8 分 2022年3月18日
日の出のメルボルンで橋を渡る人々

プライバシーに関するインフォメーションガバナンスの重要性が増している理由とは

執筆者 Jennifer Joyce

Senior Manager, Forensic & Integrity Services, EY US LLP

Trusted advisor and thought leader on information governance, privacy and legal preservation. Drives collaboration to create holistic services for clients. Enjoys traveling, hiking and podcasts.

EY Japanの窓口

EY Japan Forensics フォレンジック・テクノロジーリーダー/サイバー・アシュアランスリーダー EY新日本有限責任監査法人 プリンシパル

日本におけるデジタルフォレンジックの黎明期から活躍するパイオニアの一人。

8 分 2022年3月18日

関連資料を表示

EYのチームが掲げる7つの原則は、どのような組織にとっても統合されたインフォメーションガバナンス(IG)およびプライバシープログラムの基礎となるものです。

要点

  • 有効なデータ管理を実施していない組織は、管理されていないデータを抱え、その維持や整理に多大なリソースを要することになる。
  • このような問題を解決するには、人材と資金の両方が必要となる可能性が高い。
  • データやプライバシーの保護を向上するためのテクノロジー投資および戦術的な動きは、基本的なIG原則がなければ期待外れに終わることもあり得る。
Local Perspective IconEY Japanの視点

新規事業の開発や業務の効率化などを目的として企業内におけるデータ活用の取り組みが促進している一方で、データが持つ情報の管理(インフォメーションガバナンス)の面で、法務・コンプライアンス、セキュリティに関連するリスクが高まっています。

日本においては2022年4月施行の改正個人情報保護法により、開示請求に備えた保有個人データの棚卸しや漏えい時の対応手順の整備などが求められており、特にインシデント対応時の報告要件については事前準備無しでは対応できないレベルの迅速性が組み込まれています。

また、海外子会社の不正調査などのクロスボーダー調査におけるデジタルフォレンジックの実施に際しても、テクノロジーを活用したデータマッピングおよびその結果に基づく不要データの廃棄など事前の情報管理が対応の効率化をもたらすと同時に、不必要なデータの保管やデータ移転のリスクを低減させます。

このように、インフォメーションガバナンスは法務・コンプライアンス、セキュリティの側面からその重要性が増しています。

 

EY Japanの窓口

杉山 一郎
EY Japan Forensics フォレンジック・テクノロジーリーダー/サイバー・アシュアランスリーダー EY新日本有限責任監査法人 プリンシパル

2020年、プライバシーに関する重要な新法が施行され、一部の企業では混乱が起きました。また、EU一般データ保護規則(GDPR)の違反に対し、大規模な執行措置がとられたり罰金が科されたりする事例も複数見られました。そして新型コロナウイルス感染症(COVID-19)のパンデミックという未曽有の事態に直面し、私たちの社会生活や働き方はほぼ一夜にして一変しました。それに伴ってプライバシーに関する多くの課題が生じ、企業はいまだに対応を続けています。包括的な米国連邦プライバシー保護法の成立のめどが立たないまま、プライバシーに関わる業界は、2021年に提出された州のデータプライバシー法案という変化の波に挑み続けています。

しかし、こうした整備中の規制の課題に向き合い続けるとしても、消費者のプライバシー保護の本質的な基盤が健全なインフォメーションガバナンス(IG)プログラムにあることに変わりはありません。確立されたIG原則を順守することはプライバシープログラムを構築する上で不可欠な要素であり、それが企業の法令・規制・ビジネス上の要件を満たす土台となって違反やプライバシー侵害などのインシデントの発生を最小限に抑え、消費者データの保護に関わるブランド認知の確立を促します。

EYは、あらゆる組織にとって統合されたIGプログラムおよびプライバシープログラムの基礎となる7つの原則を策定しました。優れたインフォメーションガバナンスは、プライバシーリスクの低減に加え、コストの削減、プロセスの効率化、より迅速かつ多くの情報に基づいた意思決定を可能にします。

(Chapter breaker)
1

原則1

自社のデータの情報を把握する

最も重要なステップは、自社がどのようなデータを作成・受領・収集しているかを把握することにあります。

企業は⾃社がどのようなデータを保有しているかを把握する必要があり、そうして初めて、順守すべき法令上の要件を判断できます。特にプライバシーに関するコンプライアンスは、どのような個人データが誰から収集されているのか知らなければ、それを順守することは不可能です。

そこで、まず始めに、データインベントリの作成を検討する必要があります。これは組織にとって最も重要なデータ、特別な取り扱いや保護を要するデータ、法律や規制で要求されるデータというように、データの種類を識別するものです。インベントリを作成することで、企業全体のこうした重要データの種類を識別するための分類の枠組み作りに活用できるようになります。

