(写真左)デロイト トーマツ サイバー合同会社 マネージングディレクター 情報セキュリティスペシャリスト 大場 敏行氏(写真右)デロイト トーマツ サイバー合同会社 シニアマネジャー 澁谷宏行氏
データ利活用がビジネスの成否を決める一つの要素になっている現在、「データ駆動経営」は企業において重要な課題になっている。ただ、データにまつわるリスクが複雑化する中、従来の考え方・手法だけでは今日の環境の中で適切な対応が困難になってきている。そこで不可欠なのが、データ・プライバシーにかかわるガバナンスの構築だ。本稿では、そのようなガバナンス強化のためのアプローチについて、デロイト トーマツ サイバー合同会社のプロフェッショナルが要点を語る。
自社の対応は十分か?日々増大するデータ&プライバシーのリスク
企業が取り扱うことができるデータの種類と量は近年、爆発的に増加しており、企業経営においてその利活用はビジネスモデル創出、製品・サービス開発、業務効率化などにもはや不可欠である。その傾向は業種やB to C、B to Bを問わず共通しており、収集・生成したデータは企業内で利活用されるばかりでなく、必要に応じて企業を越え、業種を越え、さらには国境を越えて広く流通し、社会全体に新しい価値を創出しているのが現在および近未来のトレンドと考えられる。
こうしたデータの面的な広がりと深化の中で、企業が取り扱うデータにはさまざまなものがあり、留意すべきリスクも多様化している。本人の特定が可能な個人データや一部の非個人データについては各国の規制の対象になる点で、それらに違反してしまうコンプライアンスリスクが挙げられる。また、特に個人にかかわるデータについては、顧客や従業員、あるいは社会の目から見て不適切な利活用だと判断されると、炎上事件による深刻なブランド毀損といったレピュテーションリスクにつながる可能性がある。規制を遵守していたはずの新規プロジェクトが社会の疑念・反発から潰えたケースも少なくない。さらには、特定の国においては、企業が有するデータやアクセス可能なデータに対して、国の政府機関による強制的なアクセスが認められており、個人データ・非個人データを問わずアクセス対象になるリスクーガバメントアクセスリスクがある。
特に規制対応にあたっては、自社がどのような種類のデータをどのように取り扱っているのかを正確に把握することが重要になるが、現実的には難しいものだ。例えば2021年にアイルランドのIT・通信企業が「データ収集に関する情報を理解しやすい形で提供していなかった」ことがEUのデータ保護規制であるGDPRに違反するとして、300億円以上の制裁金を科された。同様にデータ保護規制違反で巨額の制裁金が科された例はEUのみならず他の地域でも生じている。規制対応が十全だと思っていても、どこかに抜け漏れや理解の及ばなかった部分がないとは限らず、気づかなければ重大な損失につながるのが現実だ。
EU以外にも個人データへの規制は続々と施行されている。中国のIT3法(サイバーセキュリティ法・データセキュリティ法・個人情報保護法)や米国、アジアなど、世界各国・地域で異なる規制が施行されている。さらにはEUなどにおいては、非個人データに関する規制も見られ始めている。ビジネスを展開する国や地域それぞれの規制を十分に理解し、対応していく必要がある。
2つの事例から見るグローバル展開にまつわるリスクと対策の方法
ではここで、グローバルに展開する企業が実際に直面したデータにまつわるリスクとその解決策を2件、見てみよう。具体例をデロイト トーマツ サイバー合同会社(以下、デロイト トーマツ サイバーと表記)のシニアマネジャーである澁谷宏行氏に聞いた。
デロイト トーマツ サイバー合同会社 シニアマネジャー 澁谷宏行氏事例①:コンプライアンスリスクへの対応(製造業)
〈課題〉 多数の海外拠点を展開する大手製造業A社では、特にアジアの各国におけるデータ規制についての知見が十分とは言えず、規制違反を犯す可能性があることに不安を持っていた。対応すべき各国法令は1つとは限らず、法令以外のルールも多数存在している。しかも規制は個人情報だけでなく製品個々に関わるものも多数あり、拠点ごとに対応が必要だった。また国を越えた情報移転規制もあり、本社部門、各事業部門、各海外拠点との連携にも悩んでいた。
そこでA社は、この領域の知見が豊富なデロイト トーマツ サイバーに支援を依頼した。当該の国・地域の規制を十分に理解したプロフェッショナルがいて、対応ノウハウをグローバルで共有しているためだ。
〈解決策〉 「まず、海外拠点の事業内容・ビジネスモデル、商流を分析のうえ、関係する法令を調査しました。そのうえで、各海外拠点のコンプライアンス対応状況・リスクの評価手法を作成し、現地の規程・ルール類の整備評価、ヒアリングによる運用評価を実施しました」(澁谷氏)。その後、各拠点のコンプライアンス対応状況をもとに潜在的なリスクをヒートマップにより可視化した。そのうえで各拠点の意見や要望も踏まえ、本社部門の改善計画を作成し、各海外拠点の事業推進にあたって遵守すべき事項がまとめられた全社規程・ルールを整備した。さらにこれらの規定・ルールの維持・管理、および運用を推進する組織づくりやモニタリング体制の整備も行った。
「全体的なルールや体制づくりは共通であっても、例えば会計・人事システムをグローバルで導入する場合や新規サービスをグローバルに展開する場合などは、個別のケースについてリスクを検討する必要があります。この場合は、個別ビジネス、サービス、システムを対象にしたデータ処理の目的など、そのケースの背景や状況、国・地域に応じた個別の規制の違いを考慮して抜け漏れがないように対応し、最適なアーキテクチャ選択、改善計画・ロードマップ策定、オペレーション検討、現地法令対応手続きについて助言を実施しました」(澁谷氏)。
