KPMGコンサルティング、「プライバシー技術：What’s next？」（日本語版）を発表

KPMGコンサルティング株式会社（本社：東京都千代田区、代表取締役社長 兼 CEO：宮原 正弘、以下、KPMGコンサルティング）は、デジタル時代におけるプライバシー技術（プライバシーテック）の活用について、KPMGインターナショナルが米国のOneTrust社と共同で作成したレポート「プライバシー技術：What’s next？－自動化時代におけるデータプライバシー技術の進化」（日本語版）を本日発表しました。本レポートでは、急速に変容するビジネス環境において、個人データに係るプライバシーガバナンスが企業の経営戦略上ますます重要となってきている状況を踏まえ、今後プライバシーテックが企業活動のなかで、どのように活用されるべきかを考察しています。

2018年5月にEU一般データ保護規則（GDPR）が施行されて以降、中国やブラジル、東南アジア諸国をはじめ、多くの国々や地域で個人情報保護法の新設や大幅な見直しが行われています。国内においても、2022年4月に改正個人情報保護法が施行され、本人請求権の拡大やデータ利活用の推進、ペナルティの強化など、他国の動きに歩調を合わせたさまざまな見直しが行われました。消費者の個人情報に対する意識の高まりや、技術革新に伴う新たなリスクの顕在化などを背景として、個人情報保護に係る各国の法規制はますます厳格化される傾向が続いています。このように急速に変化し、複雑化する各国規制へ対応していくためにも、プライバシーテックの活用は企業にとって必要不可欠なものとなりつつあります。

また、5GやIoT（モノのインターネット）など、テクノロジーの進歩により個人データの収集や利活用が高度化・大規模化するなかで、新たなデータ利活用を支える基盤として、あるいは多様化するリスクを効果的に低減するためのソリューションとしても、プライバシーテックは企業の競争優位を確保する重要な要素となるといえます。デジタル時代における企業への信頼は、データの利活用やそのガバナンス体制の成熟度にも大きく依存するため、今後企業は、プライバシー保護の組織体制や業務プロセスの見直しに向けて、プライバシーテックの活用を検討することが求められます。

KPMGが2021年に発表した調査レポート「Me, my life, my wallet（私、私の人生、私の財布）」によると、消費者の55%は企業に対する最優先の期待事項として「データ保護対策」を挙げており、47%は「企業が自身の個人データの販売や共有を行わないよう求める」と回答しています。昨今のビジネスにおける個人データの高度な利活用に対し、消費者の懸念は徐々に高まりつつあり、単にデータの保護を要求するだけでなく、自らの個人データがどのように利用されるのかを自身で決定できるよう、より多くのコントロール権を要求しています。

プライバシーテックは、データセキュリティやプライバシー保護を強化するとともに、業務の効率化と高度化を目指すものです。テクノロジーは人手による作業に取って代わり、企業が世界各国のプライバシー規制を遵守するための強力な手助けとなり得ます。本レポートでは、企業が消費者のプライバシーを守りながら、個人情報を含む大規模なデータセットを利活用する際の有用なアプローチを取り上げています。

• 個人の識別可能性とデータの使いやすさのバランス
  企業は、匿名化の処理結果に対して、個人を再識別できる可能性が本当になくなっているかを確認しなければなりません。個人情報を含む大規模なデータセットを他者へ共有する必要がある場合には、「差分プライバシー」や「合成データ」の技術を活用することで、識別可能性を低減することが可能です。
  • 差分プライバシー
    差分プライバシーは、データセットのなかに統計的ノイズ層を加えることで、データを共有する際の再識別リスクを低減するものです。処理後のデータセットにおいて、各個人のデータが元のデータセットに含まれていたものであるかどうかを判断できないようにします。
  • 合成データ
    合成データの作成では、機械学習を用いて、元となった個人データとは異なる新たなデータセットを作成します。新たなデータセットは実際の個人データを含まないものの、元のデータセットとある程度の類似性を持つものとなり、より広い範囲でのデータ共有を可能とします。
• AI（人工知能）を活用した次世代の自動化
  AIにより、プライバシー保護対策を自動化します。倫理的な境界線の範囲内で、管理担当者がこれまで手作業で実施してきたタスクを、迅速かつ正確に自動で完了させることができます。
• 次世代のプライバシーポータル
  プライバシーダッシュボード、あるいはプライバシー設定の集中管理ツールは、個人がプライバシーに関するプリファレンスを一箇所で管理できるようにします。
• プライバシー拡張技術（PETs）
  PETsは、技術的に個人データの使用を最小限に抑えたり、データ処理における安全性を高めたりするための仕組みを実現しようとするもので、プライバシーリスク対策の将来に変化をもたらすものです。PETsの例としては、「準同型暗号化」や「セキュアマルチパーティ計算」などを挙げることができます。
  • 準同型暗号化（Homomorphic Encryption）
    準同型暗号化は、長らく個人データを保護するための手段として用いられている暗号化において、データを利用する際に行われる復号化を不要とするもので、暗号化されたままデータの計算処理などを可能にすることで、復号化によるリスクを減らします。
  • セキュアマルチパーティ計算（SMPC）
    SMPCは、暗号のサブフィールドの1つで、複数の事業者がそれぞれに所有する複数の暗号化されたデータソースに対して、各事業者の保有するデータの内容を明らかにすることなく、データの共同解析を実現しようとするものです。
• データアクセス制御（データアクセスコントロールモデル）
  データアクセスコントロールモデルは、個人データへのアクセスを管理する手法としてこれまで主流であった個人ごとにアクセス権を設定するロールベースアクセス制御（RBAC）に代わるものです。使用目的の概念を重視し、コンプライアンスルールやメタデータを組み合わせて多面的で動的なアクセス制御を行うもので、管理者はシステムやデータストアごとに個別に役割設定を行う必要がなくなります。より効果的にリアルタイムでの変更にも対処できるため、メンテナンス等に係る負担を軽減することも可能となります。
  

KPMGは、データ保護やサイバーセキュリティの専門家で構成されるグローバルな組織が、リスクを多面的に捉えながら、企業のプライバシーに関する課題解決を支援しています。KPMGでは、深い技術的専門知識、強力なビジネス洞察力、規制対応に詳しいクリエイティブな専門家を組み合わせることで、企業が顧客、従業員、ベンダーの期待に応えながら、個人情報を活用して価値を創造し、収益を増加させることを支援します。

本レポートの全文はこちらからダウンロードできます：プライバシー技術：What’s next？
英語コンテンツ（原文）はこちらをご覧ください。

KPMGコンサルティングは、KPMGインターナショナルのメンバーファームとして、ビジネストランスフォーメーション（事業変革）、テクノロジー、リスク&コンプライアンスの3分野でサービスを提供するコンサルティングファームです。戦略、人事・組織、PMO、アウトソーシング、ガバナンス・リスク・コンプライアンス、ITなどの専門知識と豊富な経験を持つコンサルタントが在籍し、金融、保険、製造、自動車、製薬・ヘルスケア、エネルギー、情報通信・メディア、サービス、パブリックセクターなどのインダストリーに対し、幅広いコンサルティングサービスを提供しています。