しい昨今では、競合他社による革新的な製品・サービス等の提供による既存市場の圧迫や、今までまったく想像もできなかった領域からの市場参入等、従来通りのビジネスだけでは生き残れないリスクがある。このような時代で企業が生き残るためには、積極的にDXを推進し、常に新たなビジネス機会の創出や革新的な製品・サービスの提供を実施し続ける必要がある。
一方で、新たなビジネスや製品・サービスは、新たなプライバシー関連リスクを伴うため、顧客のプライバシー保護強化にも取り組み続ける必要がある。顧客のプライバシー保護強化は、プライバシー関連リスクの低減だけでなく、大量の個人情報の分析によるマーケティング戦略の改善等、企業の収益拡大もつながるだろう。
このようなリスク低減・収益拡大を継続的にスパイラルアップするためには、まずは地に足をつけて、自社がどの程度プライバシー関連リスクに対応できているか、専門家の知見、支援等も活用した自己評価を実施したうえで、課題点を明らかにし、対応を進めることが必要となる。

関連ページ

page top