プライバシーデータ利活用に求められる企業の説明責任~ISO規格の活用による効果的なデータ管理体制の整備・見直し~

各企業においてデータ管理体制の見直しを行う際に、ISO/IEC27701を活用する留意点と推奨事項について提言します。

各企業においてデータ管理体制の見直しを行う際に、ISO/IEC27701を活用する留意点と推奨事項について提言します。

企業のデータ利活用はあらゆる領域に広がっており、そのデータの多くはプライバシー性を有するものとして、各国のデータ保護規制の適用を受ける対象となっています。企業にとってデータ利活用は死活的に重要であり、現場が安心して取り扱えるように管理体制を見直すことが、急務とされます。
社会から求められる説明責任を果たすためにも、世界で広く認知された国際標準規格ISO/IEC 27701を活用して自社のデータ管理体制を見直すことは、有効な選択肢の1つです。また、限られたリソースで、複雑化するコンプライアンス対応を確実に推進して行くためには、ITツールの活用も積極的に検討して行くべきでしょう。
本稿では、各企業においてデータ管理体制の見直しを行う際の留意点と推奨事項について提言します。
なお、本文中の意見に関する部分については、筆者の私見であることをあらかじめお断りいたします。

ポイント

  •  データ利活用はあらゆる領域へ着実に広がっている。
  •  新たな形態のデータ利活用がリスクの変容を生じさせ、世界各国でデータ保護規制の見直しが相次いでいる。
  •  各企業においては、現場が安心してデータを取り扱えるよう、管理体制の見直しが急務となっている。
  •  説明責任を果たせるよう管理体制を見直すにあたり、ISO/IEC 27701:2019のフレームワークを活用することは、有効な選択肢である。

I. 増え続けるデータと厳格化が進む各国規制

情報通信白書(令和元年版/総務省)によれば、世界全体のデータトラフィックは約3年で2倍となるペースで増加しており、国内における直近の通信トラフィック増加率もほぼ同等となっています(図表1参照)。

図表1 世界と日本のデータトラフィックの増加

世界全体のデータトラフィックの状況

年度 2014年 2015年 2016年 2017年 2018年
ビジネス領域
(前年比増加率)
12
-
14
(116.7%)
18
(128.6%)
22
(122.2%)
27
(122.7%)
コンシューマ領域
(前年比増加率)
48
-
59
(122.9%)
78
(132.2%)
100
(128.2%)
129
(129.0%)
合計
(前年比増加率)
60
-
73
(121.7%)
96
(131.5%)
122
(127.1%)
156
(127.9%)

 

単位:エクサバイト
※情報通信白書(令和元年版/総務省)の公表データに基づき筆者が作成

 

国内トラフィック(月間平均)の状況

回線種別 2017年 2018年 増加率
主要ISP ブロードバンド契約者回線(1契約者当たりアップロード) 29.6 35.3 119.3%
主要ISP ブロードバンド契約者回線(1契約者当たりダウンロード)

227.0 277.0 122.0%
主要ISP その他契約者回線(企業・データセンター等へのアウトバウンド) 688 868 126.2%
主要ISP その他契約者回線(企業・データセンター等からのインバウンド)
1,429 1,921 134.4%

 

単位:Gbsp
※「我が国のインターネットにおけるトラヒックの集計結果」(2019年3月5日/総務省)に基づき筆者が作成

クラウド市場も直近5年間で年平均3割を超える成長を遂げており、ネットワークに接続されるIoTデバイスの台数も毎年2割程度の増加が続いていることから、企業が収集・利用するデータ量も実質的に年平均で2~3割程度増加し続けているものと推測されます。
「ウチではそんなに増えていないと思うけど?」 もし直近の売上が横ばいで、ビジネス形態も変わっていないとすれば、このような疑問が湧いてくるかもしれません。しかし、経営者の目が行き届かない現場オペレーションの中でも、デジタル化の進展は着実に進んでいます。デジタル化とは無縁と考えていても、広報部門でCookieデータの利用を開始していたり、入退館ログが勤怠管理に利用されていたり、監視カメラの映像がデジタイズされてAIソフトで分析されていたりするのです。社会のデジタル化は新たなデータ収集・利用を生み出し続けており、従業員1人当たりのデータ取扱量は大幅な増加傾向にあります。
また、前述のIoTデバイスやクラウドサービスの利用に加え、複数事業者間によるデータ連携や共同サービス、AIによる自動意思決定など、データの利活用形態もますます多様化・高度化してきており、これまでの管理体制では対処しきれない新たなリスクが次々と生まれています。このため、世界各国は独自のデータ保護規制を相次いで制定し、責任者の公表や処理記録の保持、監査の実施など、企業の説明責任を求める傾向がますます強まっています。近年の各国データ保護法令では、「域外適用」(国外の企業であっても条件に合致する場合には法令を適用すること)を宣言するものが多く、日本国内の企業であっても海外規制の遵守について目配りが求められていることから、企業のコンプライアンス対応は非常に複雑化しているのが現状です(直近の各国規制動向は図表2参照)。

