
第2回:データマッピングとプライバシー影響評価によるリスク管理
デジタル社会において企業は個人データを活用し、価値を創造する一方、適切なプライバシーリスク管理を求められています。パーソナルデータの利活用におけるリスク評価の手法である「データマッピング」と「プライバシー影響評価(PIA)」について、重要性と具体的な実施方法を解説します。
デジタルトランスフォーメーション(DX)によりデータの利活用が推進され、その成否が企業の競争力を大きく左右する時代が到来しています。特に、人工知能(AI)をはじめとする技術の進展と普及に伴い、パーソナルデータの利活用による新たな価値の創造と恩恵の享受が期待されている一方、個人情報には該当しないもののプライバシーに関連し得る情報の範囲が拡大しています。
そのため、企業にはパーソナルデータの取り扱い方によってはプライバシーを侵害するリスクが新たに生じており、かかるリスクが顕在化した場合には損害賠償請求訴訟を提起されたり、事業の継続自体が困難になったりと、お客様や社会からの信頼を大きく損なうことになりかねません。そこで、パーソナルデータの利活用を成功裏に進めるためには「守り」が必要となり、「攻め」とのバランスを図りながら効果的な「守り」の施策を行うことが重要になります。
本コラムでは、この意味での「守り」の施策に焦点を当て、パーソナルデータの利活用におけるガバナンスとリスク管理の重要性について概説します。
社内において「守り」の施策の重要性は理解されているものの、いざその取り組みを推進しようとした際には、次のような悩み・課題に直面するということをよく耳にします。
これらの悩み・課題には効果的な施策があります。
悩み・課題(例) |
施策(例) |
|
|
|
|
|
以下ではこのような各施策例について解説します。
自社において管理すべきパーソナルデータがどこにどれだけ存在するのかを正確かつ網羅的に把握できているでしょうか。例えば、社員の個人情報は人事部門のデータベースに保存されているかもしれませんし、お客様の連絡先情報は営業部門のCRMシステムに格納されていることが考えられます。また、パートナー企業との取引記録や契約書類には、個人名や連絡先が含まれていることもあります。さらに、マーケティング部門が収集したアンケート結果やウェブサイトのアクセスログなどもパーソナルデータに該当する場合があります。このように、パーソナルデータは企業内のさまざまな部門やシステムに分散して存在している可能性があります。
自信がない、不安が残るという場合には、自社が取り扱うパーソナルデータを整理し可視化する「データマッピング」や、パーソナルデータの利活用に伴い発生し得るプライバシーリスクについて事前に影響を評価する「PIA(プライバシー影響評価)」から始めるのが効果的です。自社が有するパーソナルデータの流れやその管理状況、利用目的などを明確にし、プライバシーを侵害するリスクが発生し得る場所およびその大きさを特定することができ、その対策を検討できるようになります。
パーソナルデータの利活用の「守り」は単にリスクを回避するものではなく、適切にリスクを管理しながら、企業の信頼性と競争力を高める取り組みです。次回以降のコラムでは、各施策の具体的な手段や事例を紹介し、企業がどのようにして効果的な取り組みを実現できるかを詳しく解説していきます。
デジタル社会において企業は個人データを活用し、価値を創造する一方、適切なプライバシーリスク管理を求められています。パーソナルデータの利活用におけるリスク評価の手法である「データマッピング」と「プライバシー影響評価(PIA)」について、重要性と具体的な実施方法を解説します。
パーソナルデータの利活用を成功裏に進めるためには「攻め」とのバランスを図りながら効果的な「守り」の施策を行うことが重要です。本コラムでは「守り」の施策に焦点を当て、パーソナルデータの利活用におけるガバナンスとリスク管理の重要性について概説します。
航空業界は、航空機や関連システムの高度なデジタル化やグローバルなサプライチェーンによる複雑化が進む中、サイバーセキュリティの重要性がかつてないほど高まっています。こうした背景から欧州航空安全機関(EASA)が2023年10月に制定した、情報セキュリティに関する初の規則となるPart-IS(委員会実施規則(EU) 2023/203および委員会委任規則2022/1645)について解説します。
近年、製造設備などの制御系システムを守るOT(運用技術:Operational Technology)セキュリティの重要性が高まっています。第一三共株式会社でOTセキュリティ強化の活動に従事する江口武志氏に、実際の導入から運用立ち上げをどのように進めたか、現場への浸透における難しさやチャレンジについて聞きました。
本海外規格や国内外のガイドラインを踏まえて、日本企業が国際水準の物理セキュリティを整備する必要性を解説し、実際にどのように「物理セキュリティペネトレーションテスト」を導入・活用できるかをご紹介します。
スイス連邦財務省国際金融問題局の独立調査ユニットであるSwiss Financial Innovation Deskが発行した「Pathway 2035 for Financial Innovation」レポートを基に、銀行業界のサイバーセキュリティ戦略におけるAI、耐量子、デジタルトラスト、デジタル通貨のテーマ別に、それぞれの未来予測とサイバーリスク、望ましい対応策を整理します。