Comments
Description
Transcript
和文ダウンロード - 新日本有限責任監査法人
Insights on IT risk Technical briefing プライバシー管理の 確立に向けて ITの変革にプライバシー保護を 融合させる5つのステップ 技術革新により、あらゆる業界の組織は大量の個人情報を 電子的に収集し、保存することが可能となりました。しかし、 総合的なITソリューションの整備がビジネス要件に追い付かず、 個人情報のセキュリティやプライバシーを、既存システムを 寄せ集めた環境で管理している場合が多く見受けられます。 Insights on IT risk 1 プライバシー保護におけるITの役割の拡大 2011年6月、米国カリフォルニア大学ロサンゼルス校ヘルス システム (以下「UCLAヘルスシステム」)は、 医療保険の相互運 用性と説明責任に関する法律 (以下「HIPAA」) におけるプライ バシーおよびセキュリティ規則の違反について86万5500ドル の和解金を支払うことで、米国保健社会福祉省 (以下「HHS」) 技術革新により、あらゆる業界の組織は大量の個人情報を電子的に 収集し、 保存することが可能となりました。 しかし、 総合的なITソリュー ションの整備がビジネス要件に追い付かず、個人情報のセキュリティ やプライバシーを、 既存システムを寄せ集めた環境で管理している場 合が多く見受けられます。 以下のような特徴がIT環境によく見られます。 と合意しました。 この件では、 著名人などの患者の健康に関する 機密情報への不正アクセスによる罪で、 UCLAヘルスシステム • 規制による制約とリスクの高い運用 の複数の従業員がすでに起訴されていました。HHSはさらに、 • ユーザーの操作を一元的に把握する機能の欠如 プライバシー侵害を犯した従業員に対する制裁を科していな • 重複、非効率性、法規制の不遵守 かったとして、 UCLAヘルスシステム自体を処分したのです1。 • 高コストな統制運用モデル UCLA ヘ ルスシステムの事案は、2011 年における HHS による 3 度目の大きな処分となりました。これにより2011 年上半期の 罰金総額は 6 百万ドルを越えました。2003 年以降、HHS および 公民権室 (Office of Civil Rights) は1万4105件以上のプライバシー侵 害事件を調査し、 解決しています。 しかし、こうした 事 件 は 米 国 の 医 療 機 関に限ったも の では あり ません。昨年、英国国民保険サービスにおける血液・移植の管理 機関( NHSBT )では、自動車免許申請書に記載された臓器提供 意思とそれを基に臓器移植登録システムに記録された情報の不 整合が発見されました。40 万件以上の情報の誤りが発覚しまし たが、これは 1999 年の臓器移植登録システムの不具合に起因 するものでした 2 。またオーストラリアの ある医 療 研 究 所では、 医療検査を依頼した患者の個人情報と請求書が不注意からイン ターネットに公開されました 3 。 • 限定的なプライバシーおよびセキュリティ評価・報告手段 • 複雑なコンプライアンス要件 • 受動的なリスク低減対策と度重なる修正 こうした課題の解決や企業システムの他のニーズへの対処のために、 多くの企業は大規模なIT変革に取り組んでいます。IT変革プロジェク トでは、 多くの場合情報セキュリティに重点が置かれます。重点項目に は次のようなものがあります。 • 真のリスクの把握 • リスクの高い情報の保護 • 事業パフォーマンス向上に向けた最適化 • 企業プログラムの維持 プライバシーは最重要事項として考慮すべきであり、 あらゆるIT変革に 基本的要素として組み込む必要があります。 プライバシー問題がもたら すリスクを効果的に管理すれば、 各組織は自社のレピュテーションやブ ランドを保護することによって付加価値の創出やパフォーマンスの向上 が可能となるのです。 1 Hunton and Williams LLP, “HHS Announces $865,500 Settlement with UCLA Health System for HIPAA Violations,” Privacy and Information Security Law Blog, 8 July 2011, http://www.huntonprivacyblog.com/2011/07/articles/hipaa-1/hhs-announces-865500-settlement-with-ucla-health-system-for-hipaa-violations. 2 Sade Laja “NHSBT rapped for incorrect data on 444,000 donors,” theguardian.co.uk, 21 January 2011, © 2011 Guardian News and Media Limited or its affiliated companies. All rights reserved, http://www.guardian.co.uk/healthcare-network/2011/aug/30/organ-donor-register-nhsbt-dvla-errors. 