図表2 主要国における新たな個人データ保護規制の適用開始動向

図表2 主要国における新たな個人データ保護規制の適用開始動向

データの利活用は企業にとって大変重要な戦略的要素であり、競争優位を生み出すために必要不可欠です。だからこそ、現場が法令違反を心配することなく、安心してデータを利活用できる管理体制の整備を進めることが重要です。

1. B2B事業に及ぶ炎上リスク

まず、企業のさまざまな活動において処理されるデータの多くは、各国のデータ保護規制の適用を受ける「個人情報」に該当するという点について留意が必要です。一見すると個人情報には見えないデータであっても、識別子等によりどこかで特定の個人に紐づくものであれば、通常は個人情報と見なされます。Cookieデータが要注意であることは最近徐々に認知されてきましたが、同様に、テレワークの端末接続情報や貸与スマートフォンの位置情報、システムログインのための生態認証情報など、身の回りの多くのデータはプライバシー規制の対象になりえます。
また、一般消費者の情報を取り扱うB2C事業では、既に個人データ保護のための管理体制をしっかり整えているケースも見受けられますが、B2B事業においては、未だ十分な管理体制が整っていないケースも少なくありません。採用活動で収集した応募者データを分析して、内定辞退の確率を予想していた事案もありましたが、海外プライバシー規制の対象には、このような人事関連のデータも当然含まれます。新たな規制対応の検討を十分に行っていないB2B事業者は、リスク認識が希薄で管理体制が弱いことが多いため、より一層の注意が必要です。

2. 2020年に予定される国内法の改正

今年2020年には、日本国内の個人情報保護法の見直しも予定されています。2017年に一度改正が行われましたが、その後3年ごとに見直されることになっており、今年はその最初の見直しのタイミングとなります。既に2019年末には制度改正大綱が公表されており、本稿が掲載される頃には具体的な内容が確定しているかもしれませんが、世界各国のデータ保護規制の流れを受け、個人の権利範囲が拡大され、開示要件の厳格化や事故発生時の報告義務など、企業の説明責任が一層求められる内容となる見込みです。一方で、仮名化情報の利用に係る制限の緩和など、データ利活用を推進するための改正案も含まれており、そういった観点からも、企業内におけるデータ管理の在り方をしっかりと見直し、法令違反の不安を払拭する良い機会となるでしょう。

II. 説明責任を果たせる管理体制の構築

説明責任を果たせる管理体制とは、どのようなものでしょうか。
規制対応の観点からは、「法令を知らない従業員でも、社内のルールやプロセスに従って仕事をしている限り、各国法令に違反することがない」という環境を整備することが求められます。そのためには、法令要件を社内に周知するだけで終わらせず、安全管理やプライバシー保護のための管理プロセス、管理基準、意思決定の仕組みといった管理の枠組み(マネジメントシステム)を整え、その中で、個々のリスクに対応する管理策やプロセスを計画・導入し、全体として各国法令要件を充足できるレベルへ調整していかなければなりません。
そういったマネジメントシステムには、少なくとも以下の機能が求められます(図表3参照)。

図表3 データ管理組織の機能例

図表3 データ管理組織の機能例
  • 相次いで生まれる新たなデータの取扱いを適時に把握し、その取扱いに潜むリスクを評価して必要な対策を指示できる
  •  新たな規制情報を施行前に入手し、自社への影響を分析して社内ルールへの反映を行う
  • 個々のデータ管理策の運用状況をモニタリングし、必要に応じて改善を行うとともに、対外説明が可能な文書化を行う

法令要件からマネジメントシステムを考えるという発想ではなく、あらかじめ整備されたマネジメントシステムの中で継続的に新たな規制要件を把握し、個別の管理策を評価し、規制要件から外れていないかどうかをチェックして改善するという機能が必要です。

