オピニオン
変貌する個人データ保護法制、広がるIT部門の役割
更新: 2017年6月1日
個人情報保護に関するIT部門の役割と言えば、多くの方が情報漏洩対策を挙げるでしょう。漏洩を防止する仕組みや機能を社内システムに組み込んで維持・強化するのは基本だからです。しかし今、新たな役割が加わろうとしている、あるいは加えなければならないことを、皆さんはご存じでしょうか?具体的には次の4点です。
1.漏洩事故発生時の個人データ保護法制へのコンプライアンス対応
2.個人データの国際移転規制のためのアクセス制御
3.ITサービスに係るプライバシー バイ デザインの実施
4.法令コンプライアンス対応自体のシステムサポート
耳慣れない難しい言葉が並ぶうえ、抽象的なので分かりにくいかも知れません。 しかし違反すると最大で売上高の4%もの罰金が課せられることで知られるEUの「一般データ保護規則(GDPR)」(2018年5月から施行予定)をはじめ、世界各国・地域の個人データ保護法制が大きく変わる中で、とても重要になっているものばかりです。以下ではそれぞれについて概説します。
1.漏洩事故発生時の個人データ保護法制へのコンプライアンス対応
GDPRでは漏洩が発覚した時点から72時間以内に、当局への通報が義務付けられています。昨今では同様に、限られた時間内に当局への報告を義務付ける例が多くなっています。米国の州法でもすでに幾つかタイムフレームを設定した法令が存在します。
しかし考えるまでもなく、これに対応するのは簡単ではありません。タイムリーな報告を行うためには、どういった基準で報告の要否を判断するのか、どういった報告ルートで誰が情報を集約して当局へ報告するのかといった手順や体制を、事前に明確している必要があるからです。当局への通報だけでなく、本人への連絡・説明も必要なケースがあります。
インドネシアでは本人への通知・説明を行う期限を設けていますし、オーストラリアには漏洩が疑われる状況を認識した時点から1か月以内に実態調査することを求める法令があります。一方、保護法制が「域外適用」される問題もあります。例えば日本で漏洩事故が起きた時にEU在住者のデータが含まれていれば、GDPRの「域外適用」によりEU当局への報告が要求されるようなケースです。「この国で発生したインシデントの場合はどういった対応が必要となるのか」、「この国の在住者データが含まれていた場合はどういった報告を行う必要があるのか」といった要件を、国別で整理しておかなければならないのです。
一口に「漏洩時対応」と言っても、このように対応すべき事項は多岐に渡ります。漏洩事故対応という観点で多くの企業がCSIRTの構築を進めていますが、対応項目の中に世界の個人データ保護法制へのコンプライアンスが盛り込まれているか、今一度点検し、整備する必要があります。加えて法務部門や外部専門家などとの連携を図り、常に最新のコンプライアンス要件が社内ルールに反映されるようにしておかなければなりません。
2.個人データの国際移転規制のためのアクセス制御
次は「個人データの国際移転規制」への対応です。日本でも2017年5月30日施行の改正法でようやく取り込まれましたが、海外主要国ではすでに海外移転規制を法令要件として整備済みです。各国ごとに若干の差異はありますが、自国内の個人データを海外へ移転する場合に本人からの明示的な同意をあらかじめ取得することや、移転先の国においても移転元と同じように本人の権利が保護されるような管理措置を講じること、といった基本的な要件は共通です。
この規制は、例えば海外のIT事業者のサービスを利用する場合にも適用されうるものですので、多くの企業には頭の痛い課題です。インターネットですべてがつながる時代、またクラウドや仮想化技術の活用が当たり前になっている時代にも関わらず、データの物理的な「場所」が問題となるからです。移転先を事前に限定できれば適用をうける法令を特定し、対応方法も明確にできますが、そのためにはデータの流通範囲を物理的な視点で限定し、他のロケーションからのアクセスを確実に遮断しておかなければなりません。
IT部門には、こうした国際移転規制に対応できるアクセス制御の機能など、コンプライアンスに必要な管理機能をデザインに組み込むことが求められます。システム開発標準などに基づいてセキュリティ仕様の組み込みを行うのと同様、個人データ保護に係る法令コンプライアンス要件への対応についても、システムデザインの中に併せて組み込んでおく必要があるわけです。