3 Sara Martin, “Investigation into South Australia’s Medvet lab after serious privacy breach,” News.com.au, 18 July 2011, http://www.news.com.au/national/south-australias- medvet-blood-lab-publishes-details-of-paternity-and-drug-test-applicants/story-e6frfkx9-1226096476780. 2 Insights on IT risk 真のリスクの把握 リスクの高い情報の保護 • 組織全体のリスク許容度を定め、 それぞれの情報リスクが この基準で許容されうるか明確にする • 最重要情報とアプリケーションを識別し、 その所在とアクセス権保有者および アクセス権を必要とする者を把握する • 脅威の概要を評価し、 開発した予測モデル による分析によって真のリスク状況を 明確にする • ビジネスドライバーと価値の高いデータの保護に 重点を置いたセキュリティ戦略を策定する ビジネス 遂行の要素 • 侵入事故の発生を前提とする – 計画・防止・検知・ 対応の各プロセスを改善する • 各個人のセキュリティに対する責任を 明確にする • 新技術を採用する。組織の変革により、 新技術の活用を可能にする • 基本的な対応事項と新たな脅威への 対応とのバランスを取る • アプリケーションと情報への アクセス制御モデルを 構築し、 合理化する • 企業プログラムのスコープを拡大し、 全社 的情報リスク管理のコンセプトを盛り込む • 適切なガバナンス態勢 – セキュリティを 取締役会レベルでの優先事項とする • 優れたセキュリティによりコンプライアンスの 促進を図る (逆にコンプライアンスが セキュリティ改善をもたらすのではない) • 事業パフォーマンス向上に影響を及ぼす セキュリティプログラムの目標および指標 を設定する • セキュリティのすべての分野 (情報、 プライバシー、 物理的資産、 事業継続性) を 事業に適合させる • 統制と技術への適切な投資 – 人材とプロセスへの投資を増やす • 重要指標を測定し、 問題が小さなうちに対処する • セキュリティ運用プログラムについて 部分的な外注の検討 • パフォーマンス向上を勘案して、 管理可能な範囲で リスクを許容する 企業プログラムの維持 ビジネス遂行のための最適化 IT変革のために設計されたプライバシーモデル 2009年、オンタリオ州(カナダ)の情報プライバシー・コミッショナー であるアン・カブキアン博士は、 プライバシー・バイ・デザイン (以下 「PbD」) を発表しました。PbDは、 プライバシー対策を新規システム の導入時から組み込むためのモデルです。 PbD は、個人情報保護を目的とした 7 つの基本原則に基づいて います。 1. 能動的かつ予防的な対応であること 2. プライバシー対策をITシステムの基本事項とすること 3. プライバシー対策をITシステムの設計およびアーキテクチャに 組み込むこと 4. ゼロサム (二者択一) ではなく、 ポジティブサム (一挙両得) なアプ ローチを取ること 5. ITセキュリティシステムにおいて、 プライバシー対策を漏れなく 組み込むこと 6. 可視性と透明性を実現すること 7. 利用者のプライバシーを尊重すること4 PbD の発表以来、米連邦取引委員会や欧州委員会をはじめと する数々の組織がこの基本原則を支持しています。2010 年に エルサレムで開催されたデータ保護・プライバシー・コミッショナー 国際会議では、 満場一致でPbDに関する決議が採択され、 各国の規 制当局に対してPbD基本原則の採用を提唱しています。 しかし、PbD はプライバシー保護をシステム導入時に組み込む ことに重点を置いています。すでに稼働中の既存システムが 社内全体に浸透している大型企業にとっては、 プライバシー対策を 最初から組み込むことは不可能です。そこで、 2011年5月、カブキ アン博士とマリリン・プロシュ博士(W.P.キャリー・スクール・オブ・ビ ジネス准教授) は、 プライバシー・バイ・リデザイン (以下「PbRD」) を 発表しました。 PbRDでは、カブキアン博士とプロシュ博士は既存システムも対象 となるようにPbD基本原則の範囲を拡大し、組織に次の事項を求 めています。 • 再検討 (Rethink) :既存のリスク低減対策、 システムおよびプロ セスを再検討して、 プライバシー重視型の新たなアプローチを 模索する。 • 再設計 (Redesign) :事業目的に沿った形でプライバシー保護 の水準を向上させるためにシステムの機能性を再設計する。 • 再生 (Revive) :プライバシー保護を基本理念とするIT変革を通 じてシステムを再生する5。 より効果的なプライバシー保護を目指してレガシーシステムを再 検討、 再設計、 再生することにより、 組織はコンプライアンスの実現 のみならず、 コスト削減や事業パフォーマンスの向上も図ることが できるのです。 