データ規制対応・プライバシー保護の必要性
近年、日本企業は、製品・サービスの海外展開やグループ全体におけるDX推進において、全世界の消費者・取引先より多くのデータを収集して高度な分析を行い、これを積極的に活用することが必須になりつつあります。
一方、2017年頃を起点に世界各国・地域で、個人データ保護を目的とした規制の新設・改訂が進んでおり、多くの国・地域でも欧州一般データ保護規則(GDPR)を追随するように、規制の厳格化が進んでいます。さらには個人データに限定されないデータの越境移転や、AI分析による先進的なデータ取扱いの制限など、データ全般における関連規制への対応が各企業に要求されています。
加えて、近年に発生した個人情報漏洩事案等から、消費者におけるプライバシー意識はますます高まりを見せています。情報管理の在り方が社会における信頼の礎となる現在において、企業は、データ規制への対応やプライバシー保護を優先的に対応すべき経営課題と見定め、早急に論点整理を進める必要があります。
日本企業における対応の行き詰まりの原因
従来、日本企業がグループとしてデータ規制対応やプライバシー保護を実施する際には、本社や関係会社における対応部門が、各々の責任で規制遵守することが主流でした。しかし各社・部門間の責任分界点の不明確さや施策実施のサイロ化に起因してプロジェクトが停滞の一途を辿り、その対応に過不足が生じる例も少なくありません。
複雑化する課題を全社観点で包括的に検討していく必要があるにもかかわらず、所管部門に求められる組織横断的な動きができない、また確とした構想や計画はあってもそれを実現する十分な実行体制を備えることが難しいなどの理由により、 結果としてデータ規制対応・プライバシー保護の推進が阻害されているケースも散見されます。
【日本企業によく見られる組織横断的な課題】
データ規制対応・プライバシー保護の進め方
複雑化する課題に対し、日本企業では今後、下図に示すようなデータ規制対応・プライバシー保護のフレームワークを参考に、グループとしてプロジェクトを組成のうえ、体系的に施策を進めていくことが、解決への第一歩となります。
経営層による慎重な意思決定が必要である“Strategy”から、各部の業務の品質や効率性の改善を図る“Operation”の領域まで一気通貫で縦断するとともに、課題を複雑化させる大きな要因である「グローバル」「テクノロジー」「ビジネス」のリスクについても考慮したうえで、複合的に対応を推進することが、望ましいと言えます。
【データ規制対応・プライバシー保護を進めるフレームワーク】
KPMGの支援
KPMGでは日本企業が認識する重要な課題に対して、フレームワークに従った以下の各種サービスをワンストップで提供しており、トップダウン/ボトムアップなど各社の企業文化に適した進め方によりプロジェクトを推進します。
| テーマ | サービス | 概要 |
|---|---|---|
| Strategy | データ関連法規制対応戦略策定支援 | 各国・地域におけるデータ規制を俯瞰的に整理し、グループとしての最適なプロジェクトの組成・推進を含むデータ利活用に向けた戦略策定をサポートします。 |
| データ関連法規制対応に向けたマクロリスク分析支援 | 個人データ保護法令を中心として各国・地域のデータ規制における事業・拠点への影響を総合的に評価・分析し、グループ全体におけるリスクの可視化をサポートします。 | |
| 各国・地域データ規制対応支援 | グローバル企業が注視すべき各国・地域のデータ規制に対して、効果的かつ効率的なリスク低減を図るための対応方針を定め、対策推進をサポートします。 | |
| Governance | グローバル企業における個人データ管理態勢構築支援 | グループ全体のプライバシー組織設計、および標準的な保護ルールを策定し、グローバル個人データ管理態勢の構築から導入までを総合的にサポートします。 |
| グループ横断データ利活用スキーム構築支援 | グループ間の横断的なデータ流通を前提とした共同利用スキームの構築、およびデータ利活用に伴うコンプライアンス対応とセキュリティ対策をサポートします。 | |
| 経済安保を見据えた情報管理態勢整備支援 | データ移転規制、ガバメントアクセス、技術流出等の経済安全保障リスクを踏まえ、データレジデンシーにフォーカスした管理態勢の構築をサポートします。 | |
| Process | データマッピングプロセスの構築・実行支援 | 全社のデータを網羅的かつ効果的に把握し、データの保護水準向上と戦略的活用を両立させる基礎となるデータマッピングプロセス構築をサポートします。 |
| データ保護影響評価プロセス構築支援 | Privacy by Designを見据え、リスクが高い事業・サービスを評価し、評価結果に応じた対策と迅速なローンチを可能とする仕組みの構築をサポートします。 | |
| インシデント対応プロセス構築支援 | 各国・地域のデータ関連規制で要求されるインシデント対応に向けた報告フローやプロセスの構築、および有事の際の緊急的な一次対応をサポートします。 | |
| Operation | データ越境移転規制対応支援 | グローバル横断のデータ移転を伴う事業・サービスにおいて越境移転規制等の観点から安全にデータ移転・保管等する対策スキームの検討をサポートします。 |
| プライバシーリスク管理業務効率化支援 | 企業におけるデータ保護業務の負担軽減を見据え、限られたリソースで持続可能なオペレーションの検討、およびシステム構築も含めた導入までをサポートします。 | |
| データ規制を踏まえたシステム要件定義支援 | 円滑なDX推進(ERP/CRM/HRシステム導入等)において、データの集中管理を可能にするための各種規制を勘案したシステム要件定義をサポートします。 |
