スマートフォンやソーシャルメディアの広範な普及、オンラインショッピングへの大規模なシフトにより生み出される消費者データの管理を実現するため、データプライバシー技術の実用化は急務となっています。また、今日のデータ課題に対処するため新たに生み出されるプライバシー強化技術や次世代のプライバシーポータルなどさまざまな機能は、企業が適切なデータ管理の仕組みへ切り替えていくことを後押ししています。
本レポートは、KPMGインターナショナルが米国のOneTrust社と共同で作成したプライバシー技術(プライバシーテック)に関するレポート(日本語版)です。GDPRをはじめ厳格化する各国の個人情報保護規制や、消費者意識に対応するプライバシーテックについて考察します。

プライバシー分野におけるDX加速化の背景

現在、100ヵ国以上の国でGDPRなど、個人情報保護に関する各法規制が敷かれていますが、グローバルな規制に加えて、オンラインでのトラッキングや広告、同意のないデータ共有、致命的なデータ侵害などに対する消費者の反発などもあり、すべての企業活動において、プライバシーコンプライアンスのための統合的アプローチの必要性が高まっています。
そのため、企業は非効率的なマニュアルプロセスから自動化されたプロセスへと移行する必要があり、ここ数年で爆発的にプライバシーテックを発展させています。

プライバシーテックへの移行における重要領域

  • プロセスオーケストレーション
    プロセスオーケストレーションとは、オペレーションを改善し効率を向上させるために、プロセスを標準化することです。プロセスオーケストレーションには自動化も含まれ、これを活用することにより、企業は時間やコスト、リソースを低減しながら、首尾一貫した形でタスクやプロセスを完了させ、それらを継続的に改善していくことが可能となります。
  • 個人データ管理
    プライバシーテックのソリューションは、個人データの管理や記録作成を、スピード、正確性、効率性の点で向上させます。また、データ検出の自動化を提供するソリューションは、個人データの所在の特定や、ユーザーの要求への効果的な対応を可能にします。暗号化、マスキング、アクセス制御の自動化による追加的なデータ保護要件の充足といった点でも、プライバシーテックのソリューションを適用できるでしょう。
  • GRC(ガバナンス・リスク・コンプライアンス)
    リスクの統合的な視点を得るために、企業は、統合GRCまたは統合リスク管理へと向かう傾向にあり、リスク種別には、テクノロジーや業務運営、プライバシー等が含まれます。プライバシー強化のために、今後プロセスオーケストレーションとGRC管理プロセスがプライバシーテックと統合され、包括的なプライバシーリスク管理が可能になると考えられます。近い将来には、リアルタイムの洞察を生み出すデータドリブン型GRCが標準となり、それらがプライバシーリスクの把握や管理の方法を変えていくでしょう。

既存テクノロジーに潜むプライバシーリスク

  • IoT、5G、エッジコンピューティング
    IoT、5G、エッジコンピューティングの普及により、ますます多くのデータポイントで豊富なデジタルフットプリントを収集できるようになるため、個人データの流出など新たな懸念が生じます。
  • 人工知能(AI)
    AIや機械学習の能力が進歩するにつれ、企業は、ビジネス上の洞察や意思決定の自動化を促進するために、データをどのように使用しているのかについて、消費者へ情報を提供する必要があります。
  • 仮想現実(VR)と拡張現実(AR)
    生体データの収集やユーザー向けアプリケーションからの常時データを使用される可能性があり、適切なプライバシーへの配慮が必要です。
  • ソーシャルネットワーキング、コラボレーションとテクノロジー
    度重なるデータ漏洩や、プロフィールデータの悪用の可能性、セキュリティ上の問題などにより、ユーザーはSNSや関連技術におけるプライバシーの影響についてますます懸念を深めており、より安全なシステムを期待しています。
  • ヘルスケアテクノロジー
    家庭用医療機器の開発にもIoTの利用が増える中、センシティブな個人データの問題が発生する可能性があります。

厳格化する各国規制とプライバシーテック

データ保護指令95/46/ECと同様に、GDPRは世界的なプライバシー規制の基盤を作り、企業は自社のプライバシーコンプライアンス状況について再評価を迫られ、より高い基準へ移行することを余儀なくされました。
しかしこれは規制の変化の始まりにすぎず、中国、ブラジル、タイ、インドなど、多くの国々もGDPRに追随し、規制の制定に動いています。
プライバシー規制の強化はメリットをもたらす一方で、潜在的な規制変更の数が大きく増えると、企業はそれらの把握、理解、要求事項の充足のために重い負担を強いられることとなるでしょう。

