日経ビジネスオンラインスペシャル

個人情報保護規制の世界標準 GDPRへの対応はリスクの可視化からデータ活用に向け一層の議論を

Managing Risks in the Age of Disruption創造的破壊の時代におけるリスク管理

インターネットに流通・蓄積される情報の飛躍的増大に伴い、個人情報がリスクにさらされ、経済的利益を得るためのサイバー攻撃が日々進化している。そうしたなか、企業が持続的に成長するためには、変化していくリスク環境へ適切に対処することが求められている。
ここでは「外部委託先のリスク管理」「サイバーセキュリティ」「個人情報のリスク管理」といったもっともホットな3つのトピックスを取り上げ、第一線のコンサルタントと理解を深めたい。

今年5月に、欧州連合(EU)「一般データ保護規則(GDPR)」が適用開始となるなど、世界的に個人情報保護規制がますます強化されつつある。企業は法規制に関するリスクを可視化し、適切な対応を取ることが求められる。一方で、医療やIoTなどさまざまな分野で個人情報の活用が進むなか、新たなビジネスをつくる前に保護対策ができているかを事前評価する必要性が高まっている。企業はこうした課題にどう取り組むべきなのか。個人情報保護対策を長年支援してきた梅澤泉氏に、EYでクライアントのリスク管理の高度化に取り組む嶋守浩之氏が聞いた。

嶋守 プライバシーを取り巻く環境は大きく変わろうとしています。2017年5月に改正個人情報保護法が施行されてから1年が経過しましたが、日本のクライアント企業の業務への影響はありますか。また、顕在化してきた問題などはありますか。

梅澤 日本で2005年に個人情報保護法が施行された時、多くの企業がその対応に戸惑っていましたが、昨年の5月の改正に関しては、基本的には大きな混乱はなかったという印象です。取り扱いの基本ルールがそれほど大きく変わっていませんので、改正による主要な差分について適宜アップデートするという対応がみられます。
 ただし、今回の改正では、いくつか新しい概念が提起されています。その中でも、「匿名加工情報」という概念は重要です。個人情報にある一定の加工を施すことで個人情報ではなくそうというもので、匿名化された情報という形をとることによって、ビッグデータとしての利活用を進め、社会の課題解決や公共の利益に役立てるのが狙いです。しかし、改正法の施行から1年たっても、まだそれほど匿名加工情報の活用が進んでいないというのが私の印象です。

嶋守 わかりました。匿名加工情報の話題については、後ほど改めておうかがいしたいと思います。もうひとつ、注目すべき法規制の動きとして、今年5月に施行された「欧州連合(EU)一般データ保護規則(General Data Protection Regulation:GDPR)」があります。ヨーロッパでビジネスを行う日本の企業に、GDPRはどのような影響を与えていますか。

GDPR対応に関するビジネスリスクを可視化せよ

梅澤 GDPRは、EUにおける新しい個人情報保護の枠組みであり、個人データの「取得」「処理」「移転」に関するルールを定めた規則です。1995年から適用されたEUデータ保護指令(Data Protection Directive 95)に代わり、EU加盟諸国に対して直接効力が発生する法規制です。

EY Japanが考える変革の時代における成長のキードライバー

 「取得」に関していうと、情報を管理する企業は、情報を提供する主体(個人)から同意をもらわなければいけないとか、主体に対し処理の目的や主体の有する権利といったさまざまな事項を明確に通知しなければいけないという取り決めがあります。
 「処理」に関しては、個人データに対して適切な安全管理措置を講じなければならないとか、情報漏えいが発生した場合にはその旨を監督機関に対し72時間以内に通知しなければならないといった厳しいルールがいくつか設けられています。
 「移転」に関しては、特にEUでビジネスを行っている日本企業は注意する必要があります。EEA(欧州経済領域)の域内から域外への個人データの移転は原則として禁止されており、例えば日本のように欧州委員会によって適切な個人情報保護措置が図られていると認められていない※国への情報移転に当たっては、企業は拘束的企業準則(Binding Corporate Rules)の策定、標準契約条項(Standard Contract Clauses)の締結など、適切な施策の下で一定の要件を満たす必要があるのです。
※ 2018年5月取材時点

嶋守 日本企業にとってGDPRへの対応は大きな課題ですね。対応を進めるにはどんな取り組みが必要でしょうか。

梅澤 一つには、本社と現地法人など海外拠点とのコミュニケーションをうまく図ることが重要です。普段からいろいろと連携が取れていれば、GDPRに対応するプロジェクトも比較的順調に進みますが、現地法人任せで事業運営をしているような会社だとなかなかうまくいかないケースが多いのです。誰に窓口になってもらい、どういう連携をしていけばいいのかという体制を構築するところでかなり手間取っておられるようです。
 もう一つ、GDPRのさまざまな規定に対して、何をどこまで対応するかという判断の基準とプロセスを明確にしていくことが大切です。こうした法律というのは、どこまでやればいいのかというさじ加減がなかなか見えてこない面がありますから。

