望ましいサイバーセキュリティの未来(銀行業界編)
スイス連邦財務省国際金融問題局の独立調査ユニットであるSwiss Financial Innovation Deskが発行した「Pathway 2035 for Financial Innovation」レポートを基に、銀行業界のサイバーセキュリティ戦略におけるAI、耐量子、デジタルトラスト、デジタル通貨のテーマ別に、それぞれの未来予測とサイバーリスク、望ましい対応策を整理します。
日本企業におけるデータトラストジャーニー
近年、日本国内ではデジタルトランスフォーメーション(DX)の広がりに伴い、サイバーセキュリティやプライバシー保護に関するインシデントが多発しています。サイバーセキュリティについては、その重要性が認知され、企業が投資を進めているものの、プライバシー保護に関しては、ほとんどの企業が「改正個人情報保護法などのコンプライアンスの問題」と捉えるにとどまっているのが実情です。日本の企業においてはデータトラストに対する経営層の理解、投資額などはまだ十分とは言えず、消費者のプライバシー保護対応に至るまで幅広い視野を持ってこの課題を認識し、投資ができている企業は少ないと言われています。
「データトラスト」は日本企業にとって耳慣れない言葉かもしれませんが、中身はとても馴染み深いものです。データトラストを構成する機能には「データガバナンス」「データディスカバリー」「データ保護」「データの最小化」が含まれており、これらは個人情報を取り扱う上での原則的な考え方であり、日本の2022年4月施行予定の改正個人情報保護法においても言及されています。さらに、一部の日本企業は、消費者のデータを利活用し、新たな価値を創出しようと動き始めています。データトラストは日本企業に既に求められていると考えられます。
改正個人情報保護法に基づいてコンプライアンスの問題に対応するだけでなく、消費者のプライバシー意識の高まりを考慮した施策を打ち出し、「データトラストジャーニー」をスタートすることが日本の企業にとって肝要です。この取り組みの成否が、今後のビジネスでの生き残りや成功を左右する重要な要素となるでしょう。
PwC米国が発表したレポート in data we trust を和訳し、以下でご紹介します。
データが全て。だが十分とは言い難い現状
「データが全てだ」とよくいわれます。それがビジネスモデルを一変させるだけでなく、世界における公衆衛生や経済上の課題を乗り切るための指針にもなるからです。一方で「データが全てではない」ともいわれます。データを信頼することができなければ、役に立たないどころか、リスクの根源となるためです。この難題を解決するのが「データトラスト戦略」です。この戦略は、価値を創出するデータの力を最大限に高めるとともに、創出されたデータ価値を毀損する可能性を最小限に抑えます。
データトラストは高まるどころか、低下している
あなたの会社は信頼に足るデータを取りまとめ、活用できていると断言できるでしょうか。もしそうであったとしても、大半の経営者は同じような見方をするものです。しかし、そこには1つの問題があります。消費者はそのようには見てはいないのです。経営者の55%は自社のデータに対する消費者の信頼度が2年前よりも「高まった」と回答したのに対し、個人情報の利用に係る企業の信頼度が「高まった」と答えた消費者はわずか21%にとどまり、それを上回る割合の消費者(28%)が「(信頼度は)低下した」と回答しています。さらに、世界の消費者の76%は、企業が個人情報を保持することは「必要悪である」と考えているのです。
データトラストの構築に取り組んでいる企業は、多くの恩恵を受けています。そして、データの価値評価を行う正式なプロセスを整備している企業のうち、自社に設置したデータプライバシーチームを継続的に関与させている企業はわずか37%。これらの企業がまさにデータトラストリーディングカンパニーです。プライバシーの観点をこのプロセスに組み込むことはデータトラストの1つの要素にすぎませんが、データトラストリーディングカンパニーのうち、重要なデータを利用することで「新製品・サービスの創出」「労働生産性の向上」「事業活動の迅速化・円滑化」などの投資効果(ROI)が得られると回答した割合は、その他の企業の2倍を超えています。ビジネス上のゴールを設定し、その達成に向けて適切にデータを扱う環境を整えることで、単なる情報を信頼性の高い、ビジネスに不可欠なデータへと継続的に変換できますし、結果として投資効果のさらなる向上も可能です。
