和文ダウンロード - 新日本有限責任監査法人

by user

on 28 марта 2017

Category: Documents

>> Downloads: 2

views

Report

Comments

Description

Download 和文ダウンロード - 新日本有限責任監査法人

Transcript

和文ダウンロード - 新日本有限責任監査法人

Insights on
governance, risk
and compliance
プライバシートレンド2013
前途多難な状況が続く
iii
Insights on governance, risk and compliance
目次
はじめに ................................................................................. 2
プライバシーの合言葉 : ガバナンスと説明責任 ............................... 4
規制当局と企業におけるガバナンスの進化 ........................................ 5
執行機関から戦略アドバイザーへ ............................................... 6
ベンダー保証の意外な難しさ .................................................... 8
プライバシー管理責任者の変化する役割 .................................... 10
テクノロジーがもたらすチャンスは使いこなす知識を習得してこそ .......... 13
デジタル化は説明責任を伴う................................................... 14
モニタリングが裏付ける不十分なプライバシー管理 ........................ 16
個人のプライバシーと企業のセキュリティーの微妙なバランス ........... 18
変化に遅れまいと奮闘する規制当局 .............................................. 20
コンプライアンスから説明責任へと成熟するプライバシー保護 ........... 21
戦略的に必須となる違反通知 .................................................. 24
プライバシー・バイ・デザインの魅力を増すには規制が必要 .............. 26
結論 ................................................................................... 28
Insights on governance, risk and compliance
1
はじめに
プ
ライバシー問題に対する
人々の意識が移り変わり、
高まるにつれ、この分野
に関して組織が意思決定を行う際
に市場環境が影響を及ぼすという
トレンドが形成されつつあります。
私たちはこの数年、本報告書を作成する過程で、個々の組織が直面するプライバシー問題に関す
る重要なトレンドについて議論してきました。そして今年、こうしたトレンドをガバナンス、テクノロ
ジー、規制という 3つのカテゴリーに分類してまとめました。これらは、プライバシー保護の新時代
を迎え、ますます重要な役割を果たすようになっているというのが社会の趨勢です。
世界各国の規制当局は、プライバシー保護の強化を求めて社会が変化していくスピードに遅れない
ように最善を尽くしています。しかし、テクノロジーの進歩に追い付けず、一歩前進しては二歩後退
するというのが現状のようです。それに伴い、組織も後退しています。デジタルの世界はまだ比較
的若く、はっきりとした境界も確立されていません。サイバー攻撃やネット上でのマナー違反、行き
過ぎた個人情報の共有だけではありません。組織が内部の関係者だけでなく、知識が乏しい消費
者のために方向性を示し、規制すべき問題は他にも沢山あります。
デジタル・エコシステムの進化に伴い、規制当局と組織は通信回線を開放する必要があります。規
制当局がアドバイザー兼コンプライアンス執行者としての微妙なバランスを保つ一方で、組織は既
存の境界を押し広げるのではなく、新たな境界を創造するように努めなければなりません。規制当
局と組織が協力しながら、プライバシー保護の先導役を果たすことが必要です。
2
Insights on governance, risk and compliance
本報告書の内容は、プライバシー問題の現状と今後の課題についてこ
タの所有者を特定する際に、組織が直面し得る法的な問題について
の分野の専門家に意見を求め、その結果をまとめたものです。
解説しています。Bring Your Own Device ( 私物の情報機器を会
• アラン・チャン氏（香港、個人情報保護局長）は、進化しつつあるデー
タ保護機関の役割として単に規制するだけでなく、組織とのオープン
な意見交換を促すことの重要性について議論しています。
• ジョン・ゲバーツ氏（オートマチック・データ・プロセッシング社、個
人情報保護に関するグローバル最高責任者）は、個人情報保護に関
する標準的なコンプライアンスの枠組みが必要であると主張してい
ます。こうした枠組みは、個人情報保護プログラムの展開や評価に一
貫性をもたらすと同時に、業種や国によって大きく異なる要件に対応
するものです。
• ダニエラ・ファビアン = マゾッホ氏（ノバルティス、データ機密性保護
に関するグローバル責任者）は、国や地域の要件にも対応できる柔軟
性を備えたグローバルガバナンス構造の構築について語っています。
なお、ノバルティスは最近、Binding Corporate Rules（拘束力のあ
る社内規定。以下「BCR」）の承認ステータスを獲得しました。
• ヘンリー・クジャラ氏（ノキア、ロケーションおよびコマース事業にお
ける個人情報保護責任者）は、ますます複雑化するモバイル・エコシ
ステムについて議論し、技術仕様を開発する際に個人情報の保護を
基本コンポーネントにすべきであると強く主張しています。
• ジュールズ・ポロネトスキ氏（フューチャーオブプライバシーフォー
ラム（ワシントン DC）、ディレクター兼共同議長）は、社用で使われる
モバイル機器（所有者の如何を問わず）に記録されている個人デー
社の業務に使用すること。以下「BYOD」）の普及に伴い、従業員のス
マートフォンやタブレットに記録されているデータを誰が管理し、個人
のプライバシーと企業リスクの間でどのような線引きを行うかという
複雑な問題も生じています。
• ファブリス・ナフタルスキ氏（Ernst & Young Société d’Avocats®、
法務パートナー、およびヨーロピアン・プライバシー・シール［略称
EuroPriSe］、法務エキスパート）は、以前は大手多国籍企業が自主
目標としていた BCR の承認ステータスの取得が現在では必須になり
つつあると述べています。
• メアリー = エレン・キャラハン氏（ジェンナー・アンド・ブロック LLP、
パートナー、および米国土安全保障省、元最高個人情報保護責任者）
は、欧州連合（EU）の個人情報保護政策が米国のセクター方式より
厳格であるという誤解を解き、それどころか、欧州と米国には大方の
予想以上に共通する部分が多いと解説しています。
• マリエル・ギャロ氏（欧州議会議員および法務委員会委員）は、欧州
委員会におけるデータ保護機関の役割が、変更の要請を受けてデー
タ保護に関する EU 指令を達成する方向へとシフトする様子を概説し
ています。
いずれの専門家もガバナンスと説明責任の問題につながる共通の見解
を示しています。適切な個人情報管理の実施という目標に向かう上り坂
が続く中、組織と規制当局が協力しながら前進することが必要です。
Insights on governance, risk and compliance
3
プライバシーの合言葉 :
ガバナンスと説明責任
この 15年間、テクノロジーがもたらす企業業務と生活習慣の変化に対応すべく、プライバシーに関
する規制は急速な進化を強いられてきました。
1990年代後半から 2000年代初頭にかけて、世界各国の規制当局は、特定のコンプライアンス問
題に対処するための規則やガイドラインを施行しました。医療保険の相互運用性と説明責任に関
する法律（以下「 HIPAA」）や臨床試験指令、スパム広告、テキストメッセージ広告などがそれです。
こうした規制当局の対応はテクノロジーの発展に呼応したものでした。例えば、HIPAA のプライバ
シーおよびセキュリティー規則の施行を後押しした大きな要因は遺伝子研究の進歩であり、こうし
サギ・レイゼロフ博士
Dr. Sagi Leizerov
EY
プライバシー・アドバイザリー
および保証サービス担当
アメリカス・リーダー
米国、バージニア州
