先進テクノロジーを見極め今こそ経営基盤の再構築を

世界的に個人情報保護規制を厳格化する動きが進み、企業が負うべき責任も重くなっている。プライバシー保護に配慮しつつ、個人データを有効に利活用したビジネスを成功させるにはどう対策を講じていくべきか。KPMGコンサルティング ディレクターの大洞健治郎氏に話を聞いた。

KPMGコンサルティング サイバーセキュリティアドバイザリー ディレクター 大洞 健治郎 氏
KPMGコンサルティング
サイバーセキュリティアドバイザリー
ディレクター
大洞 健治郎

5月に迫ったGDPR施行 科される巨額な制裁金

今年5月25日、EU(欧州連合)でGDPR(General Data Protection Regulation:一般データ保護規則)が施行される。GDPRはEU(EEA)内の個人に係るデータの取り扱いに関して新たなルールを定めた法令。「域外適用」が導入され、EU域内に拠点を持つ場合だけでなく、日本などの域外から域内の個人に対し商品・サービスを提供する場合なども対象となるのが特徴だ。


 「GDPRはデータ主体(本人)に個人データのコントロール権を持たせることや、企業にアカウンタビリティーを求めることなどが柱となっています」と大洞氏は説明する。具体的には、個人データの取り扱いについての明示的な本人同意の取得、記録の作成・保持、事故発生時の72時間以内の当局への通知、データ保護オフィサー(DPO)の任命、プライバシーリスクに応じた対応などの規程が細かく定められている。違反した企業に対し、2000万ユーロ(約26億円)か連結売上高の4%相当額の高い方という巨額の制裁金を科すことでも注目を集める。


 大洞氏は「グローバル企業は5月までにGDPRを遵守した個人データの取り扱いができるよう社内ルールを規定し、グループ社員に周知・教育を行わなくてはなりません。それにはプロジェクトマネジメントやグローバル調整のスキルが必要です。しかしながら依然として、対応プロジェクトが進んでいない企業も見受けられます」と語る。


 残された時間は少ない。大洞氏は対応に手間取る企業に対し、「まずはゴールを明確に設定すべき」と助言する。そこから逆算し、いつまでに誰が何を決めるかを明らかにすることが大事という。例えば「5月にGDPRを遵守する社内ルールが整い、社員が理解している状態」をゴールに設定すれば、4月中旬までに経営会議で社内ルールの承認を得ること、その1週間前にドラフトを完成させること、1カ月前から関係部門で打ち合わせを始める作業などが必要だと逆算。具体的なスケジュールを組むことで、1歩目を踏み出すことができる。

態勢の見直しが競争優位につながる

世界で強化される保護規制 個人データ利活用の再構築を

目前に迫るGDPRへの対応に追われる日本企業だが、実は個人情報保護規制を厳格化する動きは欧州に限らず世界中に広がっている。日本では2017年5月に「改正個人情報保護法」が、中国では同年6月に「インターネット安全法」が施行された。米国でも「消費者プライバシー権利章典」の公表や連邦取引委員会の執行強化といった動きがある。個人データの国際移転を規制する法令は既に多くの国で整備されている。

 

法令改正が相次ぐ背景には、ビジネスのインターネット化・グローバル化の進展、IoT(モノのインターネット)やビッグデータ、AIの普及などで個人データの収集・利用の形態が大きく変貌したという事情がある。今や企業は様々なデバイスから閲覧、購買、行動などの膨大な個人データを継続的に集められるようになった。しかもそれらのデータはオンラインで瞬時に、世界中に流通可能。プライバシー保護のために企業が負うべき責任は重い。

 

一方、個人データを基に趣味・嗜好を分析すれば、企業はその人に合う商品・サービスを提供できる。今後、企業がビジネスを成功させるには個人データの有効な利活用が不可欠。GDPRへの対応を機に、企業は長期的視点でデータガバナンスを見直し、プライバシー保護の厳格化という世界の潮流に乗った、プライバシーリスクに対応する仕組みを整えることが必要だ。

 

大洞氏は「欧米では以前から『プライバシーバイデザイン』という考え方が提唱されています。新サービスや業務プロセスを導入する際に、プライバシーへの影響評価を実施し、設計段階からリスク低減策を組み込むというものです。GDPRも『データ保護影響評価』の実施を義務づけています。この仕組みは企業のプライバシー保護対策の骨格になり得るもので、確実に構築することが重要です」と指摘する。

 

KPMGコンサルティングはこれまでも多くの顧客企業に対し、データ保護影響評価の実施体制構築を支援してきた。大洞氏は「リスクの定義やリスクに見合ったコントロールの設計は内部統制の整備と共通する面があります。監査法人をグループ内に抱える当社はツールやメソッド、ノウハウを豊富に持っています」と説明する。

 

グローバルなネットワークを生かせる点もKPMGの強みだ。2015年には、メンバーファームが活動する154カ国のうち、主要23カ国から個人情報保護のプロフェッショナル約200人が集まる「プライバシーアドバイザリーグループ」が発足。定期的に会合を開き、プライバシー保護に向けた企業の管理態勢について議論を重ねてきた。

 

成果の一環として2016年、個人データを安全に管理・運用する仕組みを構築するための「グローバルプライバシーデータ管理フレームワーク」を開発。このフレームワークに基づき、顧客企業に対し、プライバシーデータ管理に必要な対応を評価・構想・導入・モニタリングという4フェーズで支援するサービスを提供し始めている。

 

「未来社会に企業が提供する商品・サービスは個人データと密接に結びついています。プライバシー保護の規制が強化されても個人データの利活用が縮小することはなく、むしろ拡大します。KPMGは個人データ管理態勢の戦略的な設計・整備を支援し、お客様の競争力向上を支援します」(大洞氏)

KPMGプライバシーデータ管理フレームワーク
ページトップ
KPMG
KPMGコンサルティング株式会社 kpmg.com/jp/kc
スマホ向けページを見る