「CIO賢人倶楽部」は、企業における情報システムの取り込みの重要性に鑑みて、CIO(Chief Information Officer:最高情報責任者)同士の意見交換や知見を共有し相互に支援しているコミュニティです。IT Leadersは、その趣旨に賛同し、オブザーバとして参加しています。同倶楽部のメンバーによるリレーコラムの転載許可をいただきました。順次、ご紹介していきます。今回は、KPMGコンサルティング ディレクター 大洞健治郎氏のオピニオンです。
個人情報保護に関するIT部門の役割と言えば、多くの方が情報漏洩対策を挙げるでしょう。漏洩を防止する仕組みや機能を社内システムに組み込んで維持・強化するのは基本だからです。しかし今、新たな役割が加わろうとしている、あるいは加えなければならないことを、皆さんはご存じでしょうか?具体的には次の4点です。
- 漏洩事故発生時の個人データ保護法制へのコンプライアンス対応
- 個人データの国際移転規制のためのアクセス制御
- ITサービスに係るプライバシー バイ デザインの実施
- 法令コンプライアンス対応自体のシステムサポート
耳慣れない難しい言葉が並ぶうえ、抽象的なので分かりにくいかも知れません。 しかし違反すると最大で売上高の4%もの罰金が課せられることで知られるEUの「一般データ保護規則(GDPR)」(2018年5月から施行予定)をはじめ、世界各国・地域の個人データ保護法制が大きく変わる中で、とても重要になっているものばかりです。以下ではそれぞれについて概説します。
漏洩事故発生時の個人データ保護法制へのコンプライアンス対応
GDPRでは漏洩が発覚した時点から72時間以内に、当局への通報が義務付けられています。昨今では同様に、限られた時間内に当局への報告を義務付ける例が多くなっています。米国の州法でもすでに幾つかタイムフレームを設定した法令が存在します。
しかし考えるまでもなく、これに対応するのは簡単ではありません。タイムリーな報告を行うためには、どういった基準で報告の要否を判断するのか、どういった報告ルートで誰が情報を集約して当局へ報告するのかといった手順や体制を、事前に明確している必要があるからです。当局への通報だけでなく、本人への連絡・説明も必要なケースがあります。
インドネシアでは本人への通知・説明を行う期限を設けていますし、オーストラリアには漏洩が疑われる状況を認識した時点から1カ月以内に実態調査することを求める法令があります。一方、保護法制が「域外適用」される問題もあります。例えば日本で漏洩事故が起きた時にEU在住者のデータが含まれていれば、GDPRの「域外適用」によりEU当局への報告が要求されるようなケースです。「この国で発生したインシデントの場合はどういった対応が必要となるのか」「この国の在住者データが含まれていた場合はどういった報告を行う必要があるのか」といった要件を、国別で整理しておかなければならないのです。
一口に「漏洩時対応」と言っても、このように対応すべき事項は多岐に渡ります。漏洩事故対応という観点で多くの企業がCSIRTの構築を進めていますが、対応項目の中に世界の個人データ保護法制へのコンプライアンスが盛り込まれているか、今一度点検し、整備する必要があります。加えて法務部門や外部専門家などとの連携を図り、常に最新のコンプライアンス要件が社内ルールに反映されるようにしておかなければなりません。
個人データの国際移転規制のためのアクセス制御
次は「個人データの国際移転規制」への対応です。日本でも2017年5月30日施行の改正法でようやく取り込まれましたが、海外主要国ではすでに海外移転規制を法令要件として整備済みです。各国ごとに若干の差異はありますが、自国内の個人データを海外へ移転する場合に本人からの明示的な同意をあらかじめ取得することや、移転先の国においても移転元と同じように本人の権利が保護されるような管理措置を講じること、といった基本的な要件は共通です。
この規制は、例えば海外のIT事業者のサービスを利用する場合にも適用されうるものですので、多くの企業には頭の痛い課題です。インターネットですべてがつながる時代、またクラウドや仮想化技術の活用が当たり前になっている時代にも関わらず、データの物理的な「場所」が問題となるからです。移転先を事前に限定できれば適用を受ける法令を特定し、対応方法も明確にできますが、そのためにはデータの流通範囲を物理的な視点で限定し、他のロケーションからのアクセスを確実に遮断しておかなければなりません。
IT部門には、こうした国際移転規制に対応できるアクセス制御の機能など、コンプライアンスに必要な管理機能をデザインに組み込むことが求められます。システム開発標準などに基づいてセキュリティ仕様の組み込みを行うのと同様、個人データ保護に係る法令コンプライアンス要件への対応についても、システムデザインの中に併せて組み込んでおく必要があるわけです。
もちろん社内システムの開発だけではありません。業務部門が外部のITサービスを利用する場合に当該部門のコンプライアンス対応をサポートするのもIT部門の役割でしょう。ビジネスをグローバル展開している企業にとって、海外移転規制への対応は優先度の高い事項の一つであり、IT部門には、そのサポートが強く求められるのです。