た医療情報が本人はもとより血縁者にも影響を及ぼすのではないかという懸念でした。EU で電子
通信プライバシー保護指令が制定された背景にも通信技術の進歩がありました。中国政府は携帯
電話のスパム行為を制限する規制を課しました。
2000年代半ばになると、個人情報を悪用した不正行為が規制の焦点になりました。プライバシー
保護違反の通知と情報セキュリティーに関する法規制が制定されると、プライバシーの問題を重大
なビジネスリスクとして捉える動きが本格化し始めます。企業のみならず犯罪組織なども、個人情
報にアクセスすることに計り知れない価値があると認識するようになりました。犯罪組織はそこに
金銭的な価値を見出しました。企業組織は、個人を特定することが可能な情報への不正アクセスを
許せば、業績や評判を損なう可能性があると理解し始めました。欧米やアジア太平洋地域では、規
制当局が組織のプライバシー保護違反に対して罰金を科し始めています。EU は通信業界を対象と
したプライバシー保護違反の通知に関する法案を可決しました。このほか、データ保護目的の暗号
化ソリューションを求める規則案を可決した法域もあります。また、プライバシーや、プロトコル制
御情報（PCI）、危機管理の問題に並行して取り組み始めた組織もあります。こうした動きは今日も
続いています。
私たちはいま、ガバナンスと説明責任が中心的な役割を果たす、効果的なプライバシー管理の新し
い時代を迎えようとしています。規制当局は、具体的な要件を設定しても、テクノロジーの進歩に
追い付いていけないことを理解しています。それよりむしろ、プロセスやテクノロジーの変化による
影響を評価し、こうした変化にプライバシーの中核要件を適用する、プライバシープログラムを「考
える」ことの重要性を強調しています。こうした動きは、個人情報の詳細なセキュリティープログラ
ムに関して米国のマサチューセッツ州が策定した規則に見られました。最近の例では、米連邦取引
委員会（以下「 FTC」）の同意判決があります。さらに同様の動きは、今後見込まれるプライバシー
規制の変化においても見られ、そのソリューションとして BCR の重要性が大いに強調されるように
なるでしょう。また、カナダのプライバシー委員会が打ち出したガイドラインのように、規制当局が
直接行動に出ることも予想されます。
本報告書では、この新しい時代の主なトレンドを分析し、絶えず変化するプライバシー問題を、組織
がうまく舵取りしていくためのソリューションについて考察します。貴社のご参考になれば幸いです。
4
Insights on governance, risk and compliance
規制当局と企業における
ガバナンスの進化
世界各国の規制当局は、プライバシー保護の強化を要する社会の変化に対応しようとでき
る限りの努力を重ねています。ところが、対策を一歩進める間に、テクノロジーは少なくと
もその二歩先を行っているのが現状です。テクノロジーは規制当局がまるで追いつけない
ペースで進化しています。そこで規制当局は、決して到達できない頂上をめざすより、次
に挙げるような二面的な努力をする方が効果的であると考えるようになりました。まず一
つは法律と規制によるプライバシー保護の強化を継続すること、もう一つは戦略アドバイ
ザーとして意思決定に関わる組織や消費者との議論に積極的に参加することです。
ビジネス面では、プライバシープログラムを単独で保証するためのツールが数多く開発さ
れており、組織はそれらを利用しようと試みています。しかし、保証基準の厳しい要件をす
べて満たせるほど万全な体制を整えた組織は多くありません。組織と規制当局は、取り組
みの失敗を招くことなく組織が説明責任を果たせるような妥協点を見出す必要がありま
す。
組織が直面する課題の一つは、情報のセキュリティーとプライバシーが未だに比較的新し
い事象だということです。これらの事象が現れてからわずか 30年、社会全体が拡大し続け
るデジタル世界の限界を知ろうと悪戦苦闘しています。常にプライバシーの保証を脅かす
オンラインエチケット違反やネットいじめ、個人情報の行き過ぎた共有は、デジタル世界が
生み出した問題のごく一部に過ぎません。組織内でデジタル世界の限界を把握し、明確に
することがますます重要になっています。
組織と規制当局にとって必要なのは、デジタルコミュニティーの柱としての役割を互いで
分担し、社会全体が遵守できるような信頼と配慮の基準を設けることです。
Insights on governance, risk and compliance
5
執行機関から
戦略アドバイザーへ
テ
クノロジーの変化が加速
するにつれ、規制当局の
役割は規制の制定機関か
ら戦略アドバイザーへと変化して
います。規制当局の主な役割とい
えば、以前は自ら制定した規則を
執行することでしたが、現在では
それと同じレベルでコンプライア
例えばカナダでは、オンタリオ州の情報・プライバシー・コミッショナー、アン・カブキアン博士が
個人データエコシステム（ Personal Data Ecosystem: PDE）と個人データ保管庫（Personal
Data Vaults、以下「PDV」）の利用に関するガイドラインを策定しました。PDV とは、最新のテク
ノロジーによって、消費者が各自の個人情報の収集や保存、利用、共有、アクセス許可、管理を完
全に自分でコントロールできるようにするものです 1。カブキアン博士はプライバシーバイデザイン
（Privacy by Design、以下「PbD」）の立案者としても知られています。PbD とは、組織が IT シス
テムを導入する際に考慮するべきプライバシーの 7原則として、世界各国の規制当局が強く推奨し
ているモデルです。
実際、PbD は 2012年 6月に香港個人資料私隱專員公署が香港で開催した大規模な会議のテーマ
にもなっています。同会議はプライバシーに関する画期的なイベントとして報じられ、香港のコミッ
ンスの監視者、啓蒙者、企業と政
ショナーがオーストラリアとカナダ、米国、ニュージーランドから一流の講演者を招いて開催されま
府との橋渡しとしての役割も果た
した。参加者には、データ保護とコンプライアンスの専門家からプライバシー保護の支持者、学術
し、プライバシーに関する議論へ
も積極的に参加しています。
関係者、マーケティングマネジャー、政策立案者、コンサルタント、監査役に至るまで、幅広い層を
想定。スポンサーには、EY のほか、グーグルやマイクロソフトなどの大手ハイテク企業が名を連ね
ました。開催の目的は、現地の民間および公共部門の組織を対象に PbD の説明を行い、将来のプ
ライバシー管理で PbD が果たす役割の重要性、ならびに組織で PbD の実践に取り組む方法につい
て理解してもらうことでした。
問題の焦点が変化しても、規制当局にとって法の施行が最も重要な武器であることには変わりあり
ません。一部の産業や国では執行力の欠如が現在もプライバシーに関する最も大きな課題の一つ
となっています。規制当局は、EU におけるプライバシー関連規制の改定案に関する議論で、そうし
た懸念を表明し、組織との協力と規制の執行との間に緊張関係があることを指摘しています。この
問題について、英国の情報コミッショナー、クリストファー・グレアム氏は次のように述べています。
改定案は「データ保護当局に罰金制裁を求めており……、規制当局に裁量の余地を与えるもので
はありません」。また、改正案が成立すれば規制当局は罰金の対象を「選別」せざるを得ず、結果的
にヨーロッパ全体で規制適用に一貫性のない事態を引き起こすのではないかと指摘しています 2。
幸運にも、法の施行に関しては、プライバシーの規制当局が産業関連の規制機関やプライバシー以
外の分野を専門とする規制当局から支援を受けられるようになっています。
例えば米国では、医療業界の規制当局が「経済的および臨床的健全性のための医療情報技術
（Health Information Technology for Economic and Clinical Health: HI TECH）に関する法
律」を制定し、州政府の司法長官と中央政府の司法省（以下「 DOJ」）に HIPAA の施行を求めてい
ます。州レベルでは、カリフォルニア州の司法長官が先ごろ、DOJ 内にプライバシー執行・保護部
門を設置すると発表しました。同部門は、州ならびに連邦のプライバシー法の民事手続きにより消
費者を保護する職務を担います 3。英国でも、金融サービス機構がプライバシーの侵害に対応し、
違反者に重い罰金を科すようになっています。
1 Cavoukian, Ann, PhD, Privacy by Design and the Emerging Personal Data Ecosystem, Office of the Information and Privacy Commissioner, Ontario, Canada, October 2012, http://www.ipc.on.ca/
images/Resources/pbd-pde.pdf.
