企業が消費者の満足度を高め、ブランドの信頼性を向上させるには、消費者の個人情報を最も適切な方法で管理することが重要です。民間企業や官公庁のデジタル化が進み、企業や組織はより多くの利用者データにアクセスできるようになりました。プライバシーへの懸念や規制当局の監視が強まるにつれ、データを知り、理解する重要性が高まっています。

欧州市民のための一般データ保護規則(GDPR)、米カリフォルニア州消費者プライバシー法(CCPA)、ブラジルの一般個人データ保護法(LGPD)など、消費者は組織が収集した自らのデータに関する可視性や透明性、コントロールの向上をサポートする法的権利を得ています。これにより、消費者は十分な情報を得た上で、自分が関わる企業を選択することができるようになりました。
データプライバシーの監視が不十分な場合にはより厳しい罰則が科されるため、企業は安全性や信頼性を高めるために「デジタル・アイデンティティ」を共同利用する必要があります。

目次

デジタル・アイデンティティの登場

デジタル・アイデンティティでは、電子的に人を識別し、本人であることを認証します。安全なデジタル・アイデンティティがあれば、企業は標準化された相互運用可能なアプローチを得られ、顧客のアイデンティティを認証するために陥りがちな障害を排除することでリスクを低減できます。
現状では、デジタル・アイデンティティ・モデルは断片的であり、さまざまな公的機関や民間企業がそれぞれの方法でアイデンティティを管理しています。このような状況では、デジタル・エクスペリエンスに不満が生じたり、ユーザーがリスクにさらされたりする可能性があります。ただし、デジタル・アイデンティティは、単一の組織が単独で解決できるものではありません。官民が協力し、安全なデジタル・アイデンティティのインフラを実現する必要があります。
デジタル・アイデンティティが個人のプライバシーを侵害するのではないか、と疑問を持つ人もいるかもしれません。しかし、アイデンティティ検証の一環として収集されるトランザクション・データの量を最小限に抑えるのに役立つシステムを構築することで、むしろリスクを低減することができます。

プライバシー・バイ・デザインの導入

データプライバシーは、企業単独で取り組むべきものではなく、規制を遵守することだけで保証されるものでもありません。プライバシーの脆弱性を防ぐには、プライバシーをデフォルトとして、ITシステムの設計や運用、ビジネスプラクティスなど、あらゆるソリューションの基盤に組み込む必要があります。

プライバシー・バイ・デザインとは「プライバシーに関する基本原則をテクノロジーそのものに最初から組み込む」という考え方です。そのためには、デジタルIDを設計する際に、データを最小限に抑えるためのルールを「デフォルト」で組み込む必要があります。リスクを予測し何らかの侵害を未然に防ぐためには、事後対応ではなく事前の対応が必要です。
実際、これは広範な顧客データと分析戦略の中核をなすものであり、プライバシー保護を最大限に高め、新たな成長機会につなげることができます。また、このアプローチは、エンドユーザーとの間でデジタルな信頼関係を構築し、広く普及させることができ、デジタル化による多くのメリットを提供するのに必要な規模を備えています。

プライバシーとデジタル・アイデンティティの話題には、以下のような重要なトピックがあります。

プライバシーを取締役会の議題にする
プライバシーガバナンスはこれまで以上に重要となっています。取締役会は現在、プライバシーに関する懸念がもたらす影響に注目し、「デジタル・アイデンティティの管理はコーポレートガバナンスの問題だ」と認識しています。アイデンティティ侵害は、潜在的な法的責任、規制当局による制裁、ブランドの損傷、知的財産や機密情報の盗難など、取締役会レベルの重大な損失を引き起こします。

過剰徴収の削減
データが多ければ多いほど、リスクが増大する可能性があります。そのため、データの過剰な収集や保有は最大の懸念事項となっています。昨今の規制では、データの最小化に関する規則を定めており、企業は必要最小限のデータのみを求めることができるようになっています。規制当局の求めに応じてコンプライアンスを証明する必要があるため、より一層の注意が払われています。データの過剰収集は安全でないだけでなく、煩雑さを生じます。ユーザーは同じデータを異なる機関と共有しなければならず、これによって、プライバシーリスクが生じ、個人にとって不必要なプロファイリングやトラッキングを受ける可能性があります。

プライバシー保護のリーダーを見つける
プライバシーに関するリソースの確保は、非常に大きな課題です。組織にとって重要なのは「プライバシーのチャンピオン(擁護者)」を育てることです。ただ、十分な人員がいなければ、チャンピオンが最前線で活躍することは困難です。

「プライバシーが生きる場所」を決める
「組織内のどこにプライバシーを置くべきか」という考え方にも変化が見られます。これにより、個人を特定できる情報の収集、保存、共有、送信の方法や、規制の遵守に責任を負う「最高プライバシー責任者(CPO)」への道が開かれました。

データの匿名化
データを処理して不可逆的に個人を特定できないようにする行為に新たな注目が集まっています。KPMG米国によるデータプライバシーに関する調査によると、米国人の48%が「完全に匿名化された個人データであれば、企業が個人データを収集・利用することに抵抗がない」と回答しています。しかし、それに悩んでいる組織もあり、不完全な匿名化は、データが以前に収集された位置情報、画像認識、行動追跡などの複雑なデータセットと組み合わされることで、再識別される可能性があります。

今こそ、プライバシーコンプライアンスの基本的な構成要素であるデータ管理に関する先進的な手法を再検討する絶好の機会です。正しい方法を用いれば、世界はデジタル経済に安全につながり、企業は消費者の信頼を築くための有意義な行動を取ることができます。

本稿は、KPMGインターナショナルが2022年1月に発表した「The emergence of digital identity」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。

全文はこちらから(英文)
The emergence of digital identity

お問合せ