嶋守 なるほど。規定に対応しないことに伴うリスクがどれくらいあるかを評価し、どの程度まで許容できるのかという判断を可視化すべきということですね。

梅澤 その通りです。ガバナンスという観点で言うと、企業の実務管理者は経営層に対して、ビジネスリスク上、GDPR対応がどれくらい重要なのかをきちんと説明することが重要です。GDPRという法律の大きな特徴のひとつに、違反時の制裁金の金額が非常に大きいという点が挙げられますので、もし何も対応しなかった場合、企業としてどのような影響を被ることになるのかを整理して、それを経営層に理解していただくことが非常に大事だと思います。

SNSにおける個人情報漏えい事件

嶋守 米国に目を移しましょう。SNSで膨大な個人情報が外部に流出した事件がありましたが、それを契機に、米国でも規制は強化されていくでしょうか。

EY Japanが考える変革の時代における成長のキードライバー

梅澤 そう思います。EUが個人の権利を尊重するというスタンスであるのに対し、米国の場合は、どちらかといえば個人情報の自由な流通、利活用に積極的な面がありました。しかし、その結果として、今回のような事件が起きてしまいました。議会で公聴会が開かれるなど、このままではいけないという空気が議員の間にも広がってきていると聞いています。ですからSNSなどを使って外部に情報が簡単に出ていってしまう現状に関しては、今後、何らかの規制がかけられると思われます。

嶋守 企業が個人情報の管理のために割くコストや人的資源がまだ不十分ということでしょうか。

梅澤 多くの企業がそう考えているようです。米国に国際プライバシー・プロフェッショナル協会(IAPP)いう団体があって、EYはこのIAPPと毎年共同でリサーチを行っています。その調査結果を見ても、ビジネスの中でセキュリティや個人情報の管理にかけるべき人員はまだまだ不足している、1年前に比べると要員は増やしてきている、という傾向が強いですね。ですから米国でも、やはりセキュリティを強化し、個人情報管理を充実させていくべきという認識が徐々に広がっているという印象を持っています。

あなたの会社がGDPRの準備に向けて実施していることは?

EY Japanが考える変革の時代における成長のキードライバー

あなたの会社ではGDPR関連業務へのサポート要員としてどれくらいの人員を追加雇用する予定ですか?

EY Japanが考える変革の時代における成長のキードライバー

“IAPP-EY Annual Privacy Governance Report 2017” Oct. 2017 より

医療や災害対策で期待される個人情報の利活用

嶋守 ここからは、個人情報の利活用についてうかがっていきたいと思います。梅澤さんの目から見て、利活用の進展が期待されるのはどんな分野だと思われますか。

梅澤 最も期待しているのは、医療の分野です。例えば、重大疾病と呼ばれるがんや心疾患などの治療に向けた開発、調査、研究に、個人の医療データは最も有効に生かされるのではないかと思っています。
 ただ、課題も少なくありません。重大疾病のような病気の治療開発というのは、国民にとって非常に重要な課題ですから、ぜひ進めてもらいたいというのは、皆さんに共通した意見だと思います。その一方で、患者の方の情報を一手に集めてデータベース化し、解析していくとなると、患者の方一人ひとりのお気持ちとかプライバシーに十分配慮しなければいけない。そこのせめぎ合いにうまく折り合いをつけていかなければ、こうした分野での利活用は思うように進まないと考えられます。
 こうすればいいという明確な判断に至りにくいのが実情で、一足飛びに解決できるような課題でもありません。十分に議論を深めながら、利活用の方向性を定めていくべきところだと思っています。

嶋守 公共の利益のために個人情報の利活用を進めていくという局面と、個人のために個人情報を保護しなければいけないという局面とのトレードオフが生じる、最も典型的な事例といえそうですね。医療以外の分野への期待はいかがですか。

梅澤 災害時における個人情報の活用にも注目しています。今、ほとんどの人がスマートフォンとか携帯電話などを持っていますよね。それに搭載されているGPSによって、個人の位置情報を得ることができます。位置情報を取得して分析することに関しては一定の制約があり、すべて自由にできるわけではないのですが、災害時については利活用することによって人命救助に役立てることが期待されています。
 かつて吹雪の中で遭難者が出たときに、消防から携帯電話会社に遭難者の位置情報を提供してほしいという要請があったのですが、位置情報は提供されず、結局、発見が遅れてしまったという非常に残念なケースがありました。そうした事故を受けて、電気通信事業者に対するガイドラインにおいて位置情報の提供に関する取り扱いが見直されたという経緯があります。
 また、東日本大震災のような大きな災害が起きたときに、被災者がどういう行動をとるのか、どのような経路をたどってどこに避難するのかといった分析を、GPSデータを使って行うことも検討が進んでいます。

ビジネスを始める前段階でのリスク評価が重要

嶋守 さまざまな分野で個人情報の利活用の可能性があることが見えてきました。期待が大きい半面、サービスを提供する企業にとっては、個人情報保護規制に違反するようなリスクがどこにあるのかを識別するのはなかなか難しい気がします。