2 “ICO, Facebook Call for Changes to Proposed Law,” IAPP , 9 November 2012, https://www.privacyassociation.org/publications/2012_11_09_ico_facebook_call_for_changes_to_proposed_law.
3 “Attorney General Kamala D. Harris Announces Privacy Enforcement and Protection Unit,” State of California Department of Justice, Office of the Attorney General , 19 July 2012, http://oag.
ca.gov/news/press-releases/attorney-general-kamala-d-harris-announces-privacy-enforcement-and-protection.
6
Insights on governance, risk and compliance
個人データ保護はビジネスの責務
私は香港で個人情報保護局長を務めていますが、職務上、常に直面しているのは「個人情報保護条
例（Personal Data [Privacy] Ordinance）」
（以下「条例」）に従って取り締まる上での法的問題
です。過去 2年間、組織が条例に違反して私たちが調査に乗り出した例がいくつかあります。その
多くの場合、条例に基づく執行権が私たちにあるのかどうかが問題になりました。
このような問題に対する私たちの対応はごく単純です。この問題を法務やコンプライアンスの専
門家に委ねるだけでビジネスが成り立つのかどうか、企業に自問を促すのです。すると企業は例外
なく、こう判断します。プライバシー保護違反に伴う風評リスクはあまりにも大きく、自分たちが考
えていた最低限の法的要件を満たすだけでは十分でない。このようにして、私たちは組織の経営
幹部と協力しながら組織に関連のあるプライバシーとデータ保護の問題に対処することができた
アラン・チャン氏
Allan Chiang
個人情報保護局長
中国、香港
のです。
しかし、問題が起きてからでは、このやり方は通用しません。組織は、公正性や透明性、比例原則と
いったコアバリューと同じように、プライバシーを各自のビジネスプロセスに組み入れる必要があり
ます。企業が持続的で高度な成果を実現するには、個人データの保護をビジネスの責務としなけれ
ばなりません。
on governance,
governance,risk
riskand
andcompliance
compliance
Insights on
7
ベンダー保証の
意外な難しさ
監
査機関やサードパーティー
の検証機関、業界の監督
機関は、ベンダー管理リス
クに対処するためのツール開発で
大きな進歩を遂げています。
2010年、米国公認会計士協会（AICPA）が保証業務基準書第 16号（以下「SSAE 16」）、
「受託業
務に係る内部統制の保証報告書」をまとめました。このグローバルな監査基準は、それまで受託会
社の報告に関する権威あるガイドラインとして利用されていた SAS 70に代わる新しい基準となり
ました。組織は SSAE 16の導入により、プライバシーやセキュリティー、処理のインテグリティ、機
密保持、可用性に関する受託会社の内部統制（Service Organization Controls、以下「SOC」）報
告書を作成できるようになります。
「受託会社におけるセキュリティー、可用性、処理のインテグリ
ティ、機密保持、プライバシーに関する内部統制報告書（SOC 2）」は、2011年の施行以来、需要が
大幅に増加しました。一方、通年報告の初年度となる 2012年は、必要な内部統制、特にプライバ
シーに関する内部統制の整備と維持、文書化の厳しい要件への対応に苦慮した組織が数多くみられ
ました。
医療従事者が医療情報システムを利用したり医療情報の交換を行う際に情報セキュリティーを保
証する必要性が生じていることから生まれた医療情報トラストアライアンス（HITRUST: Health
Information Trust Alliance）は、個人の健康や財務に関する情報の作成、閲覧、保存、交換に携
わる組織であれば医療業界内外で利用できる共通セキュリティーフレームワーク（CSF: common
security framework）を開発しました。組織からの問い合わせはありますが、このフレームワーク
を実際の検証に利用している例はまだほとんどありません。
プライバシー保証をめぐる状況は、サーベンス・オクスリー法が初めて導入された際の金融業界に
とてもよく似ています。当初、ほとんどの公開会社は簡単に要件をクリアできると考えていました。
ところが、自社の財務報告に係る内部統制の大部分が監査機関から見て十分でないことが判明す
ると、多くの企業は厳しい現実を突きつけられました。企業は内部統制の改善に多大なリソースを
投じなければならないことに気づいたのです。
SOC 2はプライバシー管理の保証の先行きを示すものですが、組織が内部統制を改善して厳しい
監査基準をクリアするには時間がかかります。いずれにしても、個人情報に関するリスクが高まるに
つれ、プライバシーの領域で独立した保証を求める傾向は今後も強まるでしょう。
8
Insights on governance, risk and compliance
必要性の高まるプライバシー
コンプライアンスの標準的枠組み
オートマチック・データ・プロセッシング（以下「ADP 」）は企業向けアウトソーシングソリューション
を提供する世界最大の会社です。私たちは日常、クライアントと協力して、人的資源や給与支払い、
税務、福利厚生の管理をはじめとする業務を行っています。そうした業務の成否は機密情報をい
かに効率的かつ安全に取り扱うかに左右されます。そのため、当社のプライバシープログラムとセ
キュリティープログラムは、概念上だけでなく、組織的にも密接に連動しています。当社のプライバ
シープログラムが主に重視するのは、セキュリティー、コンプライアンス、ビジネスイネーブルメン
トの 3つです。当社のプライバシーチームはセキュリティー組織の一部を構成するだけでなく、プ
ライバシープログラムにおけるコンプライアンスの重要性を考慮して法務部門の監督下に置かれ
ジョン・ゲバーツ氏
ています。
John Gevertz
脅威やテクノロジー、規制が急速に変化し続ける状況のなか、ADP はガバナンスとリスク、コンプラ
オートマチック・データ・
プロセッシング社
個人情報保護に関する
グローバル最高責任者
イアンス（GRC）のアプローチを実行することで、常に変化する規制や脅威、テクノロジーはもちろ
米国、ニューヨーク
ん、進化するクライアントのニーズにもグローバルレベルでの迅速な対応が可能なプライバシープ
ログラムを実現します。
グローバルなサービスプロバイダーとして当社が 2013年も直面する問題の一つは、グローバルな
規制の開発と適用に一貫性がないことです。規制の分野では収束と拡散の両方がみられます。多
国籍企業は管轄する国や地域によって異なる規制開発への対処に苦慮しています。規制や基準は、
地域だけでなく、業種によっても異なります。このため、各組織はベンダーに適用する要件の独自
基準を確立しようとしています。要件には基準の厳格化を進める規制当局に対応できるように設定
