PwCコンサルティング マネージャー 松浦大氏

PwC Japanグループは9月11日、「グローバル情報セキュリティ調査 2018(日本版)」に関する記者説明会を開催した。同調査は、CIO magazineおよびCSO magazineとともに9500人以上の経営層を対象に実施した、情報セキュリティや最新のサイバーセキュリティに関する世界規模のオンライン調査。

調査結果については、 PwCコンサルティング マネージャーの松浦大氏が説明した。同氏は、主なサマリーとして、以下の5点を紹介した。

  • データ利用/保管に関わる透明性向上に「おおいに取り組んでいる」と回答したCEOは半数に満たない
  • プライバシー保護について、企業を信頼している消費者は少数
  • 回答した企業の3分の1はデータ利用に関するガバナンスを行っていない
  • 今後予想されるインターネット分断への対応
  • 消費者は製品選定時にプライバシー機能を考慮している

「データ利用のガバナンス」については、回答企業の3分の2が最高プライバシー責任者(CPO)またはこれに相当するプライバシー責任者を設置しているという。この結果から、PwCは残りの3分の1の企業に対し、CPOを設置することを推奨している。

「インターネットの分断」とは、中国などのいくつかの国において、企業が活動する地理的境界内にデータやアプリケーションをとどめることを義務づけるなどの動きを指す。これに関し、PwCは国境を越えるデータフローに対する新たなアプローチを検討していく必要があると指摘している。

そのアプローチの具体策としては、「プライバシーシールド」「データ移転に関する標準規約」「EUの拘束力のある企業準則」「APECの国境を越えるプライバシー規則」などがある。

「データ移転に関する標準規約」の1つに、個人データ提供元と提供先の企業でデータ保護に関する契約を締結する「標準契約条項(SCC:Standard Contractual Clauses)」がある。今年9月、欧州委員会はEUと日本が個人情報保護に関する協議を7月に終了したことを受け、日本の十分性認定の採択手続きに入ったと発表した。認定が完了すると、個別に契約を結ぶ必要がなくなる。

PwCコンサルティング マネージャー 道輪和也氏

また、PwCコンサルティング マネージャーの道輪和也氏は同調査の結果をもとに、日本企業への示唆として「パーソナルデータの活用を促進する2つのアプローチ」と「プライバシー・バイ・デザインを実践する体制」について説明した。

PwCでは、「パーソナルデータ」を消費者の行動ログや購買履歴などの顧客の動向を分析するための情報であり、BtoC企業にとって業績を左右する経営資源の1つとして見ている。

「パーソナルデータの活用を促進する2つのアプローチ」とは、「データ管理の主導権を個人に返す」と「パーソナルデータを提供したくなるインセンティブを個人に与える」を指す。

総務省の情報通信白書(平成29年度)では、日本の消費者の8割が「パーソナルデータの提供に不安を感じている」という調査結果を掲載している。PwCでは、消費者がパーソナルデータの管理に不安を覚える根本的な原因は「不透明さ」にあると見ており、パーソナルデータの管理状況を個人に開示し、管理権限を個人に移譲してしまえば、消費者の不安を払しょくできる可能性があるとしている。

  • データ管理の主導権を個人に返す

今年5月、EUがGDPR(一般データ保護規則)の施行を開始したが、世界各国ではGDPRに準ずるパーソナルデータの利活用を監督するプライバシー規制が制定されており、道輪氏は「こうしたコンプライアンスプログラムの導入を前向きにとらえ、パーソナルデータの管理の在り方を見直していく必要がある」と述べた。

一方、「パーソナルデータを提供したくなるインセンティブ」は、米国の企業が消費者に付与することで、データ収集への抵抗感の解消に成功していることが紹介された。いずれのケースにおいても共通しているのは、サービスや商品にインセンティブを具体的に組み込んでいる点だという。

道輪氏は、「パーソナルデータの活用を促進するアプローチ」を実現する仕組みとして「プライバシー・バイ・デザインを実践する体制」が必要だと説明した。

現在、法務やコンプライアンス部門が主体的に個人情報管理に取り組んでいる企業が多いが、実際にデータを所有するのは他の部門であるため、顧客からの要請に基づいてパーソナルデータの管理状況を開示しようとすると、多数の課題が生じる。

そこで、サービスや商品の企画・設計の段階から、データ利用を前提にプライバシー対策を盛り込む「プライバシー・バイ・デザイン」を各部門で実践する体制づくりが必要となる。

道輪氏は「プライバシー・バイ・デザインを実践する体制を作るには、各部門に新たな役割を設け、現場の意識改革が必要になる」と語っていた。

  • プライバシー・バイ・デザインを実践する体制