
ヘルスケアデータ二次利用による企業価値向上を支える「デジタルコンプライアンス」の在り方(小野薬品)
小野薬品でデータ戦略を担当している山下 信哉氏をお迎えし、各部門を巻き込んだヘルスケアデータの二次利用におけるデジタルコンプライアンス体制の構築や、法規制、さらに視野を広げたELSI(Ethical, Legal, and Social Implications)リスクへの対応についてお話を伺いました。
2021-04-19
「デジタル化」とは、単にリモートワークやペーパーレス化を実現することではありません。真のデジタル化とは、IoT(Internet of Things)やビッグデータ、人工知能(AI)などの利活用で既存の業務を根本から変革することです。そして、そのデジタル化の中核を担うのがクラウドです。今後、クラウドの利活用が当たり前になる時代において、私たちはどのようにクラウドの「トラスト(信頼)」を考えていくべきなのでしょうか。日本マイクロソフト株式会社の片山建氏と、クラウド時代のトラスト構築を実現するための4つの枠組みについて議論しました。(本文敬称略)
*本対談はPwC’s Digital Trust Forum 2021におけるセッションの内容を再編集したものです。
対談者
片山 建 氏
日本マイクロソフト株式会社
政策渉外・法務本部 デジタル政策部長
川本 大亮
PwCあらた有限責任監査法人 パートナー
(左から)川本 大亮、片山 建 氏
川本:クラウド化は、多くの企業が取り組んでいるデジタルトランスフォーメーション(DX)の重要な技術構成要素の一つです。昨今の新型コロナウイルス感染症(COVID-19)の拡大でリモートワークや働き方改革が進む中、クラウドサービスの存在は不可欠になりました。一方、クラウドに関連するセキュリティインシデントのニュースも増加しています。そこで早速質問です。クラウドは信頼できますか。
片山:いきなり直球で来ましたね。答えは「Yes」です。というより「Yesでなければいけない」のです。そもそもクラウドになぜトラストが必要なのかを考えてみましょう。突然ですが、川本さんは、私の手作りの自動車と大手メーカーの自動車のどちらに乗りたいですか。
川本:片山さんには申し訳ないですが、大手メーカーです……。
片山:当然ですよね。それは川本さんが、大手メーカーが培ってきた技術と安全性を信頼しているからです。また、安全・安心な運転を可能にする環境も大切ですよね。同じことがクラウドにも言えます。新しい技術は、それが自社に利益をもたらすものであり、かつ安心して使用できるとの評価が下されない限り、利用されることはありません。つまりクラウドも、利用者が利便性と安全性に足るとの信頼を付与して初めて利用されると言えます。ですから、クラウドの技術ならびに、それを提供する事業者が信頼できることが、何よりも大切なのです。
それに加えて、サイバー空間におけるトラストをどう構築していくか。そこでマイクロソフトは、企業や組織がクラウドにおけるトラストを構築する枠組みとして「セキュリティ」「コンプライアンス」「透明性(トランスペアレンシー)」「プライバシー保護/認証」の4項目を掲げています。本日はこれらについて掘り下げたいと思います。
川本:すごく分かりやすい説明ですね。トラスト構築の必要性が腑に落ちました。
日本マイクロソフト株式会社 政策渉外・法務本部 デジタル政策部長 片山 建 氏
川本:セキュリティの話から始めましょう。マイクロソフトは2020年10月に「Digital Defense Report」を発表しましたね*1。
片山:はい。たいへんおこがましいのですが、サイバー空間における脅威のトレンドなど、とてもよくまとまっているレポートです。同レポートでは「サイバー攻撃の質的変化」を指摘しています。過去のサイバー攻撃は個人の愉快犯によるものが多数を占めましたが、時が経つに連れて、組織化されたグループによるオンラインバンキングなどを狙った金銭盗取が徐々に目立つようになりました。さらに近年では、国家レベルの組織が関与していると思われる大規模かつ巧妙なサイバー攻撃が顕著になっています。
川本:知的財産の盗取はもちろん、言論の弾圧や他国の重要インフラの攻撃、都市機能の停止を狙ったものまで、さまざまなケースが報告されていますね。
片山:例えば、2017年にランサムウェアの「WannaCry」が猛威を振るいました。これには北朝鮮の関与・帰属が確認されました。また、2018年に世界アンチ・ドーピング機構(WADA)にサイバー攻撃を仕掛けたのは、「Strontium」というロシアのハッキング集団だったと言われています。