4 Ann Cavoukian, Ph.D., Privacy by Design, August 2009/January 2011, http://www.ipc.on.ca/images/Resources/7foundationalprinciples.pdf. 5 Ann Cavoukian, Ph.D., Privacy by ReDesign: Building a Better Legacy, May 2011. Insights on IT risk 3 IT部門におけるプライバシー保護の成熟度測定 技術の成熟と進化により、 プライバシー管理に関するビジネス面で の期待も高まっています。各組織は、単なる事業運営のサポートでは なく、総合的かつ自動的にプライバシー管理をサポートするIT環境を 望んでいます。 IT 部 門は多くの 課 題に直 面しています。これらの 課 題 へ の 対 応 状況が、その組織がプライバシー管理によって個人情報を保護 する能力を示しています。以下に掲げる成熟度モデルを用いて、 組織の IT 環境の現状を「無原則」から「最適化されている」までの 基準で評価できます。 プライバシー成熟度モデル 成熟度 / 改善の段階 共通の課題 無原則的 反復可能 定義されている 管理されている 最適化されている ネットワーク層 レガシーシステムの データインターフェース により不要な個人情報を 含んだトラフィックが 生成される 既存のインターフェー データ伝送のポリシー 個人情報の伝送を把握 個人情報について利用 スが文書化・管理されて と手続きは存在するが、 し文書化するポリシー 許可、利用、伝送、監視、 いない。 データの機密性や分類 と手続きが存在し、遵守 管理の各プロセスにお に基づいた統制が設定 されている。 ける定 型 の 手 続きが されていない。 存在する。 経営陣がコンプライアン ス要 件をレビューして いる。個 人情報に係る 利 用 許 可 、利 用 、伝 送 および管理の各プロセス のポリシーと手続きが 適宜更新されている。 個人情報が含まれた ネットワークフォルダや 共有ドライブへの アクセスが 制限されていない ネットワーク共有が管理 されておらず、個人情報 へ の アクセ スを 制 限 する技 術 的 な 統 制 が 整備されていない。 個人情報は一元的に把 握されている。それぞれ の個人情報については、 対 応 する情 報 責 任 者・ ビ ジ ネ スド ラ イ バ ー・ データ保管先のアクセス ロールが一元的に管理 されている。また、その 内容の妥当性がテスト により検証されている。 4 事業部内の共有ドライ ブ へ の アクセ ス 制 御 策は整 備されている。 た だし デ ー タ 保 管 の 内容やコンプライアン スの観点からモニタリン グされていない。 文 書 化された手 続き に より 、ネット ワ ー ク データ保管の統制が 設定されている。ただし それらの統制が効果的 でなく、 または適切に実 行されていないために、 意図した保護が行われ ていない。 Insights on IT risk 文 書 化された手 続き により、デ ータ保 管 の 統制が定められている。 個人情報を含む共有 ファイルは一覧化され、 内容やユーザーアクセ スのモニタリングが行 われている。 成熟度 / 改善の段階 共通の課題 無原則 反復可能 定義されている 管理されている 最適化されている ユーザー権限付与が、 データ保護、 情報の 機密性や分類、 アクセス ロールを考慮しないで 行われている ネットワークやアクティ ブディレクトリ、システ ムレベルでアクセスが 付与されている。個人情 報を含む個々の画面、 レポート、ネットワーク 共有について粒度が細 かい管理は行われてい ない。 個人情報へのアクセス 権限は、 既存のユーザー アカウントのアクセス 権限をコピーして付与 される。 ロールではなく、 ユーザーに基づいて 権限付与されるため、 ア クセス権限の割り当て が不適切な場合がある。 定義されているアクセス ロー ルが存 在し、事 業 部内の機能により付与 されて いる。アクセス ロールのレビューは行 われるが、定義されたプ ロセスを通じて管理さ れていない。またデータ 保護に係るリスクは考 慮されていない。 個人情報へのアクセス 権限がロールに基づい て付与されているため、 職務遂行に必要な最 低限のアクセス権限が 提供できる。個人情報 について、有効な利用 許可、管理、追跡機能が 存在する。 アクセス権限は、 ロール 権限の承認に基づいて 付与されている。また、 手動および自動のワーク フロ ーツー ルを 組 み 合わせて付 与されて いる。シング ル サ イン オンプロセスによって アクセ ス 権 限 付 与 が 行われており、個人情報 へのアクセスは全社的に 管理されている。 レガシーシステムに 不必要な個人情報が 含まれている レガシ ー システム の 大半にデータ識別のた めに個人情報が含まれ ている。個人情報を含む システムについて、棚卸 し実施されていない。 システム棚卸しは実施 されている。データの カテゴリーや機密性を 識別していない。個人情 報が多くのシステムに コピーされており、その 結果データ品質に問題 が生じている。 システムに不要な個人 情 報が含まれている ケ ー スを 事 業 部 門 が 把 握 す る ように ポリ シー上規定されている。 