
ヘルスケアデータ二次利用による企業価値向上を支える「デジタルコンプライアンス」の在り方(小野薬品)
小野薬品でデータ戦略を担当している山下 信哉氏をお迎えし、各部門を巻き込んだヘルスケアデータの二次利用におけるデジタルコンプライアンス体制の構築や、法規制、さらに視野を広げたELSI(Ethical, Legal, and Social Implications)リスクへの対応についてお話を伺いました。
2021-03-22
世界120の国と地域で化粧品事業を展開する資生堂。総従業員数が4万人を超えるグローバル企業である同社は、早期から顧客一人ひとりのニーズに応じた情報提供やサービスを展開し、シェアを拡大しています。デジタルトランスフォーメーション(DX)が社会全体で加速する昨今、顧客情報のセキュリティやプライバシーを保護しつつ、データ利活用を推進するにはどのような取り組みが必要なのか。情報セキュリティ部の斉藤 宗一郎氏と藤井 正浩氏にお話を伺いました。(本文敬称略)
*本対談はPwC’s Digital Trust Forum 2021におけるセッションの内容を再編集したものです。
対談者
斉藤 宗一郎氏
株式会社資生堂 情報セキュリティ部 情報セキュリティ部長(CISO)
藤井 正浩氏
株式会社資生堂 情報セキュリティ部 マネージャー
平岩 久人
PwCあらた有限責任監査法人 パートナー
(左から)平岩 久人 斉藤 宗一郎氏 藤井 正浩氏
平岩:資生堂は10年以上前から、デジタルを活用したビジネス改革に取り組んでいらっしゃいますね。
斉藤:資生堂はかねてから美容総合サイトでの情報提供やオンライン販売に注力し、ウェブサイトの閲覧履歴や購買行動からお客様一人ひとりを理解し、最適な商品の提案や、役に立つアプリケーションの開発などに努めています。特に新型コロナウイルス感染症(COVID-19)拡大以降は、オンラインカウンセリングや、商品をライブ配信しながら販売するといった取り組みも積極的に行っています。
平岩:お客様の嗜好性を把握し、ニーズに寄り添った美容総合サイトを運用する上では、お客様の個人情報や機微な情報を大量に取り扱うことが想定されます。セキュリティ/プライバシーリスクをどのような体制で管理しているのでしょうか。
斉藤:資生堂は情報セキュリティやプライバシー保護のあり方を、「3つのラインモデル」*1に沿って考えています。
平岩:3つのラインモデルは、企業のリスク管理や統制活動のモデルを示したものですね。ガバナンスの観点から、組織内の役割を「リスクコントロールを行う第1線」「リスクに関する助言やモニタリングを行う第2線」「独立した内部監査を行う第3線」の3つに分類し、それぞれの内容を整理しています(図表1)。
斉藤:私たちが所属する情報セキュリティ部門を3つのラインモデルに当てはめると、第2線に位置付けられます。しかし、3つのラインモデルを導入する前は情報セキュリティ部門がセキュリティやプライバシーリスク管理の中心的役割を担っており、第1線や第3線、さらには第2線の中でも明確な役割分担を実現できていませんでした。
平岩:データセキュリティやプライバシーリスクを適切に管理するには、情報セキュリティ部門だけでなく、法務部門をはじめとする第2線のその他の部門や、第3線である内部監査部門との連携が重要ですね。
斉藤:はい。日本の改正個人情報保護法や欧州の一般データ保護規則(GDPR)など、ビジネスを行う上で考慮すべきプライバシー関連の法規制は増加しています。情報セキュリティ部門の業務範囲には、こうした法規制への対応も含まれるため、法務部門やリスクマネジメント部門といった第2線の他の部門との連携を強化することが重要です。現在は内部監査部門とも密にコミュニケーションを取りながら、良好な3つのラインモデルの実現を模索しています。
藤井:顧客データや取引先データを扱う全ての部門は、データプライバシーに留意する必要があります。情報セキュリティ部門は、これらの部門に対して必要なセキュリティ内容を説明しています。第1線であるこれらのビジネス部門が自らリスクを認識し、取るべき対策を判断できるよう支援することも、第2線の重要な役割だと認識しています。
株式会社資生堂 情報セキュリティ部 情報セキュリティ部長(CISO) 斉藤 宗一郎氏
平岩:2020年3月に公開された「企業のCISO等やセキュリティ対策推進に関する実態調査」*2によると、最高情報セキュリティ責任者(CISO)に求められる役割は「経営層との橋渡し」が最も多くなっています。資生堂の情報セキュリティ部門は、どのような役割を担っているのでしょうか。