デロイト トーマツ サイバーが有する各国・地域の規制の要件・手続きに対する十分な理解と、規制要件に対するシステムへの機能・非機能要件および運用要件に関する知見をもとに推進できたことが、この事例のポイントと言ってよいだろう。
事例②:ガバメントアクセスリスクへの対応(製造業)
〈課題〉製造業のB社では、グローバル対象の会計システムおよびデータ分析システムなどを導入・運用するにあたり、どのようなシステムアーキテクチャを取るべきかに悩んでいた。
分散しているデータソースを集約することも課題の一つだったが、国によっては、当該国に保管するデータに対して政府によるアクセスを認める法令への対応が大きな課題となる。機密情報に海外政府がアクセスすることは、事業への影響ばかりでなく経済安全保障にも波及する可能性が懸念されており、これを考慮したシステムアーキテクチャを設計する必要があった。B社はそのための知見を補うべく、デロイト トーマツ サイバーにアーキテクチャ検討を依頼した。
〈解決〉デロイト トーマツ サイバーはまず、リスク分析の対象となるアーキテクチャを次の種別に応じて定義した。
・データ配置は当該国内か、国外か、国外であってもその国からのアクセスを許容するか
・クラウド(IaaS/PaaS/SaaS)利用かオンプレミス構築か
・取り扱うデータは個人情報か、その他の機密情報か
そのうえで、各アーキテクチャに関するガバメントアクセスリスク、コンプライアンスリスクの有無や内容を精査し、リスクを洗い出した。さらに各アーキテクチャについてシステム実装の方向性を検討。その観点の一例は次のとおりである。
・どのようなデータが配置できるか、できないか
・どのようなアクセスコントロールが必要か
・物理サーバーに対してどのような制御が必要か
・運用保守に対する要件はあるか など
これらの観点でアーキテクチャの方針を策定できたことにより、ガバメントアクセスリスクとコンプライアンスリスクに対応したシステム構築が可能になった。
「リスクの把握と対策方針を定めたことにより、クライアントはシステム戦略を意思決定することが可能になりました。その部分に貢献できたことが私どもの成果だと考えています」(澁谷氏)。
「守り」から「攻め」を実現するデータ利活用の3ステップ
では、上記のようなリスクを管理しながらデータを利活用していくために、企業がまず心がけるべきことは何だろうか。デロイト トーマツ サイバーのマネージングディレクターの大場敏行氏は「データは①個人データだけのケース、②個人データと非個人データの両方あるケース、③非個人データだけのケースの3通りで取り扱いを考えるとよい」とアドバイスする。それぞれに関連する企業課題と規制が異なるためだ(図1)。
デロイト トーマツ サイバー合同会社 マネージングディレクター 情報セキュリティスペシャリスト 大場 敏行氏
図1に見るのは最低限必要な規制対応の例であり、事業展開のために考えるべきことは他にも多々ある。3ステップからなる全体イメージを図2に示す。
〈企業としてのコンプライアンス〉規制対応は最低限必要だ。もしこれらを疎かにすると、規制違反の制裁、レピュテーションの低下を招く。データ&プライバシー保護における「守り」の部分であり、あらゆる企業に当てはまる最初のステップである。
〈事業継続のためのリスク管理〉最低限の対応ができた後には、ビジネスの継続的発展のためにリスクを効率的・効果的に管理する仕組みが必要となる。個人データの利活用に必要なプライバシー関連情報の取得や利用に関する本人の同意管理、自動化されたリスク管理などが挙げられる。これは情報流出などによるビジネス機会損失を防ぎ、訴訟による賠償に関わる説明責任を果たし、時には抗弁するために重要な施策となる。規制対応を超えたリスク管理はいわばデータ&プライバシー保護のベースラインになる。
〈デジタルトラストの確立による競争優位性・ブランド強化〉さらにそのうえで、データ&プライバシー保護戦略を確立し、データ保護のための技術であるPETs(Privacy-enhancing technologies)導入などの施策を通して、全体にガバナンスを浸透させていく態勢が整う。これが最終的に目指すところになる。
このようにステップを踏み、戦略を正しく立ててガバナンスを最適化する結果、規制の違反を防止することはもちろんのこと、レピュテーションリスクを避け、ブランドを強化することにもつながっていく。結果として、顧客の信頼をより得ることができ、より多くの顧客の獲得、ひいてはより多くのデータを収集・利活用することが可能になるといった「攻め」の部分も期待できるだろう。
さらに大場氏は「ガバナンス強化は、各国の規制やビジネスの事情に即して実施していく必要があります。しかも事業拡大・発展に寄与するものでなければなりません」と指摘する。「デロイト トーマツ サイバーにはサイバー攻撃などのセキュリティ対策を専門にするチームもあります。またグループ内には、セキュリティの専門家ばかりでなく、各セクターのビジネスや法律に関する専門家もいて、そうした専門家とのシナジーも掛け合わせて、個別のケースに最適なソリューションを提案できると自負しています」。
それぞれのビジネスによって、いま整備すべき対策は異なる。自社の現状と将来にとって最適な対策をコスト最適かつ迅速に図るためには、専門家の知恵と経験を活用しながら、全体を俯瞰して抜け漏れなく、整合性のある全体最適なデータ&プライバシーガバナンスに向かう道筋を求める必要があるだろう。それが「データ駆動」ビジネスを展開する一歩になるはずだ。
<PR>
デロイト トーマツ サイバー合同会社のサービス内容はこちら
デロイト トーマツ サイバー合同会社へのお問い合わせはこちら