されるものもあれば、過去の違反状況に応じたものや独自の社内基準を満たすことを目標とするも
のもあります。当社はセキュリティーおよびプライバシーに関する内部統制の社内標準化を進めて
いますが、組織ごとの個別対応を求められることも少なくありません。単一セットの方針や基準、統
制プロセスでは、すべてのクライアントどころか、一部のクライアントのニーズにさえ応えることは
できません。これが原因で、当社のプライバシーおよびセキュリティー管理プログラムに非効率が
生じます。
グローバルな規模で規制の拡大と複雑化が進むにつれ、クライアントが独自の基準を設定する場
合、ベンダーが一貫性のある合理的かつ効果的なプライバシー管理プログラムを開発する場合
に利用できる標準的な枠組みやアプローチとしてのソリューションを求める声も高まっています。
SOC 2の報告はそうしたソリューションの一つといえるでしょう。しかし、グローバルな規制の統一
化をめぐる話し合いと同様、枠組みや報告基準に関するコンセンサスの実現にはまだ時間を要する
でしょう。
Insights on governance, risk and compliance
9
プライバシー管理責任者の
変化する役割
プ
ライバシー管理責任者の
役割は進化し続けていま
す。かつてプライバシー
管理責任者を設置することは先進
的な取り組みとみなされましたが、
プライバシー管理責任者（この役職名は業種や管轄区域によって異なる）の必要性については、米
国の HIPAA のような既存のプライバシー規則のほか、EU のプライバシー規則や FTC による同意
判決、カナダのデータ保護当局が定めるガイドラインなどのプライバシー規則案にも記載されてい
ます。
プライバシー管理責任者の役割は二通りの進展が見られます。大規模な多国籍企業や急速に変化
する情報集約型の組織では、プライバシー管理責任者の役割が著しく進化しています。プライバ
今日ではごく一般的な業務慣行と
シー管理責任者はその役割の成熟に伴い、単に指導者や方針決定者としての役割を果たすだけで
なっています。実際、規制当局が
は不十分であることを自覚します。継続的なビジネスの問題に対処しながら、増え続ける、時として
管轄する地域の多くでは、プライ
バシー管理責任者の設置が義務づ
けられています。
直属関係のない社内のプライバシー担当者の監督もしなければなりません。
一方、新しいタイプのプライバシー管理責任者も出現しています。経時的な変化の少ないプログラ
ムを管理するプライバシー管理責任者です。プライバシープログラムが導入されて効果的に運用
されるようになると、組織の成熟度が低レベルから中レベルに上がり、メンテナンスや違反処理、プ
ログラムの更新が主な仕事になります。こうなると、最高プライバシー管理責任者（Chief Privacy
Officer、以下「CPO」）は不要になります。データ集約的ではない、変化の遅い組織や中規模の組
織の場合、それまでキャリアの目標だったプライバシー管理の責任を低レベルから中レベルの管理
職が担うようになります。彼らにとって、プライバシー管理責任者はキャリアパスの途上にある数多
くの役職の一つに過ぎません。
実際、大規模な一流の多国籍企業でも、プライバシー管理責任者を務める中レベルの管理職の数
は増加傾向にあります。このようなプライバシー管理責任者の役職の拡散は悪いことではありま
せん。適切に編成すれば、組織のニーズにうまく適応するはずです。すべての組織に「スーパー
CPO」が必要なわけではありません。
プライバシー管理責任者の成熟はプライバシー管理全体の成熟に直接影響します。プライバシー
管理責任者が組織内で異動すると、その人の知識も異動先に持ち込まれます。その結果、他の部
門にプライバシーに関する知識が広がるだけでなく、全員がプライバシーの責任を担うようになり
ます。このようにして、プライバシーは組織の骨組みにしっかり組み込まれていきます。プライバ
シー管理は、人事や購買、社内監査と同様、組織に不可欠な要素なのです。
プライバシー保護の成熟度は、もはやソリューションの高度さをものさしにはできません。評価の
基準となるのは、多種多様なビジネスデマンドにおける一貫性と配慮です。組織によっては、大きな
担当者組織（国際的な規模になることが多い）を維持する能力や、日常業務の効果的な遂行に必要
な注意力を維持する能力、あるいはコンプライアンスの一貫性をまず維持することを評価基準とし
ているところもあります。
10
Insights on governance, risk and compliance
データプライバシーに必要となる
強力かつ柔軟な基準
ノバルティス・グループ内のデータプライバシー管理では、データプライバシーに関する現地の法
律や規則を遵守し、ノバルティスのグローバルプライバシープログラムを実行する責任と説明責任
を担うよう関連会社に求めています。
当社のプライバシープログラムの目的は、世界各地のノバルティス関連会社がプライバシーの要件
を遵守し、グローバルなプロジェクトと国際的なデータフローを管理できるようにサポートすること
です。ノバルティス・プライバシーポリシーの枠組みでノバルティス・グループ内の適切な個人情
報の保護に関する共通基準を定めていますが、国内の要件にも対応可能な柔軟性をある程度維持
することも重要です。例えば、プライバシー基準を遵守し、それを継続的に監視するための意識向
ダニエラ・ファビアン = マゾッホ氏
Daniela Fabian Masoch
ノバルティス・インターナショナル AG
データ機密性保護に関する
グローバル責任者
スイス、バーゼル
上やトレーニングを目的としたプログラムの設定要件がさまざまに異なるように、企業が遵守すべ
き標準的な業務手順も国によって違います。
当社のプライバシープログラムと BCR を効果的に実施するうえで不可欠な要素は、組織のさまざ
まなレベルのプライバシー管理責任者を含むグローバルなプライバシーネットワークをノバルティ
ス・グループの部門や国、機能、関連会社の内部に確立することです。データプライバシー管理責
任者は、データプライバシーの要件を遵守し、データプライバシーの適切な管理をプロセスとシス
テムに導入する責任を担います。プライバシーコントロールを定期的に評価することで企業レベル
の成熟度が分かり、プログラムの実施に関する既存の問題点と組織にとっての潜在的なリスクが特
定しやすくなります。
データプライバシーに関する当社の取り組みの有効性は実証されています。ただし、EU 内外で規
制の変更があれば、それに応じてデータ保護の適合性を保ち、絶えず変化するプライバシー環境に
素早く対応できるようにしておく必要があります。
Insights on
risk
and
compliance
Insights
ongovernance,
governance,
risk
and
compliance
11
プライバシー管理の自己評価、半数近くが「中程度に成熟」
EY の「ギャップを埋める闘い : アーンスト・アンド・ヤングによる 2012年度グローバル情報セキュリティサーベイ」では、調査対象者にそれぞれの組
織内のプライバシー管理といくつかの情報セキュリティー機能の成熟度を「存在しない」から「大変成熟している」までの基準で評価してもらいまし
た。その結果、プライバシー管理が非常に成熟していると評価した回答者はわずか 7% でした。回答者の半数近く（41%）は中程度に成熟していると