もちろん社内システムの開発だけではありません。業務部門が外部のITサービスを利用する場合に当該部門のコンプライアンス対応をサポートするのもIT部門の役割でしょう。ビジネスをグローバル展開している企業にとって、海外移転規制への対応は優先度の高い事項の一つであり、IT部門には、そのサポートが強く求められるのです。
3.ITサービスに係るプライバシーバイデザインの実施
3点目は「プライバシーバイデザイン(PbD:Privacy by Design)の実施」です。PbDとは個人データを取り扱う新サービスや業務プロセスを導入する際に、プライバシーへの影響評価(PIA:Privacy Impact Assessment)を実施し、リスクが高いものについてはリスク低減策をそのサービスやプロセスの設計に組み込む、というものです。
GDPRにおいても、個人データのプロファイリングの実施やセンシティブデータの取り扱い時など特定ケースにおいてPIAの実施を義務付けており、十分なリスク低減が難しい場合には当局への連絡が必要です。GDPRでは、例えば個人データの漏洩を防ぐためにDLPツールでメール通信をセンサリングするような場合などにも、PIAの実施を要求しています。
IT部門においても、個人データを取り扱うシステムデザインの検討において、PbDの実践が求められているのです。リスク低減策の検討においてはシステム仕様の話だけではなく、本人への事前通知や同意の取得、処理の記録など、全般的な対応について検討することが必要です。
今後、個人データを活用したパーソナライズドサービスは一層広まるでしょうし、働き方改革などの取り組みの中で従業員の勤務状況をモニタリングするようなケースも増えるでしょう。特にグローバル企業の本社IT部門においては、ITサービス利用に関するPIAプロセスを標準手順化し、定常的に実施されるよう、広くグループ内に普及・浸透させることが必要となっています。
4.法令コンプライアンス対応自体のシステムサポート
世界の個人データ保護法制への対応は、年々その複雑さを増すばかりです。いったい何をどこまで実施すれば、法令違反を心配せずに個人データを取り扱えるのか?業務部門にとっては極めてやっかいな状況です。当然、海外企業も同じ状況であり、煩雑な業務の効率化を図るべく、コンプライアンス活動を支援する様々なITソリューションが登場しています。こういったITソリューションを選定・提案し、業務インフラとして活用していくことが、IT部門に期待される新たな役割の一つとなってきています。
例えば、世界各国の関連法令要件を一元的に管理して対応の抜け漏れをチェックしやすくしたり、委託先評価を含む様々な監査記録を統合して評価作業の重複をなくしたりする、といったGRC(ガバナンス、リスク、コンプライアンス)ツールが、その例です。漏洩事故時の対応についても、国際移転を含む個人データの取扱い状況や委託の記録などを管理して当局報告までの時間を短縮するものや、IAM(Identity and Access Management)などによるアクセス制限で国際移転自体を効果的にコントロールするものが、あります。グループ全体でのコンプライアンス活動を効率化できるよう、適切なツールを利用するべきでしょう。
以上、世界の個人データ保護法制への対応において、IT部門に求められる新たな役割について概観してきました。個人データの取扱いに関してIT部門に期待されている役割は非常に多岐に渡っており、かつ専門性を要する、難しいものが多くなってきています。
一方でビジネスの現場においては、従来の「紙や外部記憶媒体での情報管理や伝達」は急速に姿を消しつつあり、データ主体である「本人」とのインタラクションも含め、ほとんどの個人データの取扱いがネットワーク上で完結するようになってきています。IoTやモバイルアプリなどで個人データの収集も容易となり、誰もがビッグデータを手軽に扱える反面、プライバシー侵害や大規模情報漏洩のリスクはどんどん高まっています。グローバル企業における世界の個人データ保護法制への対応において、IT部門の役割は今後ますます重要になってくるはずです。
以上
KPMGコンサルティング株式会社
ディレクター 大洞 健治郎