レガシ ー システム の 技術的な限界を考慮 したリスク低減対策は 行われていない。 個人情報を含むレガシー システムに関連したプ ライバシーおよびセキュ リティのリスクは、技術 的な統制と経営管理上 の施策の双方を通じて 低減されている。 レガシ ー システム で 保存および処理される 個 人 情 報 は 、予 防 的・ 発 見 的 統 制 に より統 制されている。個人情 報を含 むシステムに つ いてセキュリティが 定期的にレビューされ、 脅威と脆弱性が把握さ れている。 情報責任者を任命する こと、 個人情報の適切な 収集、使用、保存および 開示について情報責任 者が責任を負うべきこ とがポリシー上規定さ れている。データ責任者 が任命され、その追跡 確認が行われている。 アプリケーション開 発 ライフサイクルの各プロ セスやマイルストーンで は、 新たなデータベース に含まれる個人情報の 使用方法とデータ責任 者の権限付与が文書化 されている。 個人情報を含むデータ ベースが適切に使用、 アクセス、管 理 されて いるかモニタリングを 行って いる( デ ータの 品 質 、維 持 、完 全 性 な ど) 。 アプリケーション層 インフラ層 (オペレーティングシステム、 データベースなど) データ責任者が 定められていない 高まる脅威により、 データベースの脆弱性 その他セキュリティの 弱点が際立ってきている 個人データのタイプと 責任者が限定的にしか 把 握 さ れ て おら ず 、 モ ニ タリン グ 活 動 を サ ポ ート す る 機 能 や 資源も限られている。 I T 部 門 が 把 握しな い データベースやスプレッ ドシート、 ドキュメントが 使用されている。また、 データ流出防止(以下 「 DLP 」)技術と脆弱性 管理ツールが十分に整 備されていない。 データ責任者の追跡確 認が限定的にしか行わ れていない。個人情報 を含むデータベースは 概ね把握できているが、 文書化されていない。 オ ー ナ ー シップ 不 在 データへの対応が取れ ていない。 脆 弱 性 テ スト お よ び DLP・脆弱性スキャン、 DLP・脆弱性スキャンは 移行中のデータおよび DLPスキャンを一部で 侵 入 テ スト の 一 部 は 定期的に実施されてお 滞 留 デ ー タ に 対し て 実 施して い る 。こうし そ の 時 々 の 状 況 に 応 り、発 見された重 要 な DLPが導入されている。 たツー ルは、個人情報 じてアプリケ ーション 関 連 リスク の 最 初 の レベルで実施している。 棚卸しやリスト作成には 使用されている。ただし 改善に結びつけるため にそれらのテスト結果 等をフォローアップして いない。 Insights on IT risk 問題のフォローアップが 行われている。新 規シ ステムや外部インター フェースを備えたシス テム(ウェブベースのア プリケーションなど)に ついて、 アプリケーション 侵入テストを実施して いる。 ペリメータ(防御壁)に 対する脆弱性スキャン が定 期 的に実施され、 重要な脆弱性は、合意 された基準に基づいて 対応されている。独立 した 評 価 機 関 が 採 用 手法を定期的にチェック している。 5 プライバシー対策をIT変革に組み込む 5つのステップ IT部門は次の5つのステップにより、IT変革にプライバシー保護を組み込むことができます。 1. 棚卸しの実施 2. 投資要件の策定 3. 評価 4. 統合 5. 標準化と自動化 1. 棚卸しの実施 2. 投資要件の策定 IT部門はまず、組織のシステムとデータベースのリストを作成する必 要があります。これはIT変革プロジェクトにプライバシー保護を組み IT変革プロジェクトにプライバシー保護を組み込むことがいかに有効で 込むことがいかに有効であるかを検証する前に実施します。 この棚卸 しの実施においては、 最も重要な情報とアプリケーションは何なのか、 どこにあるのか、 これにアクセス権限保有者がいるのか、 新たにアクセ ス権限が必要な者は誰なのかを把握します。システムの数は数百から 数千に及ぶことがあるため、 一部の企業にとっては、 自社のIT環境にお けるシステムを把握することが最初の課題となります。 あるかを検証します。そのためには、 将来のコスト削減額が現在コスト を上回る必要があります。現在コストは運用コストとコンプライアンス コストによって算定します。また、IT部門は、同業他社との比較による ベンチマーク分析を実施したり、 プライバシー対策による効果の実例を ケーススタディを用いて示すとよいでしょう。 運用コストの算定 運用コストとは、 プライバシー管理活動と個人情報保護に関連して システム棚卸しを実施した後、IT 部門はシステムの名前、責任者、 発生するコストです。現在の運用コストには、 その事業プロセスのライ ユーザーの把握に着手します。次に、重要検討事項を分析し、様々な フサイクル全体で生ずるコストを含めなくてはなりません。 コストの算 地域、事業部、 ユーザーにわたるシステムの母集団の特性を明らかに 定では、 ある活動を実際に遂行する者のみならず、 レビューや承認を行 します。 う者が費やした時間や資源のコストも適宜盛り込む必要があります。 システム棚卸しにより、 基本的情報が明らかになるはずです。 