顧客データの使用に関する有用な技術
GDPRなどの規制では、データ保護の原則が匿名情報には適用されないとしていますが、企業は、匿名化により個人を再識別できる可能性が本当にないのか、確認しなければなりません。
個人情報を含む大規模なデータセット(データの集合体)を共有する必要がある場合の有用な技術を紹介します。

  • 差分プライバシー
    データを共有する際にプライバシーリスクを管理しようとするものです。データセットの中に“統計的ノイズ”層を加え、各個人データが元のデータセットに含まれていたものであるかどうか判断できないようにし、プライバシーを維持しながらも、各集団のパターンについて読み取れるようにします。また、プライバシーをリスクの累積という観点で定量化し、理解できるようにするものでもあり、「プライバシー予算」を設定して、それを超えるクエリーはそのデータセット内の個人の特定につながる、という考え方をします。
  • 合成データ
    機械学習を用いて、元となったデータとは異なる新たなデータセットを作成します。新たなデータセットは個人データを含まないものの、元のデータセットとある程度の類似性を保持しており、より広い範囲でのデータ共有を可能とします。

その他のプライバシーテック

  • AIなどを活用した次世代の自動化
    AIは、プライバシーテックの未来において一定の役割を担います。すべてのオペレーションのベースでもあり、非倫理的なデータの取扱いを防ぐバリアともなるAIは、プライバシー保護の自動化を強化するためにも使用することができます。ベンダー管理から、クッキーや同意の監視、データの管理まで、AIはプライバシーコンプライアンスツール内で動作し、倫理的な境界線の中で人間のタスクをより迅速かつ正確に完了させます。
    なお、AIを導入する際には、倫理的かつ安全な方法の確保について注意が必要です。
  • 次世代のプライバシーポータル
    自身の個人データがどのように使用されているのかを知りたいときや、データ主体としての権利を行使したいときに、ユーザーは何を期待するでしょうか?
    次世代のプライバシーポータルでは、ユーザーが各企業で使用されている個人データのフィールドを正確に把握し、データが共有されることで目に見える形のダッシュボードが提供され、データ使用に対する強化されたコントロール手段が可能になるでしょう。
  • プライバシー拡張技術(PETs)
    PETsはプライバシーテックの将来に変化をもたらすもので、個人データの使用を最小限に抑えたり、データの安全性を最大限に高めたりするとともに、個人が自らプライバシー権を保護できるような仕組みなどを実現するとされています。PETsの利点は、基礎となる個人データを保護しながらもデータ分析を可能にすることですが、PETsはまだ誕生間もない分野で、コストや導入の複雑さなどの障壁があり、その状況は日々変化しています。
  • データアクセス制御
    ウェブサイトへアクセスするだけでeメールアドレスや位置情報などの個人データが生成され、ユーザーの理解や同意のないままにデータ収集や保存が行われるということが頻繁に起きています。このような状況を踏まえ、多面的で動的なアクセス制御モデルが提案されており、これらのデータアクセス制御モデルでは、どのようなアクセス権限を付与するかという点において、使用目的の概念が重要となり、指定されたデータ要素へのアクセスの目的に沿って、意図された個人データ利用を特定します。さらに、利用目的に係るコンプライアンス確認や明示的なアクセス禁止をサポートすることができます。

データ倫理の問題は?
高度化する技術により際限のないデータ収集を行うことで、個人データの倫理的な収集、処理、管理に関する違反が発生する可能性が高まります。プライバシーテックの将来においては、倫理が特に重要な意味を持つこととなるでしょう。「プライバシーバイデザイン」の適切な計画を組み込み、社会的影響を広く考慮する倫理的原則に従うことが求められます。

今後の展望

プライバシーテックのソリューションを検討する前に、「今」を評価し、要件を特定することが重要です。
そのソリューションが対応しなければならない具体的なニーズを把握し、技術仕様を考慮しながら自動化できる手動プロセスの検討、現在および将来的にソリューションが提供すべき事項を明確にします。
ソリューションとして求められる特性としては、使いやすさ、利用可能な製品やサービスの組み合わせ、テクノロジーや規制の環境変化のなかで組織とともに成長できる長期的な持続可能性などが挙げられます。

本レポートのPDFでは、上記の内容についてより詳細に、プライバシーテックやその管理策がどのように活用されるのか考察しています。ぜひご一読ください。

レポートコンテンツ
1.チェンジドライバー(プライバシー保護対策の変遷)
2.プライバシー分野への技術の適用
3.変化する消費者プライバシー技術
4.プライバシー重視のソリューションの広がり
5.企業のためのプライバシー技術とは
6.今後の展望

本レポートの全文はこちらから:プライバシー技術:What’s next? ~自動化時代におけるデータプライバシー技術の進化

お問合せ