
「法の観点から見るプライバシー」デジタルトランスフォーメーションにおけるプライバシー・バイ・デザインの実装
DXとプライバシー保護を両立させる上で有用な「プライバシー・バイ・デザイン」の概念と、その実装方法を紹介します。
2020-06-16
米国国立標準技術研究所(NIST※1)は、企業・組織のプライバシーリスク管理を促進するため「NISTプライバシーフレームワーク」のバージョン1.0を2020年1月に正式公開しました。
今後、企業・組織がデータを利活用しながらサービス・製品などの拡充を進めるためには、プライバシー保護を考慮することは大前提となります。それゆえ、NISTプライバシーフレームワークをリスク管理のためのツールとして使用することは有用であると言えます。セキュリティ領域におけるデファクトスタンダードとなっている「NIST Cyber Security Framework」の姉妹版ということもあり、日本でも普及が想定されるNISTプライバシーフレームワークの意義や活用例を解説します。
※1 NIST:National Institute of Standards and Technology(米国国立標準技術研究所)
日本企業からの注目度が高かったEU一般データ保護規則(GDPR)においては、2019年より、プライバシー保護違反などを理由に数百億円レベルの制裁金が企業に課される事例が増えています。またGDPRの施行に前後して、各国でGDPRに似た規制が次々に法制化、施行されています。日本では、2020年6月に個人情報保護法改正案が国会で成立し、今後、企業の責任が厳格化される見込みです。
また、インターネット上の言論の自由を尊重している米国であっても、ソーシャル・ネットワーキング・サービス(SNS)事業者からの個人情報漏えいを契機にしてプライバシーリスク管理への注目は高まっており、州ごとにプライバシー規制が施行・検討され始めています。現在、連邦政府による米国全土をカバーした連邦法上のプライバシー規制法は無いため、米国でビジネスを展開する企業は州ごとの規制に対応する必要があり、それゆえ、かなり煩雑な運用が求められています。そこで、NISTは2020年1月にプライバシーフレームワークを公開し、個人のプライバシー保護のために各企業・組織が遵守すべきベースラインの設計をしやすくしたのです。
まず、NISTプライバシーフレームワークの目的から見てみましょう。このフレームワークは、以下の3つを目的に策定されました。
次に、NISTプライバシーフレームワークの構成を見てみましょう。このフレームワークは「(1)Core(コア)」、「(2)Profile(プロファイル)」、「(3)Tier(ティア)」という3つの要素から構成されています。
コアはプライバシーリスク管理に係る要求事項一覧です。「機能」、「カテゴリ」、「サブカテゴリ」から構成され、各機能は複数のカテゴリへ、各カテゴリは複数のサブカテゴリへと細分化されます。コアの定義により経営層から実務層までが、プライバシー保護のための対応や優先事項を共通言語で理解・議論し、リスク管理できるようになります。
【機能】プライバシーリスクを管理するための一連のアクションで、5つに分類されます。
【カテゴリ】機能を課題や特定の対応にもとづき細分化・グループ化した成果を示します。
【サブカテゴリ】カテゴリを技術的/管理的対応にもとづき細分化した成果を示します。
任意のアクションを企業・組織のニーズに応じてコアから選択し、作成します。テンプレートは用意されておらず、各組織は特定の機能・カテゴリ・サブカテゴリを組み合わせて独自のプロファイルを設定します。組織や役割が個人データのエコシステムのどの領域に属していても、業界・部門・役職などに沿った設定をすることで、適切なプライバシー保護が実現できるように設計されています。
プロファイルは、組織のビジネス要件、リスク許容度。プライバシーバリュー、リソースを総合的に鑑みた上で構築された指標と言え、組織がプライバシーリスクを優先付けして管理するために有効です。
企業・組織のプライバシーリスク管理レベルを定量的に評価する指標。Tier 1(T1)からTier 4(T4)の4段階に定義されており、階層が高くなればなるほど、より多面的なリスク管理が求められます。
各サブカテゴリについて望ましい状態を達成しているか、達成している場合はどの程度であるのかというアセスメントを行い、また目標とする達成状況を設定することで現状とのギャップが可視化され、今後の改善プラン策定に利用することが可能になります。
NISTプライバシーフレームワークの特長として、セキュリティ領域におけるデファクトスタンダードであるNISTサイバーセキュリティフレームワーク(CSF)と併用できる点が挙げられます。同フレームワークは、サイバーセキュリティリスクを管理する上で有用な機能を5つに分類したCSFと互換性のある構成となっています。双方を同時に活用してサイバーセキュリティリスクとプライバシーリスクを網羅的に管理することが望ましいと言えます。
今後、企業・組織がデータを利活用し、サービス・製品などの拡充をするためには、プライバシーリスクを適切に管理していく必要があることは明白です。以下に、プライバシー保護の目標レベルを達成するためのNISTプライバシーフレームワークの活用例を紹介します(図表7)。例えば、新規にプライバシー保護の仕組みの構築を検討している組織であれば、上記で紹介したようなカテゴリやサブカテゴリが有効でしょう。また、既にプライバシーリスク管理の仕組みがある組織であれば、目標と現状とのギャップ分析に使用することができるでしょう。