運用コストの決定要因には、 以下のようなものがあります。 • 母集団としての 稼働中のシステム数はどの程度か? • 実施すべき作業の数 • その母集団のうち、プライバシー関連規制の制約を直接受ける • 作業あたりの必要工数 システムの割合はどれくらいか? • 作業難易度(必要な要員レベルの決定のため。ジュニアスタッフか • 誰が組織内のシステム責任者であるのか? シニアレベルか、 など) • どのシステムに組織全体が最も依存しているのかが明確であるか? 活動ごとの労力を見積もったら、 これにその活動が毎週、 毎月、 毎年発 • システムのユーザー数は? 生する回数を適宜乗じます。 こうした検討事項は、 例えばインタビュー、 プロジェクトの実施組織に利益をもたらす重要な洞察が徐々に明らか 調査、 既存の統計 (ヘルプデスクの重要業績指標 (KPI) など) のサンプ になります。 ルをはじめ、 様々な方法で収集できます。算定した金額は、 プロジェクト が対象とするアプリケーションの棚卸し情報に基づいて、適切な数を 乗じます。 6 Insights on IT risk コンプライアンスコストの算定 将来コストの予測 コンプライアンスコストとは、 ポリシー、契約およびプライバシー規制 への対応に関連するコストです。現在コンプライアンスコストの算定 においては、 次の事項を考慮します。 将来コストの算定は現在コストほど厳密ではありません。将来コスト のデータ要素は通常、業界ベンチマーク (ガートナー社による調査 など) 、 ベンダー (商品価格リストなど) 、 類似ソリューションを導入して いる同業他社などから得られます。将来コストの発生額は年ごとに異な るため、 数年間にわたり予測を立てる必要があります。 • コンプライアンス活動の頻度 • 該当する規制や契約に関連する罰金や違約金 • コンプライアンス活動から生じる問題の複雑さ コンプライアンスコストには、場合によって以下に関わる人件費を 含みます。 • 外部監査、 内部監査 (経営陣によるテストなど) 、 HIPAA、サーベンス オックスレー法 (SOX) 、 その他規制に関するテスト • 自己診断 (事業部門によるテストなど) • その他のコンプライアンスモニタリング活動 例えば、設備投資のコストは当初数年間は高額であっても、その後は 徐々に減じる場合があります。反対に、運用のための支出は当初数年 間は少額で、 プロジェクトのコストが損益分岐点を超えるプロジェクト 中期にかけてピークとなり、その後は低い水準で推移するといった場 合があります。 将来コストの算定では、以下の被害をもたらすプライバシー侵害事 故発生の危険性の低減を含め、定量的なメリットについても盛り込む 必要があります。 外部リソース、 コンプライアンスに係る内部リソース、 監査の支援 (監査の 根拠となる証票の提供に要した内部業務の時間など) のコストを見積 もり算定します。 • 個人情報の不正利用 事業プロセス実施に必要な時間と労力の計算では、そのプロセスが どれほど複雑なものであるのかを考慮する必要があります。検討事項の 情報収集が終わると、 投資要件の裏付けとなる意義深い情報がここで も明らかになります。 • 顧客やビジネスパートナーの信頼喪失 • 大多数のアプリケーションで、自動ではなく手作業のプロセスが 実施されている • 独立した複数の部門、 システム、 またはプロセスが同じプロセスのため に重複して存在している • 最も大きな影響力を持つアプリケーションや最も作業量の多いアプリ ケーションの大部分で手作業のプロセスが実施されている • 訴訟や規制措置 • 直接的な財務損失や市場価値の喪失 • ブランドへの被害 • 起こりうるエラーの失敗事例になる プライバシー対策について優れた投資要件を作成するなら、 プラスの 投資収益とキャッシュフローの増加、 そして事業パフォーマンス向上の 機会を実証する必要があるのです。 コストの要素 人材 • 作業実施に必要な従業員の社内コスト ベンチマークとケーススタディの活用 コスト分析に加え、 類似企業や同業他社を比較して業界のベンチマーク 分析を活用する場合があります。例えば、ある特定のプライバシー 管理機能に用いられる人員数と資源について、ベンチマークの設定 によりIT部門が比較できるようになります。その結果、現状では他社 よりも作業の集約化が遅れていて効率が低いことが発見されるかも しれません。 さらに、自動化したシステムやプロセスにより、すでに組織内におい て優れたプライバシー管理活動が実施されており、 かつ運用コストと コンプライアンスコストが削減できている場合、 ケーススタディを用い て事業におけるプライバシー対策の有効性を実証できます。 • チームの増強に必要な臨時要員について外部に支払う時間給 • 戦略や手法についての助言 (弁護士、 会計士その他専門家など) プロセス • 作業の準備時間 • 作業の実施時間 • プロセス管理コスト テクノロジー • ハードウェアおよびソフトウェアのコスト • 調達 • 保守 Insights on IT risk 7 プライバシー対策をIT変革に組み込む 5つのステップ 3. 詳細な評価の実施 IT部門の投資要件が承認されたら、実施に向けた詳しいロードマップ の策定に取り掛かります。 