ITサービスに係るプライバシーバイデザインの実施
3点目は「プライバシーバイデザイン(PbD:Privacy by Design)の実施」です。PbDとは個人データを取り扱う新サービスや業務プロセスを導入する際に、プライバシーへの影響評価(PIA:Privacy Impact Assessment)を実施し、リスクが高いものについてはリスク低減策をそのサービスやプロセスの設計に組み込む、というものです。
GDPRにおいても、個人データのプロファイリングの実施やセンシティブデータの取り扱い時など特定ケースにおいてPIAの実施を義務付けており、十分なリスク低減が難しい場合には当局への連絡が必要です。GDPRでは、例えば個人データの漏洩を防ぐためにDLPツールでメール通信をセンサリングするような場合などにも、PIAの実施を要求しています。
IT部門においても、個人データを取り扱うシステムデザインの検討において、PbDの実践が求められているのです。リスク低減策の検討においてはシステム仕様の話だけではなく、本人への事前通知や同意の取得、処理の記録など、全般的な対応について検討することが必要です。
今後、個人データを活用したパーソナライズドサービスは一層広まるでしょうし、働き方改革などの取り組みの中で従業員の勤務状況をモニタリングするようなケースも増えるでしょう。特にグローバル企業の本社IT部門においては、ITサービス利用に関するPIAプロセスを標準手順化し、定常的に実施されるよう、広くグループ内に普及・浸透させることが必要となっています。
法令コンプライアンス対応自体のシステムサポート
世界の個人データ保護法制への対応は、年々その複雑さを増すばかりです。いったい何をどこまで実施すれば、法令違反を心配せずに個人データを取り扱えるのか? 業務部門にとっては極めてやっかいな状況です。当然、海外企業も同じ状況であり、煩雑な業務の効率化を図るべく、コンプライアンス活動を支援する様々なITソリューションが登場しています。こういったITソリューションを選定・提案し、業務インフラとして活用していくことが、IT部門に期待される新たな役割の一つとなってきています。
例えば、世界各国の関連法令要件を一元的に管理して対応の抜け漏れをチェックしやすくしたり、委託先評価を含む様々な監査記録を統合して評価作業の重複をなくしたりする、といったGRC(ガバナンス、リスク、コンプライアンス)ツールが、その例です。漏洩事故時の対応についても、国際移転を含む個人データの取り扱い状況や委託の記録などを管理して当局報告までの時間を短縮するものや、IAM(Identity and Access Management)などによるアクセス制限で国際移転自体を効果的にコントロールするものがあります。グループ全体でのコンプライアンス活動を効率化できるよう、適切なツールを利用するべきでしょう。
◇ ◇ ◇
以上、世界の個人データ保護法制への対応において、IT部門に求められる新たな役割について概観してきました。個人データの取扱いに関してIT部門に期待されている役割は非常に多岐に渡っており、かつ専門性を要する、難しいものが多くなってきています。
一方でビジネスの現場においては、従来の「紙や外部記憶媒体での情報管理や伝達」は急速に姿を消しつつあり、データ主体である「本人」とのインタラクションも含め、ほとんどの個人データの取り扱いがネットワーク上で完結するようになってきています。IoTやモバイルアプリなどで個人データの収集も容易となり、誰もがビッグデータを手軽に扱える反面、プライバシー侵害や大規模情報漏洩のリスクはどんどん高まっています。グローバル企業における世界の個人データ保護法制への対応において、IT部門の役割は今後ますます重要になってくるはずです。
KPMGコンサルティング株式会社
ディレクター
大洞 健治郎
※CIO賢人倶楽部が2017年6月1日に掲載した内容を転載しています。
CIO賢人倶楽部について
大手企業のCIOが参加するコミュニティ。IT投資の考え方やCEOを初めとするステークホルダーとのコミュニケーションのあり方、情報システム戦略、ITスタッフの育成、ベンダーリレーションなどを本音ベースで議論している。
経営コンサルティング会社のKPMGコンサルティングが運営・事務局を務める。一部上場企業を中心とした300社以上の顧客を擁する同社は、グローバル経営管理、コストマネジメント、成長戦略、業務改革、ITマネジメントなど600件以上のプロジェクト実績を有している。
- 情報システム紛争を回避するための「もめないコミュニケーション」(2024/11/20)
- デジタル化の光と影、高齢者を置き去りにしてはいけない(2024/10/09)
- 本来の生産性向上のために「無駄」を活かす(2024/09/13)
- キャリアアップに熱心で行動が早い!─ベトナム再訪にまつわる話あれこれ(2024/08/13)
- AI時代に求められるスキルセットを考察する(2024/07/11)