情報技術の発達により企業のデータ利活用が高度化する一方、各国・地域ではデータ関連法規制の新設や厳格化が急速に進んでいます。そのため、企業はそれら法規制を踏まえてグローバル事業の展開を検討する必要があります。KPMGは豊富な知見を基に、データ関連法規制が事業に及ぼす影響把握に向けたマクロリスク分析について支援します。
多様なデータ関連法規制におけるリスク把握の必要性
世界各地で厳格化するデータ関連法規制に対して、各地の事業規模および各規制のリスク程度は異なることから、それらすべてに対応することは効率的ではありません。そのため、グローバル事業の展開にあたっては、対応の優先順位を検討し、より効率的な規制対応を実現するため、係るリスクを俯瞰的に把握する必要があります。
企業における課題
マクロリスク分析は、自社の事業とデータ関連法規制の内容を掛け合せて分析し、高リスクな内容の特定や対応優先度の検討を行う手法を指します。データ関連法規制の影響を俯瞰的に把握するうえで、効果的な手段の1つです。一方で、その実施にあたっては、多くの企業において以下の課題が存在するものと考えられます。
マクロリスク分析のコンセプト
前述の課題認識のもと、KPMGは分析対象(※)について以下3つの観点から影響度合いを検討することで、複雑化するデータ関連法規制対応における総合的かつ効果的なリスクの可視化を行います。
※分析対象:事業・部署・拠点・製品など分析される主体のこと。
| 各国・地域の規制リスク | 分析対象に対する各データ関連法規制の適用可能性や、執行を受けた際の影響(経済的損失等)を検討 |
|---|---|
| 事業特性リスク | 分析対象が取り扱うデータ規模や取扱い性質(BtoCデータの取扱いやAI利用など)を検討 |
| 対応難易度 | 分析対象におけるデータ関連法規制への対応工数から、本社/管理部門によるサポートの必要性等を検討 |
支援の流れ
KPMGは、以下のステップでデータ関連法規制が事業に及ぼす影響把握に向けたマクロリスク分析を支援します。
| ステップ | 1.分析対象・適用され得るデータ関連法規制の整理 | 2.分析・示唆出し | 3.分析結果に基づく規制対応の改善検討 |
|---|---|---|---|
| 実施事項 |
|
|
|
| 提出物等 |
|
|
|
ステップ1:分析対象・適用され得るデータ関連法規制の整理
まずは分析される主体となる「分析対象」を整理します。次に、拠点や製品・サービスの展開国・地域等を踏まえて適用され得るデータ関連法規制(個人データ保護規制を含む幅広い規制が対象)を整理します。
ステップ2:分析・示唆出し
ステップ1で整理した結果を踏まえて、各指標を算出します。俯瞰的に整理をするために、各算出結果からリスクマトリックスを作成・分析のうえ、対応方針につながる示唆出し(対応の優先順位付け等)を行います。
ステップ3:分析結果に基づく規制対応の改善検討
ステップ2の分析結果を踏まえ、具体的な施策実施に向けた対応方針を検討します。さらに、マクロリスク分析の実施プロセスを構築することで継続性の確保を図るほか、分析結果の定期的な見直しを行います。
KPMGによる支援の特長
| 背景 | 利害関係者が多岐にわたるため慎重な判断が必要 | 各国・地域法規制/情報セキュリティの専門知識が必要 | 海外拠点の動向も勘案した対策が必要 |
|---|---|---|---|
| 特徴 | プロジェクト推進: 横断的に推進するため、英語でのコミュニケーションスキルおよびプロジェクト管理の豊富な経験を有する人員による支援が可能です。 | 豊富なナレッジ: データ保護規制の要求事項に基づく現実的で有効な対策を提案するため、現地の法規制に加え情報セキュリティについても深い知見を有するメンバーでチームを構成します。 | グローバルネットワーク: KPMGのネットワークを活かし、他社事例や現地慣行を踏まえて検討します。必要に応じて海外拠点にKPMGの現地法人が直接支援することにより、不要なリードタイムを削減します。 |