梅澤 おっしゃる通りです。個人情報の利活用が進んでいるIoTの分野で事例をご紹介しましょう。
 日本でも2020年代前半をめどに全世帯への設置を目指しているスマートメーターですが、各世帯の電力消費量を分析するだけではなくて、その家庭の電力の使い方、起床時間や入浴時間などのライフスタイルまで分かってしまうといいます。米国では、スマートメーターからのデータを盗み取って留守の時間帯を把握し、空き巣に入ったというケースもあります。
 データを無線で飛ばす仕組みにおいては、きちんと暗号化しないと簡単に通信傍受されてしまうわけですから、スマートメーターのサプライサイドとしてはしっかりとしたセキュリティ対策を施す必要がある。個人のプライバシーに適切に配慮した製品をつくらないと、もはやビジネスは成り立たないということを認識しなくてはなりません。

EY Japanが考える変革の時代における成長のキードライバー

嶋守 企業は個人情報の利活用に関わる問題にどう対処していけばいいのでしょう。起きてしまったことに対処していくしかないのでしょうか、それとも、予見して対処することが求められるのでしょうか。

梅澤 そこがまさに、個人情報のリスク管理の核心といえます。リスクをある程度予見し、あらかじめ把握した上でビジネスモデルをつくるというのが基本です。
 じつはGDPRの中でもすでにこの考え方は取り入れられています。何か新しいビジネスをこれから始めるときには、どういう個人情報を取り扱い、取り扱う局面においては、どこにどういうリスクが潜んでいるのかをあらかじめきちんと分析する。これをプライバシー影響評価(Privacy Impact Assessment;PIA)と呼びます。こうした影響評価・分析を行うことで、設計段階でリスクの認識、測定、分析、対策といったプロセスを確実に踏むことができるのです。
 家電メーカーの中には、製品を開発するに当たり、まず社内のセキュリティ部門のPIAを通すことを社内ルールとして義務づけているところがあります。設計の段階でPIAを実施し、問題がないことを確認できなければ製品開発に進めないという仕組みをつくっています。
 同じことが、すべてのビジネスについて言えます。最初の段階で個人情報保護ができていなければビジネスに入れないようにする。そうした仕組みが世の中全体に広がると、プライバシーへの配慮が行き届いた社会ができるのではないかと期待しています。

嶋守 最後に、匿名加工情報についてうかがいます。改正個人情報保護法で提起されて1年、まだそれほど活用が進んでいないのはなぜでしょう。また、今後の活用についてはどう見ていますか。

梅澤 匿名加工情報として取り扱うためには、一旦匿名化した情報をもう一回元に戻す、これを「再識別」と言うのですが、再識別することができないような加工方法で加工しなければいけないという規制があります。そうした加工方法や、どこまで加工すれば匿名化されたことになるのかといった議論が十分に成熟していないことが、普及が進まない理由のひとつと考えられます。
 また、外部に漏れないような安全管理をする、匿名加工をした場合には情報の提供側と受領側に内容について公表を義務付けるといった数々のルールがあります。そうしたルールを適切に遵守するための運用が実務上定着しておらず、現場の負担になっていることも普及する上での課題なのではないかと思います。

嶋守 再識別化については技術の進展などもあり、永遠の課題といえそうですね。匿名化を完璧にするのは難しいため、匿名化の強度といった概念を導入することも考える必要があるかもしれません。

梅澤 匿名化すればするほど、強度を高めれば高めるほど、データの有用性が低くなってしまうことから、バランスのとり方が難しいのです。次世代医療基盤法という法律の中でも「匿名加工医療情報」という用語が出てきますが、たとえばレセプトデータや診療データといった医療情報をどのように加工し解析していくかというあたりが課題になっています。
 匿名加工すると生の医療データではなくなるので、医療の調査や研究に役立てられるようにするにはどうするかさまざまな意見が出ており、プライバシー保護にも配慮しながらデータとしての有用性を確保できるかどうかがポイントになってきます。いずれにしても匿名化がうまくいかないと、ビッグデータの利活用と産業の進展に影響を及ぼしますから、議論を深めていく必要があると思います。

  • 梅澤 泉

    EYアドバイザリー・アンド・コンサルティング株式会社
    データプロテクション リーダー
    パートナー

    金融機関、製造業、小売業、学校法人等の会計監査業務を経て、クラウドサービス、データセンターサービスを中心とした様々な事業会社におけるIT統制の保証業務や情報セキュリティ監査、システム監査に従事。現在はEYにおけるジャパン・データプロテクション リーダーとして、EYのグローバルネットワークを通じて各国のプライバシー法規制や個人情報保護管理に対する企業支援を展開している。

  • 嶋守 浩之(Hiroyuki Shimamori)

    EYアドバイザリー・アンド・コンサルティング株式会社
    リスク・トランスフォーメーション リーダー
    パートナー

    大手電機メーカーで国際的な人事業務を経験後、会計士に転身、監査法人で会計監査業務に従事。その後1990年代より20年以上にわたり、リスクマネジメントと内部統制を専門とする。官公庁及び日本を代表する多くの企業で、様々な規制リスク及びITリスク、特にシステム導入プロジェクトのリスク管理に携わっている。

Future Work Now

Managing Global Competitive Position

Maximizing Supply Chain Value

Managing Risks in the Age of Disruption

PAGE TOP