企業では、データのインベントリ作成や分類に⾼度なテキスト分析やさまざまな⼈⼯知能(AI)技術を⽤いることが増えています。データの種類や保存場所を明確に特定するための検索基準や予測分析も確⽴されています。

(Chapter breaker)
2

原則2

データの在りかを把握する

保有しているデータを把握していても、その在りかを知らなければ意味がありません。

個⼈データを効率的に特定できなければ、データ主体アクセス要求(DSAR)に対する所定期間内の対応、システムやリポジトリ内の個⼈データ保護を⽬的とした適切な管理の実施や、データを国・地域を越えてサードパーティーに転送する際の適切な転送ツールの使用や保護措置の実行など、プライバシー規制に則したコンプライアンスへの準拠を実証することは困難になるでしょう。

組織はデータインベントリを活⽤して、組織内外のシステムやリポジトリにデータをリンクするデータマップを作成する必要があります。データマップは、データ管理やプライバシー規制を順守する上で不可⽋なツールです。データマップを使⽤することにより、データのライフサイクル全体で、またデータが国・地域を越えて移動する際にデータを追跡することができ、⾃社に関連するグローバルのプライバシー要件や保護要件の特定が可能になります。

データマップの作成は、データディスカバリーやデータマッピングのテクノロジーによって確実に加速化するものの、組織のビジネスおよびITのステークホルダーが大きく関与しなければ、実りある包括的なデータマップは作成できません。テクノロジーを最大限に活用できる領域は、データマップの継続的な維持管理です。自動化を通じて、データマップの持続的なレビューと更新を効率化できます。

(Chapter breaker)
3

原則3

データの使用状況を把握する

自社データのビジネス上の用途を理解するために時間をかける必要があります。

プライバシーの観点から⾔えば、データのビジネス上の⽤途を理解することはデータの最⼩化に役⽴ちます。データの最⼩化はGDPRおよびカリフォルニア州プライバシー権法(CPRA)の原則であって、組織による個⼈データの収集・保存・利⽤は、当該データを処理する⽬的の遂⾏に関連性があり、絶対に必要なものだけに限定するよう定められています。

データの最小化は、組織が最も価値のある情報の管理と保護にリソースを集中させることができるため、組織のIGプログラムにとっても同様に重要です。

GDPRの対象となる組織は、第30条Records of Processing Activities(ROPA、処理活動に関する記録)で規定されている通り、さまざまなカテゴリーの個⼈データの処理⽬的を⽂書化しなければなりません。この情報の多くは、組織が実施する広範なデータマッピング作業の⼀環として収集・更新することができます。

組織は、新しい処理作業に注意を向けるために追加の管理やプロセスの導⼊を検討する必要があります。新しい処理作業とは、組織内またはサードパーティーによるデータの利⽤⽅法の変更などです。そうした変更については、データ主体の同意が得られておらず、プライバシー影響評価(PIA)の⼀環で評価を実施しなければならない可能性があります。

(Chapter breaker)
4

原則4

データを保護する方法を把握する

データはほとんどの組織にとって生命線であり、その保護は堅固なIGプログラムの柱です。

サイバー攻撃により侵害または窃取されたデータは犯罪者に悪⽤され、公開される恐れがあります。⼤規模な侵害により社会的信⽤が失墜し、何年にもわたって企業収益が圧迫されるかもしれません。顧客および従業員データのプライバシーを保護するには、技術的、組織的なセキュリティ対策を適切に⾏うことが不可⽋です。すべての個⼈データは、不正なアクセス・処理、破壊、損傷から保護される必要があります。

多くの組織は、プライバシー・バイ・デザインを採⽤することで、ビジネスやテクノロジー、企業⽂化にもプライバシーを直接組み込むよう努めています。PIAは、製品やサービス、テクノロジーが導⼊または展開される前に、製品とサービスをベースとしたソリューションでデータ保護とプライバシーがどのように扱われているかを評価し特定するために使⽤される手法です。

GDPRでは、⾼度なプライバシーリスクを伴うあらゆる種類の処理、特に新しいテクノロジーの使⽤について、データ保護影響評価(DPIA)が必要とされています。これらの評価はいずれも、個⼈データの収集・処理・転送を伴う製品、プロセス、システム、イニシアチブについて、リスクとその軽減策を特定する上で役⽴つものです。

(Chapter breaker)
5

原則5

外部事象への対応方法を把握する

IG原則により、外部の要因および事象がデータ管理にどう影響するかを把握できます。

新たなデータプライバシー規制が導⼊される前は、強⼒なIGプログラムによって、企業は規制当局の調査、訴訟、M&A取引に起因した複雑で時間的制約のあるリソース集約的なデータ要求に対応することができました。同じように、健全なIGプログラムは、企業がDSAR、プライバシーインシデント、データ侵害などのデータプライバシーに関わる事象に対し、必要に応じて⽅向転換したり効率的に対応する⼒を向上させます。