川本:これは、大変な問題でしたよね。WannaCryについては、すでにサポートが終了しているOS(Operating System)の脆弱性がトリガーとなって、残念ながら感染が拡大しました。Strontiumの攻撃被害に遭ったユーザーは、誰でも推測できるようなパスワードを利用したということも原因のようです。サイバー空間の脅威と戦うために、マイクロソフトは定期的にセキュリティ修正プログラム(セキュリティパッチ)を提供し、アップデートを呼びかけていますね。
片山:はい。以前、川本さんとお話をさせていただきましたが、「Cyber Hygiene」(サイバーハイジーン)も重要ですね。これは「サイバー空間を衛生的で健康に保つこと」を念頭に、個々のユーザーがウイルスに感染しないよう心掛け、セキュリティ確保に努めるよう行動することです。攻撃手口が巧妙化・複雑化する中、こうした基本的な対策が一層重要になるのです。
*1 Microsoft Digital Defense Report
https://www.microsoft.com/en-us/security/business/microsoft-digital-defense-report (Microsoft.comに移動)
PwCあらた有限責任監査法人 パートナー 川本 大亮
川本:次にコンプライアンスについてお聞かせください。
片山:これは、さまざまな国際規格や国の制度に遵守することを指します。事業者は「クラウド セキュリティ マーク」や、政府情報システムのためのセキュリティ評価制度である「ISMAP(Information system Security Management and Assessment Program)」などの外部評価を受けることでクラウドサービスの安全性を立証することが、トラストを構築する上で重要です。
日本政府は2018年に「クラウド・バイ・デフォルト原則」を宣言し、政府情報システムはクラウドサービスの利用を第一候補として、その検討を行う方針となりました。ISMAPはそのための評価の仕組みですが、民間企業をはじめとするクラウド利用者が安全なクラウド事業者を選ぶ際にも、参考になる指標です。
川本:クラウド セキュリティ マークとISMAPはいずれも日本独自のものですが、米国には同様の制度として「FedRamp(Federal Risk and Authorization Management Program)」があり、それ以外の国にも同様の制度があります。こうした制度は、クラウド事業者のセキュリティに関する取り組みを可視化するという意味でも重要です。
そう考えると、こうした評価制度の取得状況を確認することは、クラウド事業者が「トランスペアレンシー」をどのように捉えているかを知ることにも通じるのではないでしょうか。
片山:そうですね。自社が保有するデータをどのように捉えて行動しているのか、またどのように取り扱っているのかを、分かりやすく明確に説明することが大切だと考えます。マイクロソフトの場合、皆様のデータは皆様のものです。お客様のデータはお客様自身がコントロールすべきと考えているため、マイクロソフトは政府または法執行機関にデータを開示することはありません(お客様からの指示があった場合または法律で要求される場合を除く)。
川本:最後にプライバシーについて取り上げます。クラウドに対するトラストを量る上で利用者が気に掛けることとして、事業者のパーソナルデータ(個人情報)の利活用と保護のバランスが挙げられます。欧州の一般データ保護規則(GDPR)が個人データを取り扱う事業者に対して厳格な義務を課しているように、個人情報保護のための適切な運用が今後、ますます求められると考えられます。マイクロソフトのクラウドは、GDPRに対応していますね。
片山:そのとおりです。GDPRは世界中で最も厳格な保護規則を持つと言われています。データ管理者や処理者に向けた多くの義務規定があるほか、データ主体(ユーザー本人)に対しては、アクセス権、訂正権、忘れられる権利、データ・ポータビリティ権など、さまざまな権利が保障されています。デジタル時代の個人情報保護と利活用のバランスの基準となる規則と言えるGDPRに対応することが、トラストを構築する上で非常に重要であると考えています。
川本:日本の個人情報保護法への対応はいかがですか。
片山:日本では2020年6月に、同法律の一部改正が国会で可決されました。これにより、技術革新を踏まえた保護と利活用のバランスや、越境データの流通増大に伴う新たなリスクへの対応が可能な内容になっていると言われています。