データトラストジャーニーのスタート
PwCが2019年に実施したデータトラスト調査によると、経営者の86%が「データから価値をいかにして抽出するか、競合企業と争っている」と回答しています。しかし、自社の成長にどのようなデータが必要で、それをどのように利用すればいいのかという点を理解していなければ、競争に勝つことはできません。市場における自社の立ち位置がどうであれ、データトラスト戦略は信頼できるデータがいかに新しく、優れた価値提案に役立つかを判断し、また組織全体の機動力を高めるところから始まります。同時に、この戦略のリスクやコストのバランスを見極めながら、これらを減らしていくべきであり、それが成否の肝となり得ます。
データトラスト戦略を策定し、実行するためには新たなアプローチが必要になります。財務、事業分野、データサイエンス、データの倫理的利用、セキュリティ、プライバシーに精通した部門横断型チームの組成です。このチームが常に司令塔となり、社内で価値創造に取り組むチーム、そしてデータの価値を保護するチームの連携を正しい方向に導きます。またこの部門横断型チームは、IT部門に対するアクセスおよびコントロールがよりしやすくなるように、IT部門の数を減らす一方で、それらがより高度なデータリポジトリとなるように力を発揮します。さらに、このチームはデータの品質、利便性、安全性をモニタリングすること、データの財務パフォーマンスを数値化すること、データを入手、使用、保護または削除するための新たなニーズを特定すること、そして新たなデータを利用した際のリスクと得られる価値のバランスを見極めること、を継続的に担うことになるでしょう。
成長のフレームワーク
部門横断型チームは、組織内に4つの機能を構築し、これらを管理する必要があります。機能を結集することで、ただの情報を信頼性の高いデータに転換し、イノベーションと成長を加速させることができます。
機能1:管理
データガバナンスの構築:データに係る戦略的ゴールを設定したら、コンプライアンス要件を満たし、ビジネスリスクに対応し、信頼性の高いデータを企業が収益化させる上で役に立つガバナンスプログラムを構築します。調査会社ガートナーが2019年4月に公表した調査によると、回答した上級役員の64%が、世界中の組織にとっての新たなリスク要因としてプライバシー規制の強化をトップに挙げています。しかし、適切で柔軟なガバナンスがあれば、規制に対応し、消費者を満足させ、事業を飛躍させることが可能です。
その一方で、多くの企業がいまだにデータを部門ごと、または事業分野ごとに管理しようとしています。しかし、データが持つ収益化の可能性(データの危険性も)は、組織図の境界を越えるものです。そこで求められるのが、一元化されたデータガバナンス体制です。これにより、不正アクセスやコンプライアンスエラー、機会損失といったリスクを軽減することができます。
機能2:特定
データの特定:ほとんどの企業には明らかな弱点があります。それは、自社がどのようなデータを所有し、それをどのように利用するつもりなのかがわかっていない、あるいは意思決定者がどこまでデータを信頼できるのかについて理解していないという点です。実際にPwCの調査に対し、60%の企業が「最も貴重で機密性の高いデジタル資産を自社が特定しているのか、定かではない」と答えています。
自社のデータを全て特定し、こうしたギャップを解消するには時間だけでなく、ツールやスキル、すなわち一貫性のあるタクソノミー(データの整理法)基準、統制が必要になりますが、そのためにはリスク、プライバシー、コンプライアンスに精通した専門家のサポートが必要です。例えば、デジタルリスク管理プラットフォームやデジタルコマンドコントロールセンターを活用すれば、データインベントリとして信頼できる単一の情報源を構築することができます。これにより、必要とする高価値のデータと、システムの中に散在する低価値のデータを区別できるようになります。さらに、人工知能などの最新テクノロジーを導入することによって、データフローとデータリネージ(追跡・管理情報)を整理するとともに、高い信頼性をもって、より簡単に利用できるようデータを分類し、タグ付けできるようになります。