斉藤:第一に、お客様が安心して個人情報を預けられるような、高いセキュリティレベルのシステムとサービスを提供することをミッションに掲げています。また、社内のビジネス部門に対してはセキュリティ脅威からの保護を、経営層や外部の投資家に対してはサイバーリスク対応を可視化し、明確に説明する責任を担っています。
藤井:情報セキュリティは売上を直接もたらす部門ではありません。しかし、セキュリティインシデントが発生した場合、お客様の個人情報の漏えいといった形で被害を与えてしまったり、業務停止による自社のビジネス機会の損失を生じさせる可能性があります。そうした事態を防ぐべく、日常から対策を講じるのが私たちの務めであり、ビジネスへの貢献であると考えています。
平岩:先ほどの調査結果では、セキュリティ対策を推進する上での最も大きな課題に「リスクの見える化が困難/不十分である」ことが挙げられました。資生堂が直面したセキュリティ対策推進の課題を教えてください。
斉藤:情報セキュリティに対する社内の認識が低かったことです。以前は「情報セキュリティ=PCのウイルス対策」程度の認識でした。このため「情報セキュリティとは何なのか」「セキュリティリスクはビジネスリスクである」という基本的なことから周知する必要がありました。
こうした周知・啓発活動は、すぐに結果が出るものではありません。しかし、組織の風土やガバナンスを醸成するためには不可欠です。こうした土壌作りを怠ると、組織にセキュリティ意識が根付かず、重大なインシデントが引き起こされかねません。
藤井:現在は地道な周知・啓発活動の成果が出てきていると感じています。例えば、ある部門が新たなプロジェクトを始める時、情報セキュリティ部門に対して相談や問い合わせを持ちかけてくれるケースが増えました。私たちがその際に提示するセキュリティ面での要求にも、真剣に対応してくれていると感じます。
平岩:ここからは、資生堂が考えるセキュリティ人材のあるべき姿を伺います。デジタル化の加速により、企業が個人情報を取り扱う機会は今後ますます増えることが予想されます。セキュリティ部門を束ねる斉藤様が特に重視する人材の要件は何でしょうか。
斉藤:DXが進む昨今、新規プロジェクトにおいては、お客様情報を含むデータの利活用が大前提です。ですから、プライバシー関連法規制やデータの越境規制といったデータセキュリティには、細心の注意を払う必要があります。これからの情報セキュリティ人材には、ITの知識や経験だけでなく、こうした法規制に関する知識や洞察も要求されます。どこか一カ所でも不備があると、せっかく立ち上げたビジネスが開始早々に停止・廃止に追い込まれてしまう可能性すらありますから。
藤井:加えて、ビジネス部門からの相談に的確に応えるためには、私たちもビジネスの状況やデジタルによって実現できることを知っておく必要があります。つまり、ビジネスの現場で「どのようなプラットフォーム/ツールを利用し」「どのような業務を行っているのか」を把握し、セキュリティ上やってよいこと/よくないことを明確に提示しなければなりません。このためには、情報セキュリティ部門にも「ビジネスパーソン」としてのセンスが必須です。
平岩:これまでセキュリティ人材は、専門性の高い「職人」のように見られがちでしたが、今後は「ビジネスパーソン」としての矜持も求められるのですね。情報セキュリティ部門はプロジェクトに、企画段階のような初期から関与しているのですか。
藤井:そうですね、新規プロジェクトの上流工程から情報セキュリティ部門が関与することが重要だと考えています。新規プロジェクトが立ち上がった際、セキュリティとプライバシーの検討に責任を持つメンバーをプロジェクト内でアサインいただくよう要請しています。そして、プロジェクトの進行に応じて、情報セキュリティ部門とプロジェクトの担当者がコミュニケーションをしながら、どのようなセキュリティ/プライバシー対策を組み込むのかを決めてもらうのです。こうした、プロジェクトの企画や設計の段階から法規制面や社員のリテラシーといったデータプライバシーの対策を組み込んだ「セキュリティ&プライバシー・バイ・デザイン」のアプローチを大切にしています。
こうしたアプローチを円滑に実現するには、「どのようにコミュニケーションを行うか」が重要です。資生堂には「Shiseido Security Framework(SSF)」という情報セキュリティの包括的なフレームワークがあります。これは、ビジネスやIT全般に関する情報セキュリティの要求事項を細かく規定したものです。SSFを軸にコミュニケーションをシンプルにし、検討すべき情報セキュリティ事柄が漏れなく検討されるよう心掛けています。
