AIをはじめとしたデジタル技術の急速な発展により、企業活動における個人データの取扱いの様態は大きく変化しています。これに伴い、企業には個人データ保護に対する対応の向上が求められており、データ保護影響評価(プライバシー影響評価、DPIA、PIAと呼称される場合もある)は、その有用な手段の1つとされています。

KPMGはデータ保護影響評価に関する豊富な知見を基に、プロセス構築から実行までを支援します。

個人データ保護に対する社会的要請の高まり

個人データの利活用は企業の競争力強化に向けて不可欠な取組みであり、その価値は近年さらに高まっています。他方で、EU一般データ保護規則(GDPR)を筆頭に各国・地域における個人データ保護規制の厳格化が進んでいるほか、個人におけるプライバシー保護の意識も向上しており、個人データ保護に対する社会的要請がより一層高まっています。

【デジタル技術の発展による個人データを取り巻く変化】

個人データ取扱い様態の変化
  • 大規模化
  • 高度化
個人データ保護に対する社会的要請の高まり
  • 個人データ保護規制の厳格化
  • プライバシー保護意識の向上

企業におけるデータ保護影響評価の課題

データ保護影響評価とは、特定の事業や施策において個人データの取扱いを個別に分析・評価することにより、効果的・効率的なリスク低減を図る手法のことを指します。そのプロセスの構築や実行にあたっては、多くの企業において以下の課題が存在すると考えられます。

対象の絞り込み
  • どの事業・施策に評価を実施すべきか、明確な基準の整備が難しい
評価の観点整理
  • システムやSaaSの利用など、取扱いの様態がさまざまで、評価観点の普遍化が難しい
実施フローの整備
  • 実施のタイミングや、関係者の選定・役割分担等、実施フローの整備が難しい

データ保護影響評価のコンセプト

前述の課題認識のもと、KPMGでは多様化する個人データ取扱いのリスクを「データ固有リスク」と「データ処理リスク」に分類し、その影響度を検討することで実施対象の絞り込みや普遍的観点での評価を実現します。

さらに、各リスクに対する情報セキュリティ・プライバシー対策の状況について、各国・地域における個人データ保護規制の要求事項も踏まえて俯瞰的に確認することで、リスク低減に向けた具体的対策を検討します。

データ保護影響評価プロセスの構築・実行支援_図表1

KPMGのデータ保護影響評価プロセスの構築・実行支援の流れ

KPMGは、以下のステップで企業のデータ保護影響評価プロセスの構築・実行を支援します。

ステップ 1.現状分析・観点整理 2.仕組みの整備 3.実行・運用定着
実施事項
  • 個人データ取扱い状況の全体像を可視化
  • 個人データ保護規制の要求事項を踏まえ、対象事業の絞り込みやリスク低減に向けた評価観点を検討
  • 具体的な評価手段の実装
  • 関係者の明確化および役割分担の検討
  • 次回評価に向けた過去評価結果の蓄積・管理方法の検討
  • 実行性向上に向けた
    パイロット試験
  • 評価実施時の伴走支援
  • 運用定着に向けた教育
提出物等
  • データフロー図
  • 実施基準・評価項目案
  • 評価資料(チェックリスト等)
  • 実施フロー案
  • 評価結果フィードバック
  • 評価項目・実施フローのレビュー結果
  • 教育資料(マニュアル等)

ステップ1.現状分析・観点整理

企業の個人データ取扱い状況の全体像と流れを把握し、現状分析を行います。その結果を基に、「データ固有リスク」と「データ処理リスク」について、各国・地域における個人データ保護規制の要求事項を踏まえて、データ保護影響評価の実施基準・評価項目を検討します。

データ保護影響評価プロセスの構築・実行支援_図表2

ステップ2.仕組みの整備

ステップ1で検討した実施基準・評価項目を基に、データ保護影響評価の手段(具体的文書等)を実装します。加えて、評価関係者の役割分担を明確化して実施フローを整備します。

データ保護影響評価プロセスの構築・実行支援_図表3

ステップ3.実行・運用定着

データ保護影響評価の実施にあたって、その実効性の向上と継続的な運用の実現を図ります。すでにデータ保護影響評価の枠組みを整備している企業に対しては、新規事業や高リスクな取扱いが想定される事業など、難易度の高いケースのサポートや、既存の評価システムに対するアドバイスを実施することも可能です。

データ保護影響評価プロセスの構築・実行支援_図表4

KPMGによるデータ保護影響評価プロセスの構築・実行支援の特長

  • プロジェクト推進:横断的プロジェクト管理

横断的に推進するため、英語でのコミュニケーションスキルおよびプロジェクト管理の豊富な経験を有する人員による支援が可能です。

  • 豊富なナレッジ:法規制/セキュリティの知見

データ保護規制の要求事項に基づく現実的で有効な対策を提案するため、現地の法規制に加え情報セキュリティについても深い知見を有するメンバーでチームを構成します。

  • グローバルネットワーク:KPMGのネットワーク

KPMGのネットワークを活かし、他社事例や現地慣行を踏まえて検討します。必要に応じて海外拠点にKPMGの現地法人が直接支援することにより、不要なリードタイムを削減します。

お問合せ