EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
EY Digital Trustのコラムシリーズ第3回は、プライバシー/セキュリティ。
個人情報保護、プライバシー対策は、ITの技術進歩と法規制の強化が加速する現在、企業のリスク管理における最重要テーマの1つとなっています。
要点
- 個人情報保護は法令対応、プライバシーは私生活や個人の秘密等を含む広い概念。法的に問題なくとも不透明な運用は信頼を損なう可能性があり、企業は両面での対策が不可欠。
- クラウド普及、法規制強化、AI活用によって個人情報を取り巻く環境は急速に変化。
- 企業は、自社の実態を踏まえたプライバシー管理態勢の構築、透明性を確保した説明責任と、継続的改善が鍵。
本稿では前後編の2部構成で、前編はプライバシー対策を取り巻く環境や変化について企業がどう対応していくべきか、実例をもとに解説します。
1. いま起きている環境の変化
Q:なぜプライバシー対策が重要とされるのでしょうか。
2000年代以降、インターネットやSNS、クラウドサービスの普及により、個人情報が容易にグローバルに流通する時代が到来しました。これに伴い、本人の想定を超えた利用や不利益が生じ得るリスクが顕在化し、GDPRをはじめとする法規制の強化が世界的に進んでいます。最近ではAIの活用により、収集されるデータ量はさらに増加し、新たなリスクが生まれています。
こうした変化の中で、企業は 自社としてどこまでプライバシーに配慮するか を主体的に考え続ける必要があります。プライバシー対策は一度整備して終わるものではなく、継続的に取り組むべきテーマといえます。
2. 個人情報保護とプライバシーの違い
Q:個人情報保護とプライバシーはどのように異なり、なぜ両者が同時に論じられるのでしょうか。
一般的に、個人情報保護は法規制に基づく管理枠組みの説明として使われます。法令順守は最低限の要件にすぎません。一方、プライバシーは、家庭内の私事や個人の秘密に関すること、他人から干渉・侵害を受けない権利が含まれ、また最近では「自己の情報をコントロールできる権利」という意味でも使われることがあります。法規制上問題がなくても、想定外の利用が行われれば信頼低下につながります。
そのため企業は、法令対応とプライバシー配慮の両面を組み合わせたリスク管理が求められます。
3. 生成AIの新論点
大量データの解析を前提とするAI技術がもたらすプライバシーリスクにも注目されています。
Q:生成AIのリスクにはどのようなものがありますか?
生成AIにより、従来のデータ利活用からさらに収集データ量が拡大し、意図しない個人情報の収集や利用のリスクが高まっています。また推測、結合の技術が進化することで、個人情報が含まれない複数のデータを結合、分析することで個人が推測される「新たな個人情報」の生成にも懸念が広がっています。
企業は、①どのような情報を収集、入力し、活用しているか、②情報の取り扱い管理プロセスが整備され、検証されているか、③責任の所在が明確であるか、などの観点について、透明性をもった説明責任を果たすことが求められます。
4. プライバシー対策の第一歩
Q:企業はまず何から始めるのがよいでしょうか。
自社の現状について、各国の法規制、業界ガイドライン、国内外の規格(JISQ15001、ISO/IEC27701等)の水準とのギャップを把握し、リスクを特定することが先決です。改善活動は、リスクが高い領域から進めることが一般的ですが、組織の役割定義やルール作り、運用は安全管理策の実施やモニタリングなど、現場レベルでの実行や継続的な運用の具体化を行います。一度整備して終わりではなく、継続的な改善を前提とした仕組設計がよいでしょう。
プライバシー対策は、AI以外のリスク領域、例えばセキュリティ、サステナビリティとも親和性があります。既存のノウハウの活用、横展開も検討されるとよいかと思います。
データ保護・プライバシー関連サービス
ITの進歩、ビジネスの変遷を背景とする各国法規制の強化、個人のプライバシー意識に対する高まり等の環境変化を受け、データ保護、プライバシー対応は企業の優先課題であり、またグローバルな取り組みが必要となっています。
EYは、グローバルネットワークやLawファームとも連携し、企業における態勢強化のための取り組みを支援します。
【共同執筆者】
熊谷 真知子
EY新日本有限責任監査法人 Technology Risk事業部
サマリー
法令順守だけでは、十分とはいえません。企業は、個人や社会の安心につながる設計へ視野を広げ、体制・運用・モニタリングを継続的サイクルとして組み込む必要があります。生成AIを含む新たな論点についても先回りして対応することが重要です。前編ではプライバシー対策の重要性と最初の取組みを紹介します後編では具体的な運用設計へ進みます。
関連記事
企業がいま取り組むべきプライバシー対策 — 法令順守を超えた『信頼』の設計図(後編)
企業ごとにビジネスモデルや組織文化が異なるように、最適なガバナンスのあり方も多様です。重要なのは、自社の特性を踏まえながら、ビジネス推進とリスク対応のバランスをどう設計するかという視点です。変化の激しい環境下においてこそ、自社にとって持続可能なプライバシーガバナンスを構築し続けることが、企業価値の向上につながります。
EYの関連サービス
-
ITの進歩、ビジネスの変遷を背景とする各国法規制の強化、個人のプライバシー意識に対する高まり等の環境変化を受け、データ保護、プライバシー対応は企業の優先課題であり、またグローバルな取り組みが必要となっています。EYは、グローバルネットワークやLawファームとも連携し、企業における態勢強化のための取り組みを支援します。
続きを読む -
技術の急速な進歩は、サイバー脅威の指数関数的な増加と相まって、技術インフラへのリスクエクスポージャーを増大させています。近年では、サイバーセキュリティインシデントによって生産設備が停止し、ビジネスの継続が困難になる事象や、決算をつかさどるシステムが停止し、決算遅延やその他会計数値に直接的な影響を与えるような事象も複数発生しています。また、従業員や部外者による不正アクセスや不注意による情報漏えい等も依然としてビジネスにおける脅威となっています。
続きを読む