株式会社資生堂 情報セキュリティ部 マネージャー 藤井 正浩氏
PwCあらた有限責任監査法人 パートナー 平岩 久人
平岩:お話を伺っていて、情報セキュリティ部門の「ビジネスに寄り添う」という姿勢を強く感じました。ただ、ともするとプロジェクトに「入り過ぎて」しまい、セキュリティに関するガバナンスが効きづらくなってしまうリスクもあるのではないでしょうか。
斉藤:おっしゃるとおりです。それゆえ、情報セキュリティ部門のスタッフがプロジェクトメンバーになってはいけません。情報セキュリティ部門の目標は、プロジェクトチームの目標とは異なりますから、分別を持ち続けることが重要だと思います。
とはいえ、「情報セキュリティ部門に声を掛けると、面倒くさい要求ばかりでビジネスが進まない」と思われてしまっては、ビジネス部門からの協力は得られません。相手の実現したいことを理解した上で、「そのためにはこうしたセキュリティが必要になります」という姿勢であることが大切です。
藤井:情報セキュリティのリスクにどのように対応するのかは、最終的にはプロジェクトオーナーであるビジネス部門側で考え、自らの判断と責任でリスクを管理する必要があります。先に紹介がありました3つのラインモデルにおいては、情報セキュリティ部門の役割は第2線の「リスクに関する助言やモニタリングを行う」ことです。第2線としての独立性を損なわないように、常に気を付けています。
平岩:ビジネスの推進とビジネスへの貢献という目標を、第1線であるプロジェクトチームと共有しつつ、それぞれの役割を果たしていく。こうした健全な牽制関係は、今後ますます重要になりますね。最後に、今後注力したい取り組みを教えてください。
斉藤:本部で実施している活動を、海外の各拠点でも同様に実施できる体制を構築したいと考えています。そのためには、情報セキュリティに関するプロセスやセキュリティツールをグローバルに展開し、標準化していく必要があります。また、その意図や使い方について、各拠点の情報セキュリティ担当者に「なぜこのプロセスが必要か」「ツールをどのように利用するか」といったことを、丁寧に説明をしていかなければなりません。グローバル規模でセキュリティ&プライバシー・バイ・デザインを確実に実現していくことを目標に、日々試行錯誤しています。引き続きPwCの支援を得ながら、あるべき情報セキュリティ組織の実現に向けて努力を重ねていきます。
平岩:ありがとうございます。私たちも「伴走」しながら、資生堂のビジネス推進に貢献できるよう努めます。本日はありがとうございました。
*1:一般社団法人日本内部監査協会, 2020. 「IIAの3ラインモデル―3つのディフェンスラインの改訂」(『月刊監査研究』2020.8[No.561])
小野薬品でデータ戦略を担当している山下 信哉氏をお迎えし、各部門を巻き込んだヘルスケアデータの二次利用におけるデジタルコンプライアンス体制の構築や、法規制、さらに視野を広げたELSI(Ethical, Legal, and Social Implications)リスクへの対応についてお話を伺いました。
アイデンティティ(ID)管理のソリューションが求められる背景や導入の要点、やってしまいがちな失敗とその対策などについて、ID管理を手掛ける企業の専門家3名にお話を伺いました。
膨大な量の個人情報を扱うリクルートのデータ保護・プライバシー保護専門部署の責任者と、プライバシー&セキュリティコンサルティングを専門とする弁護士を招き、今必要とされている取り組みと今後の展望を議論します。
2021年2月に施行されたデジタルプラットフォーム取引透明化法の中で注目されている「モニタリング・レビュー」。同法に携わる経済産業省の担当者をお招きし、モニタリング・レビューの果たす意義と新しい時代におけるトラストのあり方を伺いました。
欧州NIS2指令の概要から適用条件、求められる対応、違反時のリスクまでを体系的に解説し、日本企業が段階的に取り組むべき具体的な対応戦略をわかりやすく整理します。
2024年12月に発効した「欧州サイバーレジリエンス法(CRA)」について、制定の背景や要件、スケジュール、罰則などを整理し、経営層も巻き込んだ実効的な対応のポイントを解説します。
2025年5月1日に施行された中国の「個人情報保護コンプライアンス監査管理弁法」およびその別紙「個人情報保護コンプライアンス監査ガイドライン」について解説します。
西村あさひ法律事務所・外国法共同事業の石川智也氏と個人情報保護委員会の小川久仁子氏をお招きし、グローバルでの規制動向を踏まえ、日本企業が個人情報を適切に取り扱うためのリスク管理のあり方、求められるプライバシーガバナンスについて伺いました。