IGプログラムに不可⽋な要素は、データマップなどのリソースから得られる知識を活⽤し、テクノロジーを連携させて、関連データの特定、収集、レビュー、要求者への提供を効率化することです。少なくとも、DSAR処理を⾏うための標準化された効率的なワークフローの開発が求められます。

世界中でアクセス権を得る人が増加する中、プライバシー要件の順守をサポートするための新たなテクノロジーを検討する必要があります。例えばDSARをサポートするテクノロジーの検討に当たっては、組織が直面し得る外部事象を総合的に勘案し、どのように既存のツールや新規のツールを活用すればあらゆる場面で組織をサポートできるかを考えなければなりません。

(Chapter breaker)
6

原則6

データが必要な期間のみ保管する

多くの企業は、社会の期待に応えた上でビジネスニーズを満たすべく方針を再考しています。

個人情報の収集を制限するのと同様に、情報の保持についても、ビジネス上必要となる範囲を逸脱しないよう制限する必要があります。これまで企業はサードパーティーのプロバイダーや法律事務所と協力して、州や連邦の記録保持要件と業界固有の要件を満たす保持期間を設定してきましたが、多くの企業は、急速に整備が進むプライバシー規制に従って情報の保持期間を最新に保つための資金とリソース、社内のサポートが不足していました。

プライバシーへの取り組みを生かして時代にそぐわない保持期間や手順に注意を向け、保持期間の管理に対するより包括的なアプローチを構築すべきです。企業が保持する必要がある情報を、その期間や理由も含めて包括的に把握できるよう、プライバシーに関連する保持制限を明確にしなければなりません。

記録管理システムと、あらかじめ定義されたビジネスルールを用いたAIによる自動化などの高度なテクノロジーは、データのライフサイクル全体にわたる記録を関連規制に従って管理する上でも役立ちます。システムは、保持期間あるいは規定の保持要件に従って記録を保持するような設定が可能であり、法的または規制上の問題が発生した場合には廃棄を一時停止することもできます。最終的には、各従業員に普段かかっている負担を軽減します。

(Chapter breaker)
7

原則7

必要なデータ以外はすべて廃棄する

廃棄の枠組みにより、企業にとってもはや価値がなくなった保存不要なデータを削除します。

データを削除することによって、法的なコストとビジネス上のコストを管理しながらプライバシーリスクを低減できます。さまざまな種類のデータに応じた最適な廃棄⽅法を⾒極める必要があり、情報によっては複数の⽅法の組み合わせが求められます。健全なIG戦略とは、定められた保持期間を過ぎたデータがシステム間で伝播する前に、先⼿を打ってデータを廃棄することです。

データ主体からの削除要求は、関連する規制に則って厳密に決められた期限内に処理する必要があるため、プライバシーリスクが⾼まります。GDPRとCCPAの下では、組織が要求に応じて個⼈データを廃棄するだけでは不⼗分であり、処理業者やサービスプロバイダー側でも同じように情報を削除する必要があります。

テクノロジーを駆使したプロセスにより、組織は⾼度な分析、AI、⾃動化を活⽤してデータを廃棄し、効率を上げています。その⽬標は、組織の広範なデータ管理業務に組み込まれている、⽇常的な情報や古い情報、重要度の低い情報の廃棄をルーティン化することにあります。こうした廃棄のプロセスは、正当で監査が可能なものでなければならず、多くの組織は外部の弁護⼠やサードパーティーのプロバイダーと協⼒して、廃棄の枠組みの法的な側⾯と運⽤⾯を検討しています。廃棄にあたっては、削除、匿名化、集約などの⽅法があります。

 

サマリー

整備が進む新たなプライバシー規制によってコンプライアンス順守が一層困難になる中、健全なIGプログラムの重要性が増しています。データフットプリントを削減すれば、ビジネス・法令・規制上必要とされる極めて重要な情報の管理にリソースを集中させることが可能です。こうした原則をうまく取り入れることで、プライバシーリスクの低減、コストの管理、効率の向上、データに基づく意思決定の改善、社会的信頼の醸成を実現できます。

この記事について

執筆者 Jennifer Joyce

Senior Manager, Forensic & Integrity Services, EY US LLP

Trusted advisor and thought leader on information governance, privacy and legal preservation. Drives collaboration to create holistic services for clients. Enjoys traveling, hiking and podcasts.

EY Japanの窓口

EY Japan Forensics フォレンジック・テクノロジーリーダー/サイバー・アシュアランスリーダー EY新日本有限責任監査法人 プリンシパル

日本におけるデジタルフォレンジックの黎明期から活躍するパイオニアの一人。

  • Facebook
  • LinkedIn
  • X (formerly Twitter)