コネクティッドカーに搭載されたソフトウェアやデバイスは、種々のデータを車外へと発信し、これらのデータはさまざまな形で活用されることが期待されています。一方で、それらのデータを安全かつ適法な形で活用・管理し、セキュリティ対策を整備することが車両データを取り扱う企業にとって急務となっています。
KPMGは、OEMをはじめ自動車関連企業が取り扱う、さまざまな車両データのデータガバナンス・セキュリティ管理態勢構築を支援します。
車両データガバナンス・セキュリティの態勢構築
データの取得、取扱い、提供の各段階において、コンプライアンスやプライバシーを考慮し、ガバナンス・セキュリティ態勢を構築します。
- データ取得時
グローバル・プライバシー関連規制の遵守をベースに、プライバシーポリシーや売買契約書、利用規約などの文書の見直しを実施。 - データ取扱い時
データの社内利用におけるルール作り、インシデント対応プロセス、委託先管理手順、システムセキュリティ対策などの整備を実施。 - データ提供時
データ活用のためのルール作り、データ提供にかかわる体制やプロセスの整備を実施。
| 種類 | データ取得時 | データ取扱い時 | データ提供時 |
|---|---|---|---|
タスク | プライバシーポリシー、サービス利用規約、売買契約等の見直し | ・DPIA(データ保護影響評価) ・委託先管理手順の整備 ・インシデント対応手順の整備 | ・データ提供にかかわる体制およびプロセス整備 ・データ提供先との契約整備 |
| 文書 | (既存文書の改訂) | ・データガバナンスガイドライン ・システムセキュリティガイドライン | ・データ提供ガイドライン |
車両データにかかわる各種ガイドライン
KPMGでは、車両データガバナンス・セキュリティの態勢構築に向け、ガイドラインを含む各種文書作成を支援します。ガイドラインには、たとえば下記のようなものが挙げられます。
- データ提供ガイドライン
データ提供を企画・実施する際の手順を定め、適切なデータ提供業務を行うことを目的として作成する。データ提供の一連の流れ(企画・構想、検討、契約締結、データ提供)を、プロセス、組織(会議体)、必要となる文書といった観点から整理して記述する。 - データガバナンスガイドライン
各国のプライバシー法令を考慮しつつ、データ取扱いの適法性や、域外移転にかかわる対応、委託先管理、インシデント対応などのプロセスを定義することを目的として作成する。本ガイドラインの主管部署としては、データガバナンスを統括する部署が望ましい。 - システムセキュリティガイドライン
個人情報などの機密情報を格納したシステムのセキュリティ対策を実装するためのガイドライン。システムの新規開発、既存更改または定期点検時において、必要なセキュリティ要件を定義し、組み込むことを目的として作成する。
セキュリティ対策実装のステップは次のとおり(新規開発の場合)。
システム調査→リスク評価→対策の優先度付け→計画策定→対策実施