回答しており、プライバシーの保護に関しては確実に進歩しているものの、まだ対応の余地ありと考えているようです。
下記セキュリティー機能の成熟度に関する自己評価として、5段階評価で該当するものを選択してください。
（1∼ 5のうち 1は存在しない、5は大変成熟している）
5
セキュリティ運用（アンチウィルス、IDS、IPS、パッチ、暗号化など）
16%
26%
8%
28%
プライバシー 7%
27%
コンプライアンス管理とサポート 7%
26%
脅威、脆弱性管理 6%
11%
39%
0
Insights on governance, risk and compliance
19%
19%
6%
19%
26%
40%
22%
38%
18%
27%
34%
50
3%
5%
40%
39%
5%
21%
41%
31%
28%
8% 1%
23%
37%
23%
1
39%
27%
セキュリティテスト（ウェブアプリケーションテスト、侵入テストなど） 8%
12
39%
30%
セキュリティ意識向上活動、研修、コミュニケーション 5%
セキュリティガバナンスと管理（評価指標と報告、アーキテクチャ、プログラム管理） 4%
2
32%
31%
セキュリティインシデントおよびイベントの管理 6%
事業継続管理および緊急時復旧計画
3
43%
データ保全（情報の正確性、信頼性）に関する活動 6%
アイデンティティ/ アクセス管理
4
22%
4%
6%
4%
4%
8%
9%
100
テクノロジーがもたらすチャンスは
使いこなす知識を習得してこそ
テクノロジーの進化はいわば諸刃の剣です。組織と消費者のどちらにも、テクノロジーは
チャンスの扉を開いてくれます。しかし、そこにはリスクもあります。消費者需要に伴い、
デジタル化、つまり、顧客関係とビジネスモデル、バリューチェーンの抜本的な変革の必要
性が高まっています。一方、一部の組織はテクノロジーを活用して新しい製品やサービス
を導入したり、効率性を改善したり、詳細な顧客情報を現時点で必要以上に、あるいは利
用法も分からない範囲まで収集しています。このような組織はプライバシーに最大のリス
クをもたらします。
リスク管理を改善するためモニタリングテクノロジーを導入している組織は少なくありませ
んが、これによって新たな問題が発生します。モニタリングテクノロジーによってプライバ
シーの問題点を特定しても、その是正に費用がかさむ場合が多いからです。社内では、従
業員が個人所有の機器を業務に使用する状況（BYOD）から、従業員のプライバシーを侵害
せずに組織のデータを確保しなければならないという難しい問題が生じます。
Insights on governance, risk and compliance
13
デジタル化は
説明責任を伴う
デ
ジタル化は、大量生産の
時代に入って以来、最も
大きな変革をビジネスに
もたらすと考えられています。そ
れはほぼすべての産業で顧客との
関係に影響を及ぼし、組織の販路
やプロセス、地域分布のすべてに
統一されたシームレスな体験を生
み出します。
インターネットやソーシャルメディア、モバイル機器、リアルタイムの 360度分析を利用すること
で、組織は顧客関係の強化や売上拡大、業務の合理化、人材育成のほか、イノベーションによってソ
リューションやビジネスモデルを競争力のあるものに作り直すことができます。
アプリ革命はその最たる例です。集客力を高めるアプリがあれば、ほとんどの組織がそれを欲しが
るでしょう。技術的な成熟度が比較的に低い組織でも、市場に対する訴求力の強化から顧客情報の
収集まで、それが必要か否かはともかく、アプリがどのような価値をもたらしてくれるかは理解して
います。しかし実際のところ、組織の多くは収集した情報をどう活用したらよいのかをほとんど、あ
るいはまったく理解していません。このような状況から、最先端のテクノロジー企業がかなり前から
プライバシーに関する議論を重ねているにもかかわらず、デジタル化に遅れを取った組織はプライ
バシーのリスクや管理についてほとんど何も知らず、リスクを特定したり、それに対処したりするス
タッフのリソースを備えていないといった問題が発生します。その結果、デジタルの世界に足を踏
み入れた途端に初歩的なミスを犯して強力なグローバルブランドを傷つけてしまうという事例が数
多く見られます。習熟に至る道のりは険しいのです。組織は要件を明確にし、プライバシープログラ
ムを策定して、デジタル化に伴う説明責任を担えるようにすることが必要となります。
14
Insights on governance, risk and compliance
技術規格の制定ではプライバシーを最優先
モバイルの世界は複雑で、役割や地域が異なる大勢の当事者が関与するグローバルなエコシステ
ムといえます。一人の当事者が同時に複数の役割をこなすことも珍しくありません。たとえば、機
器メーカーがオペレーティングシステム（以下「OS」）のプロバイダーでもあり、独自のアプリケー
ション販路を運営しながら、自社のアプリケーションを販売している場合です。また、これらの役割
を異なる当事者が個別に果たす場合もあります。
それに加えて、膨大な数の人や企業が、アプリケーションのユーザーやクリエーターとして、あるい
は個人データのプロセッサーやコントローラーとして、この世界に参加する新しい方法を見出して
います。広告会社や分析機関は、アプリケーション開発者に独自のアプリケーションを開発・商品
化する新たな機会をもたらします。
ヘンリー・クジャラ氏
Henri Kujala
ノキア、ロケーションおよび
コマース事業における
個人情報保護責任者
ドイツ、ベルリン
このようなエコシステムのダイナミクスは、パズルのような世界を形成します。そこではすべての
関係者がプライバシーの問題を解くために必要なピースを提供しなければなりません。一人の当
事者のミスが個人のプライバシーに重大な問題を招きます。このエコシステムにはプライバシーを
すべて一人で管理できるような当事者はいません。当事者がそれぞれの役割を果たし、個人デー
タの収集や利用が秘密裏に、制限なく、過剰に、あるいはセキュリティーが確保されない状態で行
われないようにする必要があります。
従って、OS のプロバイダーは、各種センサーなどのハードウェア機能を機器メーカーに公開しても
らい、それをプライバシーに配慮して統制された方法で開発者が利用できるようにしなければなり
ません。また、連絡先や OS のコンテンツなどの情報へのアクセスをコントロールし、ユーザーには
意識させないようにする必要があります。同時に、アプリケーションストアが開発者にプライバシー
の要件を義務付けることも必要です。これは開発者の間でプライバシーの意識を向上させる有力
な手段となります。ユーザーにも、OS やハードウェア、アプリケーションの機能がプライバシーに及
ぼす影響を知らせ、不正行為があった場合にユーザーが報告できるような方法も用意する必要があ
ります。大手のアプリケーションストアは既にプライバシー要件を定めており、それを守らないと開
発者はアプリケーションを発表できない仕組みになっています。
データが地域や大陸の境界を超えてやり取りされ、多種多様な当事者がさまざまな法律に準拠し、
ユーザーがどこにいてもサービスを利用できる相互依存性の高いエコシステムの場合、プライバ
シーの問題は現行の規制制度では十分に対処できません。OS のプロバイダーやアプリケーションス
トアといった主な当事者の活動には、データ管理者のような従来のデータ保護の定義が当てはまら