ここでは、 プロジェクト範囲を定め、 詳細な評 価を行う必要があります。 評価は一般に、 次の3つの要素から構成されます。 • システムとサポートプロセスの把握(データ / プロセスのマッピング (対応付け) によるインプット、 プロセス、 アウトプット、 ユーザーの把 握など) • 弱点を把握し、こうした弱点が他のシステムやプロセスに影響を及 ぼす可能性を明確化 システムやサポートプロセスが重複している場合には、必要のない システムの使用を制限していき、類似の機能を可能な限り統合する 必要があります。 しかし、一方でこうした対策を取ることができない ような状況もあります。例えば、 医療機関において、 HIPAAに係る機能 とそれ以外の機能を意図的に別々のプロセスとして区分することもあ りえます。 プロセスとシステムの統合は、 コスト削減と効率性の向上をもたら すだけではありません。組織の貴重な資源に余裕が生じることから、 優先度の高い他のプロジェクトにおいてその資源を活用できるという 利点ももたらします。 5. 標準化と自動化 • 重複と非効率的なプロセスの把握 一貫したリスク評価を体系的に行うためには、 IT部門は、今日標準的に 用いられているプライバシー影響評価(個人情報の収集を伴う情報 システムの導入等における影響の事前評価) の実施を検討するとよいで しょう。 プライバシー影響評価は、 予算に制約がある場合のプロジェクト の優先順位付けにも欠かせません。 IT部門は、 プロセスとシステムの統合の次に、 プライバシーおよびセキュ リティポリシーの設定とプロセスの標準化、 そしてこれをサポートする インフラの確実な整備を実施します。さらにIT部門は、 アン・カブキアン 博士がPbRDで述べている 「多方面で効果を上げる一挙両得かつ互恵 的な事業要件を達成する」 ためには、 プロセスの自動化が効果的である のか否かを判断します。 4. システムの統合 組織は次の施策を評価・選択することができます。 多くのIT環境では、 類似のソリューションがすでに存在していないか確 認したり、 下流のプロセスへの影響を評価することなく、 個々のニーズ を満たすためにシステムとプロセスが開発されている場合が見受け られます。その結果、 多くのケースで重複と非効率性が生じています。 • 統合したプロセスを標準化するが、 自動化はしない 8 • 完全に自動化されたソリューションを導入する • 業務量が多く影響力の大きなシステムとプロセスは自動化し、 影響の小さなものについては、統合済みの手動システムおよび プロセスを導入するという折衷的なソリューションを開発する Insights on IT risk 「5つのステップ」フレームワークとPbRDの関連性 IT変革にプライバシー保護を組み込むための5つのステップのモデルは、 PbRDの基本要素である3つの「R」— 再検討(Rethink)、再設計(Redesign)、再生(Revive)を盛り込んでいます。 棚卸し 投資要件の策定 システム棚卸しを完全に実 施する。 運用面での影響を評価する (ユーザーの活動量、自動 管理の現在のレベルなど) 。 棚卸しした結果をプロファ イル分析する (地域、業部、 機能、 除却予定日など) 。 主な活動 PbRDの 検討事項 全体のうち、 規制による影響 が大きいと分類されたシス テムの割合を把握する (PII (個人の特定が可能な情 報)、PCI(支払いカード業 界)、SOX 、HIPPA 、事業上 の重要性など) 。 システムやデータベース の母集団を把握する際に は、 組織は一挙両得で互恵 的な成果を目指すという原 則に留意することが重要で ある (廃止予定のシステム やユーザーがわずかしか いないシステムは除外す るなど) 。 現状の運用コスト、 コンプラ イアンスコスト、削減可能 ROI(投資利益率)NPV( 額、 正味現在価値)などを計算 する。 プライバシー保護の効果 が高いソリューションの導 入について是非を検討する なかで、組織のリスク低減 対策、 既存のシステム、 プロ セスを再検討すること。 評価 適用範囲を定める。 システム / プロセスの現状の 詳細な評価を行う (プライバ シー影響評価など) 。 部門横断的な統制の弱点、 重複、プロセスの非効率性 を分析・評価する。 組織は、 システムの機能性 を評価する。重要なビジネ ス要件とプライバシーに 対 応 する能 力 が 既 存 の システムとプロセスから 受けている制約について 把握すること。 Insights on IT risk 統合 標準化と自動化 経営管理プロセスと技術的 統制を統合し、重複と非効 率性を解消する。 プロセスとそれをサポート する仕組みを標準化する。 もはや必要のないシステムの 使用を徐々に制限していく。 組織は、 プライバシー保護 の効果を上げる技術的統 制と経営管理上の施策を 再設計すること。同時に、 新たなプロセスと統制の 効率が高く、将来の変更に 比較的柔軟に対応できる ものとなるようにすること。 標準的なポリシーと手続き を採用する。 作業量が多く影響力の大き なシステムのプロセス自動 化を検討する。 最終的な目標は、 既存シス テムをプライバシー保護に 資する新たなシステムへと 再生させることである。 