NISTプライバシーフレームワークやISO29134に準拠したグローバルプライバシーリスクアセスメント
「信頼」されるデータ活用サービスの必要な要件
データの利活用とプライバシー保護を両立したデータ活用サービスを構築し、ビジネスモデル変革を進めるためには、事業戦略の策定から設計、実装の各フェーズに応じたデータ管理やプライバシー保護が必要となります。具体的には、事業戦略を実現するためのデータ管理、業界横断的なデータ取得・利用、顧客のプライバシーを考慮したサービス設計、法令準拠や情報資産保護を行い、事業推進と伴奏しながら信頼されるデータ活用を実現していきます。
グローバルプライバシーリスクをめぐる典型的な状況と対応方針
グローバルに事業を展開する企業が全社的なデータの利活用と保護を進めるためには、顧客戦略、マーケティング施策、そして各国・地域の規制を踏まえたうえで、提供価値と顧客保護が両立するサービスを設計しなくてはなりません。
データ利活用と保護に関する現状の課題として、以下のような点が挙げられます。
- 既存事業におけるプライバシーリスクがデータ利活用の観点から再特定されておらず、市場や個人のアクションから法律違反や炎上などに至るリスクがあるため、新規事業の機運気運が萎縮している
- プライバシー関連の法律が各国で多岐にわたり存在するため、データ保護の観点でフロント部門や各国現地子会社との調整が難航し、プライバシー保護態勢の構築が停滞する、または態勢があっても機能しない
これらの状況が生じる背景には、コンプライアンス部門に対して、グループ全体のプライバシーリスクへの対応という、従来の職務範囲を超えた役割を求めてしまっている実態が挙げられます。
この問題を解決するためには、各国・地域のグループ企業が順守すべきルールを策定し、サービスの設計フェーズにおいて、必須事項としてプライバシーを考慮する必要があります(プライバシーバイデザイン)。
PwCが提供するグローバルプライバシーリスクアセスメント
PwC Japanグループでは、各国・地域の規制への対応が喫緊の課題であることを考慮しながら、グループ全体の事業におけるプライバシーリスクを特定し、組織全体の理解を促進するアプローチを用いてサービスを提供します。具体的には、アシュアランス業務で培ったリスクアプローチにより、効率的かつ効果的にプライバシーリスクを評価するとともに、エビデンスベースの評価を通じて現状を実証的に把握します。さらに、評価、課題の識別、施策・ロードマップ立案の実施を経て実行可能な管理モデルを策定し、それらの実現までを支援します。
プロジェクトの実施ステップ
1.固有リスクの算定とアセスメント設計
ビジネス課題となる固有リスクを算出します。プライバシー管理態勢の評価に適したNISTプライバシーフレームワーク、プライバシーリスクの評価に特化した国際基準規格(ISO/IEC 29134:2017)、欧州一般データ保護規則(GDPR)のデータ保護影響評価(DPIA)に関する欧州監督機関のガイドライン、そして各国・地域の法令をもとに評価軸を設計します。
2.アセスメントの実施
グループ全体で各事業がプライバシーリスクに対応するための必要事項を整理し、課題を明確にします。
3.施策・ロードマップ立案
NISTカテゴリ、ISOカテゴリ、PwC独自のトランスフォーメーションの枠組みに沿って実行可能な管理モデルを策定します。