ないものも多くあります。実際、ユーザー自身がデータ管理者となるサービスは少なくありません。
ノキアは、テクノロジーの基準がモバイルエコシステムの未来を支える重要なものであると理解し
ています。だからこそ、当社はさまざまな技術規格団体とモデルを共有し、プライバシー原則の変
更を促して、それが実際の技術規格に反映されるように努めています。規格開発プロセスにプライ
バシーを採り入れることで、規格を導入する関係者がプライバシーの問題を知り、それらの要件を
遵守できるようにすることが当社の目標です。
Insights on governance, risk and compliance
15
モニタリングが裏付ける
不十分なプライバシー管理
ど
のプログラムにも方針や
コントロール、モニタリン
グといった要素がありま
す。従来のプライバシープログラ
ムは、確固たる方針と標準的な管
理方法で運用されてきましたが、
EY の「プライバシートレンド 2012: 説明責任の高まり」では、個人情報の管理状況をモニタリング
する必要性について、組織に意識の向上が見られることを指摘しました。また、データ共有状況を
追跡する DLP ツールやネットワークフォルダーの利用状況を追跡するツール、データベースの利用
パターンを監視するアプリケーションの普及についても言及しました。
2012年の動向については、組織がプライバシー監視ツールへの投資を増額し、収集した個人情報
をモニタリングすることでより大きな説明責任を果たそうとするだろうと予想しました。ところが、
新しいプライバシー監視ツールが導入されると、説明責任以外の問題も浮き彫りになりました。プ
モニタリングが実施されることは
ライバシー管理が十分でないことを裏付けるデータが示されたのです。
ほとんどありませんでした。膨大
この不十分な管理によって、監視ツール導入の重要性と説明責任の必要性がはっきりします。現
な量のデータとさまざまなプロセ
スが関与するため、プライバシー
監視ツールを装備している組織は
ごく少数でした。
在、組織にとって問題なのは改善に要する膨大なコストです。実際、応急処置で対処できる問題は
少なく、新しいテクノロジーへの多額の投資が必要になります。個人情報へのアクセスが限られ、
暗号化技術を利用する組織がほとんどなかった 90年代に開発されたシステムに今なお依存する組
織も少なくありません。そうした状況から、多くの組織は総合的な IT 化計画を打ち出し、監視ツー
ルで発覚したプライバシーの問題に対処する必要があるはずです。しかし、現在も不況の影響を引
きずっている組織が多い中、必要な投資を行おうという組織はほとんどありません。私たちの予想
でも、プライバシー関連予算（および個人情報の保護をサポートするセキュリティー関連予算）は
2012年度と同水準に留まると考えられます。
EY の「ギャップを埋める闘い : アーンスト・アンド・ヤングによる 2012年度グローバル情報セキュ
リティサーベイ」では、回答者の 70% が次年度のプライバシー関連予算は前年度とほぼ同じになる
という見通しを示しています。プライバシー管理の改善に必要な投資の増加に対応するには、この
数字が変化しなければなりません。
16
Insights on governance, risk and compliance
あなたの組織が以下の活動に投じる次年度の予算は対前年比で増加、減少、あるいは横ばいのどれですか。
出費を計画している分野のみ選択してください。
新しいテクノロジーの確保
39%
55%
ビジネス継続性管理および災害復旧
47%
データ漏洩・消失防止技術およびプロセス
45%
ID およびアクセス管理技術およびプロセス
7%
6%
6%
56%
38%
情報セキュリティーリスク管理
46%
49%
52%
42%
セキュリティーに関する意識向上およびトレーニング
6%
6%
59%
36%
5%
セキュリティー検証
34%
58%
8%
セキュリティー業務
34%
59%
7%
32%
62%
6%
セキュリティーのガバナンスおよび管理
脅威および脆弱性の管理技術およびプロセス
31%
64%
5%
コンプライアンス監視
31%
64%
5%
セキュリティーの事故および事象管理
64%
30%
セキュリティー基準の導入
事故対応能力
27%
情報セキュリティー改革
26%
67%
25%
66%
プライバシー
24%
70%
犯罪・不正行為の捜査協力
18%
17%
支出増加
6%
13%
9%
6%
63%
22%
セキュリティー活動のオフショアリング・アウトソーシング
9%
61%
安全な開発プロセス
セキュリティー資源の確保
6%
63%
28%
15%
75%
7%
67%
支出横ばい
Insights on governance, risk and compliance
16%
支出減少
17
個人のプライバシーと
企業のセキュリティーの
微妙なバランス
労
働力の完全モバイル化が
かつてないほどの勢いで
進んでいます。組織の中
には、現実世界のオフィスを閉鎖
して、完全にバーチャルな職場モ
デルに移行している例もあります。
このような組織は管理部門による
抑制と均衡でリスクを管理してい
ます。果たして、それで十分なので
しょうか ?
ほんの 5年ほど前まで、組織は境界周辺の防護に重点を置いていました。最近では、その境界が失
われてボーダーレスな世界が生まれ、組織も境界の防護からデータの保護に重点を移すようになり
ました。現在、モバイルワークフォースの増加に伴い、再び重点を見直す必要が生じるかもしれま
せん。データをコントロールできないのなら、データを託すことのできるパートナーを決める必要
があります。
伝統的な職場であれ新しいバーチャルなモバイル職場モデルの一部であれ、BYOD の普及は効率
性と深刻な懸念の両方をもたらしました。一般的なモバイル機器でセキュリティーの要件を満たす
万全な制御機能を搭載する機種は多くありません。また、従業員は会社の IT 部門を通さずに自分
でモバイル機器をアップグレードすることができます。そこにプライバシーの問題があります。組織
がセキュリティーを管理するため、監視ツールを利用して従業員のデータを監視しようとすれば、結
果的に従業員の個人情報を監視することになります。
機器の公私兼用に伴うプライバシーの問題を解決する理想的なソリューションは、機器のパーティ
ショニングを検討することです。モバイル機器に仕事用と個人用、2種類のデスクトップを設定し、
同じ機器のハードドライブに 2つの異なるコンポーネントを置くという対策が考えられます。残念な
がら、モバイル機器はハードドライブの容量とバッテリーのパワーが不十分なため、現時点でこのソ
リューションには対応できません。
これより実現可能性が高いのは、メインのネットワークとは別のゲスト用ネットワークを使用する方
法です。この方法をとれば、従業員は仕事専用のメールアカウントでも私物の機器を使ってイン
ターネットに直接アクセスすることができます。また、サードパーティーのサービスを利用するか独
自のコーディングによって、社用のデータや自社開発のアプリケーションを置くための「サンドボッ
クス」を作成し、個人のデータやアプリケーション、オンラインサービスとのやり取りを効果的に区
別する方法もあります。これらの方法は、組織のデータを無許可のアクセスから防御し、従業員の
個人情報が組織に監視されないようにするという二重の目的を果たします。
18
Insights on governance, risk and compliance
データは誰のものか ?