多くの日本企業では、プライバシー保護を「法務・コンプライアンス部門」が、サイバーセキュリティを「ITセキュリティ部門」が主管しています。この2つの部門は、同じ企業・組織内であっても業務カルチャーや使用する用語が異なり、部門間の壁が少なからず存在するケースが少なくありません。しかし、デジタルトランスフォーメーション(DX)は世界的に急激なスピードで進んでおり、テクノロジーの活用なしにビジネスを成功させることは、もはや考えづらい状況です。日本企業がデジタル社会で業界をリードしていくためには、プライバシー保護とサイバーセキュリティの部門横断的なコラボレーションが不可欠です。
NISTプライバシーフレームワークは、そうしたコラボレーションを目的の一つとして策定されているため、これを活用することで、法務・コンプライアンス部門やITセキュリティ部門、さらには経営層が共通の言語で議論をしやすくなるでしょう。その結果、ビジネスにおけるリスク認識の共有と対策の優先順位付けを促進することも可能になります。
同フレームワークにはもう一つの目的があります。企業が製品/サービスなどを設計・開発する際にプライバシーを適切に保護していることを、顧客・取引先企業、消費者に対して合理的に説明可能にすることです。例えば、データの削除要求があった場合に実行可能な機能を備えている(「CT.DM-P4」)ことや、データのライフサイクル終了と共にデータを適切に破棄するプロセスが実装されている(「CT.DM-P5」)ことは、NISTプライバシーフレームワークを利用すれば共通言語として説明可能になります。このような理由から、DXを目指す日本の企業・組織は、NISTプライバシーフレームワークの活用を検討するべきだと考えます。
大井 哲也
TMI総合法律事務所/TMIセキュリティ&プライバシー株式会社 パートナー 弁護士
PwCコンサルティング合同会社 シニアマネージャー
DXとプライバシー保護を両立させる上で有用な「プライバシー・バイ・デザイン」の概念と、その実装方法を紹介します。
実臨床から収集した膨大な医療情報である「医療ビッグデータ」の利活用にあたっては、個人情報保護と研究倫理に関するそれぞれのルールに留意する必要があります。「サービスベンダーによる医療情報の外部提供」と「大学病院との人工知能(AI)の共同研究」の2つの想定事例を取り上げて、データ利活用の観点から法的問題点を解説します。
個人を信用スコアで格付けするサービス「信用スコアリング事業」が、日本でも近年広がりつつあります。同時に、公正取引委員会が、デジタル・プラットフォーム事業者に対する競争法の執行を活発化する姿勢を見せています。信用スコアリング事業を展開するにあたって留意するべき、独占禁止法の観点からの法的課題を考察します。
ビッグデータと人工知能(AI)を用いて個人の性向や属性などの推測を行う「プロファイリング」は、プライバシーの侵害につながる可能性があります。日本でも広がりつつある信用スコアリング事業を取り上げながら、日本における個人情報の取り扱いの法的課題について、個人情報保護法やプライバシーの観点から解説します。
人材マネジメントに「ピープルアナリティクス」を活用するケースが増えてきています。特に活用が期待される領域や活用事例、プライバシー上の懸念事項を紹介します。
Society5.0を実現する上で、ユーザーのオンライン、オフラインの行動履歴に基づいてパーソナライズされた体験を提供することが鍵となります。この行動履歴を活用するにあたっての注意点を解説します。
企業におけるデジタルトランスフォーメーション(DX)の取り組みが加速するのに伴い、事業効率化・高度化に向けたデータ利活用が浸透してきています。本稿ではデータ利活用の新たな可能性としてのデータマネタイズ(データ外販)およびその課題に関して説明します。
ECサイトのレコメンデーションは、消費者の購買意欲を大いにかき立てるものになっています。レコメンデーションの進化とそれに伴う弊害、今こそ企業に求められるレコメンデーションの在り方を解説します。
慶應義塾大学大学院特任准教授の吉永京子氏、アレシア国際法律事務所代表弁護士の有本真由氏をお迎えし、AI活用におけるガイドラインや規制に関する世界の最新動向を踏まえつつ、日本企業に求められる戦略と実務対応について考察します。
世界に先駆けて経済安全保障の包括的対策を法制化した日本。法制度の趣旨や既存法制との違いについて法律の専門家に解説いただくとともに、日本電気の実例を基に、リスクと機会を正しく捉える企業対応のあり方を探ります。
コロンビア大学ロースクール教授でPwC Japanグループ顧問のアニュ・ブラッドフォードが、米国の新政権誕生によって米国・欧州・中国関係が転換点を迎える今、国際貿易とデジタル規制の最新動向を分析し、日本企業がとるべき具体的な対応策を解説します。
NIKKEI Digital Governance 編集長の中西豊紀氏とTMI総合法律事務所パートナー弁護士の大井哲也氏とともに、企業に求められるデジタル法規制対応のあり方を示し、実務担当者の意思決定を支えるメディアの役割について議論しました。