III. ISO/IEC 27701:2019を活用した管理体制の見直し

世界各国の新たなデータ保護規制が、軒並みGDPRを追随する傾向にあることを考えれば、管理体制の検討においてISO/IEC 27701を活用することは、1つの有効な選択肢になるでしょう。
ISO/IEC 27701は、新たな個人データ管理体制の国際標準規格として2019年に発行されたもので、GDPRで求められるさまざまな要件についてもすべてカバーできるように管理策が設計されています。ISOでは、これまでも個人データ管理に関する断片的なガイドラインを散発的に出していましたが、今回、それらと整合が取れる形で全体をまとめてマネジメントシステムを構成し、GDPR時代のプライバシーデータ保護を指向して管理要件が整理されました(これまでの関連規格とISO/IEC 27701との関係は図表4参照)。

図表4 ISO/IEC 27701とその他規格の関連図

図表4 ISO/IEC 27701とその他規格の関連図


なお、この規格は、そもそも情報セキュリティ管理の国際規格であるISO27001シリーズ、またはその認証制度であるISMSをスコープ拡張するものとして作成されており、セキュリティ管理のマネジメントシステムに加え、個人データ管理のマネジメントシステムについてもアドオン認証を受けることが可能となっています。
日本では9,000社以上がISMS認証を取得していますので、その管理体制を拡張して認証を取ることも可能ですが、認証を取得せず、自社の管理体制を見直す際のベンチマークとして参考にするだけでも役立つと考えられます。
ISO/IEC 27701の活用が有効である理由は複数挙げられます。まず、世界中で認知された規格であるため、さまざまな取引先から「GDPRを遵守した管理体制が整備されているか?」といった問い合わせを受けた場合にも、「ISO/IEC 27701準拠の管理体制を整備している」と回答するだけで、十分な管理レベルにある旨を伝えることができます。また、海外子会社とのコミュニケーションにおいて、本社の期待する管理レベルを指示することも容易になるでしょう。
個人データの取扱いに係るリスクポイントやそれに対応する管理策、導入ポイントなどが具体的に整理されていると言う点も、管理体制を検討するうえで大変有用です。たとえば、法令条文を読んだだけでは、「バックアップに含まれる個人情報の削除ポリシーをどうするか」ということまでには、すぐには考えが至りませんが、ISO/IEC 27701では、そういった個々の管理要件までが具体的にリストアップされているため、検討や検証が容易です。
その他、Pマークと異なり、部門単位や事業単位でも認証を受けられるという点や、対外的、あるいは社内への説明においても管理体制の十分性を説明しやすくなるといった利点が挙げられます。

IV. ITツールの活用による管理業務の効率化

説明責任を果たせる管理体制を検討する際に、もう1つ重要なポイントとして挙げられるのは、ITツールの活用です。管理すべきデータの取扱いは年々増加し、コンプライアンス対応は複雑化する一方ですが、管理組織に与えられるリソースは限られているというのが、多くの企業の実状です。だからこそ、昨今、コンプライアンス領域のシステム化、IT活用という視点が大変重要になってきているのです。
たとえば、前述のとおり、「リスクの高い新たな個人データの取扱いを管理組織が適時に把握できる仕組み」は大変重要ですが、未だに年に1度の棚卸しに依存するのみで、その結果も特に活用されていないといった企業は少なくないと推測されます。デジタルデータ社会と言われる現代において、それではほとんど意味を成しません。個人データの取扱い状況が、クラウド上のITツールで随時共有されるような仕組みを整備し、手間をかけずに台帳をシステム化して情報集約を開始することが望まれます。
ITツールの活用は、管理組織における業務の効率化と、現場における個人データの取扱い保護という2つの領域に大きく分けられますが、いずれの領域においても、さまざまなITツールや外部サービスが提供されていますので、それらをうまく活用していくことが今後は一般的となるでしょう。

V. まとめ

企業のデータ利活用はあらゆる領域へ着実に広がっており、それらの多くはプライバシー性を有するデータとして、各国のデータ保護規制を受ける対象となっています。一方で、データの利活用は企業にとって死活的に重要な課題であり、現場が安心してデータを取り扱えるための管理体制の構築は急務です。
社会から求められる説明責任を果たすためにも、広く認知された国際標準規格に基づくマネジメントシステムの構築は、今、有効な選択肢の1つとなっています。また、限られたリソースで複雑化するコンプライアンス対応を確実に推進して行くためには、ITツールの活用も積極的に検討して行くべきでしょう。
好むと好まざるとにかかわらず、デジタル化の波はリスクの変容と新たな規制環境を生み出しており、企業のデータ管理体制の見直しが迫られています。多くの日本企業では、今一度、自社における対応状況を再点検し、法令遵守に必要な体制の整備を進めることが必要となっています。

執筆者

KPMGコンサルティング株式会社
テクノロジーリスクサービス
パートナー 大洞 健治郎

お問合せ