モバイル機器が私生活の中心を占め、仕事の生産性に不可欠なものになるにつれ、モバイル機器
に記録されたデータの所有者を区別することが非常に難しくなりました。モバイル機器が明らかに
会社の所有物で、私的な使用が制限されている場合に妥当と思われた方針や慣行も、仕事と私生
活の区別があいまいな環境では、その妥当性が薄れてしまいます。従業員は一日 24時間の対応を
期待されます。休暇中の真夜中にメールを打つのは仕事で、勤務中、ミーティングの合間に会社か
ら支給されたタブレットで誕生日のプレゼントを探すのは私用といえるかもしれません。このあたり
が法律とコンプライアンスの慣行の適応が難しくなっている分野です。
仕事と個人の情報を区別する、便利で効果的なソリューションが必要です。機器をコンパートメント
で仕切るテクノロジーは有用ですが、組織には私用と仕事の区別について柔軟でバランスのとれた
ジュールズ・ポロネトスキ氏
見方をすることが求められます。
Jules Polonetsky
これまでのところ、常軌を逸した裁判沙汰はほとんどなく、機器を監視したり退職する従業員の機
フューチャーオブプライバシーフォーラム
ディレクター兼共同議長
器のデータを消去したりする可能性があることを明記した方針に従業員は順応しています。しかし、
米国、ワシントン DC
企業が従業員の所有する機器から個人データを消去するような措置を講じれば、裁判所は従業員
を保護するために監視の目を光らせる可能性が高くなります。たとえば、上司に無理に頼まれて週
末にメールをチェックしていたジュニアアシスタントがいるとします。このアシスタントは機密情報
へのアクセスを制限されていたにもかかわらず、クリスマス直前の解雇に伴い、自分が所有する機
器のデータを消去された結果、我が子が初めて歩いたときの映像まで失ってしまった、という状況
を考えてみてください。
高度に規制された環境、あるいは機密性の高い情報を取り扱う環境では、厳しい裁判所の監視下で
も上記のような組織の行動は正当化されるかもしれません。しかし、情報へのアクセスがあまり制
限されていない場合、企業はもう少し協調的で柔軟な方針を採用する必要があります。
モバイル環境におけるプライバシーの問題をさらに広い視野で見れば、状況が急速に変化する中、
プライバシーに関する考え方を改めざるを得ないのは明らかです。デジタル技術の進化は、通信事
業者、プラットフォーム、コンテンツ制作者と流通業者、機器、アプリ、分析サービスから成る、断片
化したエコシステムを生み出しました。これらの関係者はすべてプライバシーの管理で何らかの役
割を担っていますが、単独で責任や説明責任を負う関係者はいません。このような断片化はプライ
バシーの境界に圧力をかけ続けるでしょう。こうした懸念があるにもかかわらず、このエコシステム
はさらにイノベーションを重ね、消費者の飽くなき欲望を満たそうとするはずです。このようなデジ
タル技術の進化がもたらすカオスとイノベーションの中で、プライバシーが忘れられるようなことが
あってはなりません。立法機関と規制当局は動向を追い続け、個人情報のプライバシーに関する方
針とコンプライアンス、法制度が一歩も後れをとらないようにしなければなりません。
Insights on governance, risk and compliance
19
変化に遅れまいと奮闘する規制当局
プライバシーの保護の問題について、今後も規制当局にとって困難な状況が続くでしょう。
包括的な規制よりも個別のプライバシー要件に関心が集まる中、戦略的ではなく戦術的
に対応する組織もあれば、抜け穴を模索する組織もあります。複雑化する問題に規制当局
が答えられなくなってきたことは疑いようもありません。たとえば、忘れられる権利と他者
が覚えている権利の間に必要なバランスは、表現の自由に大きく左右されます。テクノロ
ジーの急速な進化は社会規範に直接影響を及ぼしました。プライバシープログラムはこの
ようなギャップを埋められるものでなければなりません。つまり、規制の要件を遵守しなが
ら、組織や利害関係者が抱える問題に実践的に対処する必要があります。このバランスを
達成するには、チェックボックスに印を付けて最低限の規制要件を満たすことを確認する
だけのコンプライアンス方式ではなく、プライバシープログラムを組織の意思決定プロセ
スに不可欠な要素として組み込む必要があります。
組織にとって理想的なソリューションは、Privacy by Design（PbD）あるいは Privacy by
ReDesign（PbRD）を適用して、プライバシーを新しいシステムの導入や IT 化の計画に採
り入れることだと考えられます。しかし、PbD はコンセプトとして広く受け入れられていま
すが、実施の面で組織を惹きつける魅力をさらに高める必要があります。
20
Insights on governance, risk and compliance
コンプライアンスから
説明責任へと成熟する
プライバシー保護
E
Y の 2012年度プライバシー
トレンド報告では説明責任
の概念に注目しました。企
業がプライバシーを以前より戦略
的に捉えるようになり、規制当局が
組織にプライバシープログラムの
証明を求めるようになったことは、
プライバシーが厳密な意味でのコ
ンプライアンスの実践から説明責
任の宣言へと成熟し始めているこ
とを示す 2つの兆候といえます。
EU は、データ保護に関して、他国の手本になるような基準を打ち立てる存在として以前からみなさ
れていますが、さらにレベルアップを図ろうとしています。クッキー法の施行からわずか数カ月後、
EU はデータ保護指令（Data Protection Directive）を更新し、EU 加盟国でデータ保護法を調和
させてテクノロジーの進化に対応しようとしています。この法案は、EU 内でデータ処理を行うすべ
ての人（EU 居住者に商品やサービスを提供するヨーロッパ以外の組織を含む）に適用される予定
です。また、データ処理者が新しい法律の遵守に関する責任と賠償義務の両方を初めて分担するこ
とになります。
EU の規制案が施行されれば、組織はデータ保護の定期監査とプライバシー影響評価を実施するこ
との証明を義務付けられます。また、従業員数が 250人を超える組織は、データ保護責任者を一
人雇用しなければなりません。これらの新しい EU の要件は、組織に説明責任を果たすことを依頼
しているのではなく要求しているのです。EU 域内で、あるいは EU 居住者とビジネスをしたいと考
える組織は、データ保護とプライバシープログラムの見直しと改善を必要に応じて行い、コンプラ
イアンスを保証する必要があります。
上記のようなコンプライアンスを達成するために、多くの組織が BCR 承認の取得をめざしています。
「2012年プライバシートレンド
説明責任の高まり」で考察したように、BCR は組織内および国
外への個人情報の転送に関する方針を定めた社内ガイドライン一式であり、行動規範のようなもの
です。BCR 承認の取得は非常に難しいのですが、早い時期に BCR 承認を取得した GE やフィリップ
スなどの企業では、既にその効果が現れはじめています。今後 2、3年の間に、BCR 承認の取得を
めざす多国籍企業はますます増えるものと予想されます。
Insights on governance, risk and compliance
21
コンプライアンスから説明責任へと成熟するプライバシー保護
EU がデータ保護に関する規制の改正をめざす中、FTC も同じような動
2012年 7月の APEC ニュースリリースには、電子商取引運営グループ
きを活発化しています。FTC は 2012年に発行した最終報告書で、消費
の議長、ルルド・ヤッピンチャイ氏の以下の言葉が引用されています。
者のプライバシーを保護し、個人情報の収集に対する消費者の監督権
「このシステムの目標は、アジア太平洋地域における電子商取引の拡
を強化するためのリーディングプラクティスを策定しました。また、プラ
大、商取引と経済の成長促進、消費者のプライバシー保護の強化であ
イバシー保護やデータの不正使用通知、データ売買の問題に対処する
り、これによって地域の経済統合が進みます」6。さらに商務長官代理兼
法律を国レベルで導入するよう、連邦議会に勧告しています。このよう
商務省副長官のレベッカ・ブランク氏は次のように述べています。
「こ
なリーディングプラクティスのコンプライアンスを支援するために、同報
のシステムを適用すれば、米国と他の APEC 加盟国の参加企業はより
告書は企業に向けて次のことを推奨しています。それは PbD を適用す
効率的かつ安全な方法でデータを交換できるようになります。また、
ること、どの情報を誰と共有するかに関する企業と消費者の選択を単純
APEC 地域でプライバシーの保護と説明責任の一貫性を確立すること
化すること、そして消費者に関するデータの収集と利用の透明性を高め
で、消費者のデータプライバシーを強化できます」7
ることです 4。
世界各国の規制当局がプライバシープログラムの説明責任に関する要
こうした推奨に加え、FTC はソーシャルメディア企業とインターネット
件を強化するにしたがい、規制間の差は解消されつつあります。これは、
サービス企業数社に対し、プライバシー保護の取り組みで違反を犯した
包括的なプライバシープログラムを開発し、説明責任とガバナンス、モ
として訴訟を起こしています。これらの同意判決は、プログラムの変更
ニタリングの目標達成をめざす組織にとって良いニュースです。このよ
や要件の遵守、プライバシーのリスク管理に対応できる効果的なプライ
うな包括的アプローチは、プライバシー問題への取り組みを特定の管
バシープログラムの原則を確立することの重要性を際立たせました。
アジア太平洋地域では、アジア太平洋経済協力会議（以下「APEC」）の
轄区域の規制に集中させるのではなく、幅広いコンプライアンス要件に
対応するものといえます。
電子商取引運営グループが認定をベースにした任意のシステムを開発
しました。これは越境プライバシールール（ CBPR）システムとして知ら
れており、これを適用すれば、組織は APEC に加盟する 21の国（米国を
含む）でビジネスを行い、データプライバシー慣行の一貫性を確立する
ことができます 5。
4
5
6
7
22
“FTC Issues Final Commission Report on Protecting Consumer Privacy,” Federal Trade Commission, 26 March 2012, http://www.ftc.gov/opa/2012/03/privacyframework.shtm.