機能3:保護
安全性の確保:ビジネスを停滞させることなく、悪意のある第三者や巨額の罰金からデータを保護するにはどうすればよいのでしょうか。価値を作る者、そして価値を守る者の意識をデータに向かわせましょう。同じデータを同じ基準、同じタクソノミーに従って検討することで、リスク、セキュリティ、プライバシー、コンプライアンスの専門家と協働するビジネスの専門家は、データの価値を高め、同時に安全に扱うことが可能となります。
サイバー攻撃の脅威が急増するにつれ、企業はギャップ分析を実施し、従業員(特に在宅勤務者)に対してサイバーセキュリティについての研修を行う必要が生じます。同時に、サードパーティとデータを共有し、新しい製品やサービスにセキュリティとプライバシー・バイ・デザイン(個人を尊重したサービス設計)を実装することが求められます。これらを通じ、ビジネスを停滞させることなくデータの安全性を保つには、データドリブン型のサイバーリスク管理が求められます。テクノロジーソリューションとして重要業績評価指標(KPI)や重要リスク管理指標(KRI)があれば、企業も経営陣も自社のセキュリティ能力をすぐに評価でき、自社のデータとテクノロジーを信頼して前に進むことができます。
機能4:最小化
データの最適化:自社にセキュリティ対策が施されていないデータや、信頼できないデータがある場合(設立したばかりの会社でもない限り、そうしたデータはほぼ間違いなく存在します)、そのデータはリスクの根源になり得ます。つまり、質の悪いデータに基づいて誤った判断をするリスクと、悪意のある者が機微情報にアクセスするリスクの両方が生じます。
企業は標的を最小限に絞り込むことで、こうしたリスクを最小化しなければなりません。データの中から本当に必要なデータのみを管理、特定、保護し、それ以外は削除・消去する必要があります。下書きや複製、不要になったデータ、レガシーデータ、従業員の個人情報はどの企業にも共通する削除・消去すべきデータです。価値の低いデータは不必要なリスクを招くだけではありません。そうしたデータが存在することで、必要とする価値の高いデータの検索や利用が難しくなります。
データ目標の設定
事業の将来を決めるのはデータに関する目標です。そしてその目標を左右するのはデータの信頼性です。今日からデータトラストジャーニーをスタートし、その歩みを加速させましょう。
本文は、PwC Japanグループが in data we trust を和訳したものです。詳細を含む原文は in data we trust のフルバージョン(英語)をご参照ください。PwC Japanグループによる和訳には、可能な限り正確を期しておりますが、原文と解釈の相違がある場合は、原文である英語版に依拠してください。
インサイト/ニュース
20 results
Loading...
サイバーセキュリティ分野におけるセキュリティ・クリアランス制度の諸外国の活用動向調査
日本では経済安全保障分野におけるセキュリティ・クリアランス制度の運用開始に向け、具体的な運用に関する政令などの制定に向けた準備が進行中です。諸外国のセキュリティ・クリアランスに関わる組織運営の事例を踏まえ、国内組織で想定される準備策や留意点をまとめました。
パーソナルデータの利活用におけるデジタル先進企業のプライバシーガバナンスの取組状況
プライバシーガバナンスは、プライバシー問題に関するリスクを適切に管理し、消費者やステークホルダーに対して責任を果たすことを指します。この見直しは、社会からの信頼を得るとともに企業価値の向上に寄与します。企業のプライバシーガバナンスへの取り組み状況として2社の事例をご紹介します。
JC-STAR普及に向けた政府動向とSecure by Demandによる製造メーカーへの影響
2025年3月末より、IoTセキュリティ適合性評価及びラベリング制度(JC-STAR)の運用が開始されました。行政機関や地方公共団体、民間企業に向けてさまざまな政府機関が発行するガイダンスについて紹介、解説します。
Loading...