川本:越境データに関しては、2019年1月に安倍晋三首相(当時)が世界経済フォーラム年次総会(ダボス会議)で、データ流通に求められる「Data Free Flow with Trust(信頼性のある自由なデータ流通)」を提唱されました。
片山:はい。まさにトラストですね。Data Free Flow with Trustのコンセプトとして、グローバルで自由なデータ流通の重要性が挙げられますが、トラストをもって流通することも大事である、との考え方ではないかとも思います。それを各国の法制度でサポートすることも大切と考えます。
川本:EUは2019年1月、日本に対して「十分性認定の取得(Adequacy Decision)」を行いましたよね。
片山:はい。これはGDPRが求める越境データ移転の仕組みで、日本とEUとの間ではある意味、安心して越境データを扱えるようになったことを指します。実はGDPRが施行された2018年以降、「十分性認定の取得」が行われたのは日本だけです。「日本とEUは個人情報の利活用と保護規則水準が同レベルであり、信頼できる。だからデータを越境させられる」と捉えることができます。日本では2020年6月に、個人情報保護法の一部改正が国会で可決されました。同法が全面施行される2022年に向けて今から準備を進めることも、トラスト構築における大きな役割を果たすのではないでしょうか。
川本:少し法律から話題を変えますが、「アカウンタビリティ」という概念もトラスト構築において大切ではないでしょうか。よく「説明責任」と訳されますが、片山さんはどうお考えでしょうか。
片山:GDPRにもアカウンタビリティに関する条文がありますし、重要だと思います。アカウンタビリティを保障する方法の一つとして、国際規格への準拠が有用です。例えば「ISO/IEC 27701 プライバシー情報管理システム(PIMS: Privacy Information Management System)」です。GDPRなどを含むさまざまなプライバシールール・規制に対応できる包括的な運用・管理の概要を示しています。
川本:お話を伺っていると、アカウンタビリティは「説明責任」に留まらないように感じます。
片山:説明責任に相当する英語は「Liability」ですから、意味が異なりますね。「Accountability」をそのまま「アカウンタビリティ」と解釈していただくことが適切だと思います。
川本:クラウドを安全に利用する上でのセキュリティを検討し、コンプライアンスとトランスペアレンシーを実証しながら、プライバシーさらにはアカウンタビリティもしっかりと担保する。こうした価値観を利用者と事業者で責任として共有することが、クラウド時代のトラスト構築に大切であると実感しました。本日はありがとうございました。
小野薬品でデータ戦略を担当している山下 信哉氏をお迎えし、各部門を巻き込んだヘルスケアデータの二次利用におけるデジタルコンプライアンス体制の構築や、法規制、さらに視野を広げたELSI(Ethical, Legal, and Social Implications)リスクへの対応についてお話を伺いました。
アイデンティティ(ID)管理のソリューションが求められる背景や導入の要点、やってしまいがちな失敗とその対策などについて、ID管理を手掛ける企業の専門家3名にお話を伺いました。
膨大な量の個人情報を扱うリクルートのデータ保護・プライバシー保護専門部署の責任者と、プライバシー&セキュリティコンサルティングを専門とする弁護士を招き、今必要とされている取り組みと今後の展望を議論します。
2021年2月に施行されたデジタルプラットフォーム取引透明化法の中で注目されている「モニタリング・レビュー」。同法に携わる経済産業省の担当者をお招きし、モニタリング・レビューの果たす意義と新しい時代におけるトラストのあり方を伺いました。
2024年12月に発効した「欧州サイバーレジリエンス法(CRA)」について、制定の背景や要件、スケジュール、罰則などを整理し、経営層も巻き込んだ実効的な対応のポイントを解説します。
2025年5月1日に施行された中国の「個人情報保護コンプライアンス監査管理弁法」およびその別紙「個人情報保護コンプライアンス監査ガイドライン」について解説します。
西村あさひ法律事務所・外国法共同事業の石川智也氏と個人情報保護委員会の小川久仁子氏をお招きし、グローバルでの規制動向を踏まえ、日本企業が個人情報を適切に取り扱うためのリスク管理のあり方、求められるプライバシーガバナンスについて伺いました。
慶應義塾大学大学院特任准教授の吉永京子氏、アレシア国際法律事務所代表弁護士の有本真由氏をお迎えし、AI活用におけるガイドラインや規制に関する世界の最新動向を踏まえつつ、日本企業に求められる戦略と実務対応について考察します。