9 ケーススタディ 情報の氾濫 組織のシステム全体で個人情報へのアクセスを制限することに取り組んだ医療機関の事例 課題 ソリューション 病 院グ ル ープ 、医 療 サ ービス機 関 および 健 康 保 険 運 営 会 社 か らなるある大 規 模 な 医 療 機 関 の 事 例を挙 げます 。この 医 療 機 関は、度重なるコンプライアンス要件への対応に悩まされてい ました。SOX 、HIPAA 、PCI をはじめ、州や業 界に特 有 の様々な 規 制 や 基 準に係る各 要 件 が 同 時に発 生し、そ れらす べ て へ の 対 応に苦 慮して い た の です 。経 営 陣 も 度 重 なる監 査 の 失 敗や 規 制 当 局 の 監 視 にストレスを 感じて い ました 。そ こでこ の 組 織 で は 、プ ライ バシ ー 管 理 や セ キュリティに 関 する 他 の プ ロ ジェクトと並行して、 数百に及ぶすべての事業部門と企業システムにわ たる個人情報の使用とアクセスを制限することにしました。 この医療機関は、 絶対的に必要な個人情報のみを使用することで、 組織 のプライバシー関連リスクを低減したいと考えました。個人の特定が可 能な情報のデータの一部について、 切り捨て、 難読化、 または削除する といった方法も検討されました。 この目的を達成するために採用された のは、 以下の改善ソリューションです。 この医療機関は、 課題を解決する際にはシステム間に跨った対応が必 要な状況が存在することを理解していました。また、事業運営におい て個人情報の一部を閲覧することが必要であることを認識していま した。 しかしながら、ユーザーが各自の職務遂行に必要とする以上の 個人情報にアクセスできる状況も確かに存在していたのです。 10 1. 個人情報の保存と処理は主要な少数のシステムとデータベース に限定する。これにより、 システムとデータベースが不必要な個人 情報の保存・処理に使われるケースを排除する。 2. アクセス権限付与プロセスを再設計した。一元的なアクセス管理 ソリューションに基づいてユーザーへの個人情報閲覧権限付与を 行うようにした。 このシナリオは、 機密レベルの異なる個人情報を閲 覧する特権をユーザーのアクティブディレクトリのアカウントと連動 させ、 各ユーザーのプロファイルに応じて個人情報を含むシステム へのアクセスを制限するものである。 3. 各データベースにソリューションを開発して追加し、個人の特定 が可能な情報のデータ要素について更なる閲覧管理を行う。 これにより、画面上で閲覧できる個人情報を必要最低限に抑える 一方で、権限を付与された少数の職務者に対してはより広範な 閲覧機能が確保されるようにする。 Insights on IT risk Insights on IT risk 効果 前述の3つのソリューションを導入し、 PbRDをIT変革に組み込んだこ とにより、 この医療機関は次のような効果を上げることができました。 • 500のシステムの存在を把握した。このうち250のシステムがプロ ジェクトの目的に適合したものであることが明らかになった。この 500のシステムは次の条件を満たしている。すなわち、個人情報の 保存および処理に使用され、規制による要件遵守の対象とされる システムであること、50名超のユーザー基盤を持ち、近い将来に 除却する予定のないものであること、そして、 プロセス上流のソー スシステムから送られたデータを受け取るサブシステムに該当し ないこと。 • アクセス認可とデータベース管理の一元化を目的とした変革プロ ジェクトの開発。このヘルスケア機関は、 システムへのアクセス提 供に関する作業と労力のレベルを明らかにするための調査を開発 した。そして現在、 250のシステム全体にわたり、アクセス管理に年 間平均で2百万ドルが費やされており、 さらにコンプライアンス活 動への支出額20万ドルを加えると、総額は220万ドルに上ること が判明した。 • プライバシー影響評価や大局的なプロセスとデータのマッピング (対応付け) を含めたシステム評価。このヘルスケア機関では、50 のアプリケーションについてその後18カ月間、試行的に残りの評 価を実施した。そして、 これに基づく発見事項と改善計画をとりまと め、 対象システム全体を視野に入れたソリューションを開発した。プ ロセスと機能の双方に重複が見つかり、 組織は、 システムの3分の1 について徐々に使用を停止し、 関連プロセスを統合することができ ると結論づけた。 • 一元的なアクセス認可の導入。250のシステムのうち、個人情報 を使用する必要があるのは100に過ぎず、 その他のシステムでは、 非個人情報で代用できることが判明した。 この組織は、 一元的なア クセス認可に加えて、 アクセスロールの効果や個人情報を閲覧機 能についても検討した。 • データベース用の自動化ソリューションの開発。これによってこの 組織は、 アプリケーションではなくデータベースのレベルで、個人 情報への過剰なアクセスに対応できるようになった。 • 財務分析の完成。この分析により、5年後には全体として25%の コスト削 減が可 能となることが示され、組 織は投 資を進める 決定を下した。 Insights on IT risk Insights on IT risk 11 プライバシー保護の実施 成功へのヒント プライバシー問題だけがIT変革を動機付ける中心的な要因になる 4. 視野を広げる。個々の問題や縦割り思考を超えた大きな視野を 持つ。IT事業全体の構想をもってソリューションを構築するのが、 ことはまずありません。 しかし、組織がIT変革を行うと決めたのなら、 プライバシーに関する目的を組み込むことは極めて重要です。これ 長期的に見れば得策である。 を確実に行うためには、各組織は、以下に記載する成功要因を検討 5. 外部の専門家を活用して新たな意見を得る。多くの場合、 セキュリ すべきです。 ティ管理部門にはプライバシーの知識がなく、 プライバシー管理 1. プライバシー推進リーダーを任命する。主要なステークホルダー 部門にはセキュリティに関する経験がない。コンサルタントや各分 へ働きかける、適切な資源を集める、変革により影響を受けるメ 野の専門家は、 実地で学んだ教訓やPbRDをIT変革プロジェクトに ンバーの賛同を獲得する、 といった権限を持ち、 プロジェクトを主 実際に組み込んだ経験に基づく貴重な意見を提供し、ありがちな 催するプライバシー推進リーダーを任命する。プライバシー推進 失敗に陥るリスクを低減することができる。 リーダーは、 立ち上げ時からプロジェクトに参加しプライバシーお 技術はかつてない速度で進歩し続けています。世界各地の企業で よび個人データ保護に係るリスクを把握する。また、 プライバシー は、 IT事業部は技術の進化への対応を図る一方で、新技術がレガシー 対策が後からの補足部分となるのではなくプロジェクトを方向付 システムと新たな統合プロジェクトの双方にもたらす影響への対処に ける主な要素となるように調整する必要がある。 追われています。こうした状況のなか、 プライバシー対策は極めて重 2. 最高セキュリティ責任者 (以下「CSO」) と最高プライバシー責任者 要な問題として検討する必要があります。 (以下「 CPO」)の目的のギャップを埋める。プライバシーおよび プライバシー関連リスクの効果的な管理によって、 組織はレピュテーション データ保護対策を組み込み、PbRDの基本原則を実践する大きな や株主価値を損なう恐れのある深刻な侵入事故を防止することができま チャンスが、CSO主導の変革イニシアチブから生まれる可能性が す。 プライバシー対策の実施は、 事業パフォーマンス向上と競争優位性獲 ある。 得の機会をもたらすことにもつながるのです。 3. 主な賛同者、影響力を持つ関係者、推進要因を理解する。多くの 変革プロジェクトでは、組織の垂直・横断的な理解と協力が必要と なる。部門横断的なコスト削減効果を実証することができれば、 サポートを引き出す要因とすることができる。 12 Insights on IT risk Ernst & Young アーンスト・アンド・ヤングについて アーンスト・アンド・ヤングは、 アシュアランス、税務、 トランザクションおよびアドバイザリーサービスの 分野における世界的なリーダーです。全世界の16 万7千人の構成員は、 共通のバリュー (価値観) に基 づいて、品質において徹底した責任を果します。私 どもは、 クライアント、 構成員、 そして社会の可能性 の実現に向けて、 プラスの変化をもたらすよう支援 します。 「アーンスト・アンド・ヤング」 とは、 アーンスト・アンド・ヤング・ グローバル・リミテッドのメンバーファームで構成されるグ ローバル・ネットワークを指し、 各メンバーファームは法的に 独立した組織です。アーンスト・アンド・ヤング・グローバル・リ ミテッドは、 英国の保証有限責任会社であり、 顧客サービス は提供していません。詳しくは、www.ey.com にて紹介し ています。 新日本有限責任監査法人について 新日本有限責任監査法人は、アーンスト・アンド・ ヤングのメンバーファームです。全国に拠点を持 ち、日本最大級の人員を擁する監査法人業界の リーダーです。品質を最優先に、 監査および保証業 務をはじめ、 各種財務関連アドバイザリーサービス などを提供しています。アーンスト・アンド・ヤングの グローバル・ネットワークを通じて、 日本を取り巻く 世界経済、社会における資本市場への信任を確保 し、 その機能を向上するため、 可能性の実現を追求 します。詳しくは、www.shinnihon.or.jp にて紹介 しています。 © 2012 Ernst & Young ShinNihon LLC. All Rights Reserved. 本書又は本書に含まれる資料は、 一定の編集を経た要約形式の情報 を掲載するものです。 したがって、 本書又は本書に含まれる資料のご 利用は一般的な参考目的の利用に限られるものとし、 特定の目的を 前提とした利用、詳細な調査への代用、専門的な判断の材料として のご利用等はしないでください。本書又は本書に含まれる資料につ いて、 新日本有限責任監査法人を含むアーンスト・アンド・ヤングの他 のいかなるグローバル・ネットワークのメンバーも、その内容の正確 性、完全性、 目的適合性その他いかなる点についてもこれを保証す るものではなく、 本書又は本書に含まれる資料に基づいた行動又は 行動をしないことにより発生したいかなる損害についても一切の責 任を負いません。 本資料はSCORE no. AU0990 の翻訳版です。