“APEC Cross-Border Privacy Rules System goes public,” Asia-Pacific Economic Cooperation, 31 July 2012, http://www.apec.org/Press/News-Releases/2012/0731_cbpr.aspx.
同上
同上
Insights on governance, risk and compliance
BCR のビジネス事例
BCR は多国籍企業が採用する社内のガイドラインや規則の一式であり、同じグループ企業内で、国
境を越えて、特にプライバシーが十分に保護されていない国に個人データを転送する際のグロー
バルな方針を定めるものです。 2003年に EU で導入されて以来、BCR 承認への関心は高まって
いますが、現在は転換期に差し掛かり、BCR 承認は単に優れたオプションの一つではなく、多くの組
織にとって確実なソリューションになりつつあります。
いま BCR 承認を取得すべき理由はたくさんあります。
ファブリス・ナフタルスキ氏
Fabrice Naftalski
EY ソシエテ・ダボカットの法務パートナー兼
ヨーロピアン・プライバシー・シールの
法務エキスパート
フランス、パリ
• 既に 40件を超える BCR 承認申請が相互認証審査方式で承認されており、データ保護機関は協
力体制を大幅に改善しています。このため、現在は BCR 申請の審査期間がかなり短縮されてい
ます。主要当局の承認を 8カ月以内に得ることも可能です。
• BCR 申請により、国内のデータ保護機関レベルおよび欧州委員会レベルでの強力なサポートを
受けられます。欧州委員会のビビアン・レディング副委員長は BCR 承認について、グローバルな
規模で事業を展開するための必要経費であり、BCR 承認を取得すれば「企業はデータを自由か
つ安全に、どこへでも合法的に転送することができ……。紙ベースのファイリングシステムから
複雑な社内組織、あるいは最も複雑なクラウドコンピューティングシステムに至るまで、あらゆる
タイプのビジネスモデルに対応できる可能性を秘めている」8と述べています。
• BCR 承認は非常に優れたデータ保護コンプライアンスパッケージであり、グループ内における
データ保護慣行の一貫性を実現します。
• BCR 承認は公共機関の承認であり、顧客に対するマーケティングツールとしても役立ちます。
• 2012年 6月より、データ処理サービスプロバイダーも BCR 承認を申請できるようになりました。
これはサービスプロバイダーがクラウドコンピューティングのソリューションに関心を持つ顧客に
信頼と安全を提供する絶好の機会となります。
5年後に BCR 承認を取得していない多国籍企業は疑いの目で見られるでしょう。これでは変化と競
争の激しいグローバル市場で優位に立てません。
8 “Viviane Reding Vice-President of the European Commission, EU Justice Commissioner Binding Corporate Rules: unleashing the
potential of the digital single market and cloud computing IAPP Europe Data Protection Congress Paris, 29 November 2011,”
Europa, 29 November 2011, http://europa.eu/rapid/press-release_SPEECH-11-817_en.htm.
Insights on governance, risk and compliance
23
戦略的に必須となる
違反通知
世
界各地のさまざまな管轄
区では、違反通知規則に
戦略的ではなく戦術的な
アプローチを採用し、違反の原因
となったリスクよりも通知要件の
遵守を重視しています。
テクノロジーの進歩が加速するに従い、このような戦術的アプローチは、競争優位を生み出そうと
する攻撃的な組織や個人情報への不正アクセスで利益を得ようとする犯罪組織に対して、個人の立
場をますます弱いものにします。
米国では、マサチューセッツ州が違反通知をより戦略的に進めるように強制する方針を打ち出して
います。 2008年、マサチューセッツ州は 45州の一つとして、住民の個人情報の取得、管理および
処分に適用される保護法にデータ違反通知要件を盛り込みました。 2010年には、組織が収集した
情報の不正なアクセスや利用が発生した場合は住民と州検事総長（以下「AG」）に通知することを
義務付けました。違反通知規則には、マサチューセッツ州の住民に関する情報を収集して書面情報
セキュリティープログラム（以下「WISP」）を開発する組織による要件も含まれています。義務であ
るにもかかわらず、マサチューセッツ州 AG 事務局のスタッフで組織の WISP の閲覧を要求した人
は、最近まで誰もいませんでした。現在、同州の AG 事務局は違反のあった組織に WISP の作成を
求めています。この要件は、マサチューセッツ州内で事業を運営する組織だけでなく、同州の住民
の個人情報を収集するすべての組織に適用されます。この要件の施行が国内あるいは海外に包括
的な影響力を持つことを考慮すると、組織が違反通知についてより戦略的に考えなければならない
ことを意味します。
カナダやオーストラリア、EU 加盟国など、連邦政府が包括的なプライバシーアプローチを採用する
国は、違反通知に関する規制を強化しています。これらの国で違反の要件が改善されれば、プライ
バシー規制機関の役割の進展はいっそう明らかになるでしょう。本報告書の前半で述べた通り、多
くのプライバシー規制機関は、管轄区内の組織との協力や話し合いの効果を認めています。
主要組織は協力の精神に則って、問題が発生する前から率先して準備を進めています。たとえば、
組織の中には起こりそうな問題を予測した事故管理計画を策定し、何か問題が起きたときにすぐに
対応できるようにしているところもあります。そのような組織は、ゴーサインが出たら直ちにコー
ルセンターやトリアージ処理、コミュニケーション、信用モニタリングのサービスを提供できるベン
ダーと継続的な契約を結んでいます。実際、違反対応サービスを提供しているベンダーの多くは、
企業がサービスごとに料金を支払う方式のマスターサービス契約（以下「 MSA」）を結び、MSA が
履行された場合にのみ企業がコストを負担するようにしています。MSA を締結していない組織は、
事故が発生したときに貴重な時間を失うことになります。というのも、MSA は内容的に慎重な扱い
を要し、複数の要件を伴う場合が多いため、法的審査が長引いたり交渉プロセスで当事者双方が満
足するまでに時間がかかる可能性があるからです。MSA が導入されたら、組織は常に（違反が生じ
た後は特に）その効果をチェックし、適用範囲のレベルが適切か、役割と責任が明確に示されている
か、そして、これが最も重要なことですが、危険信号が現場から組織内のしかるべき人にきちんと伝
わっているかを確認する必要があります。
24
Insights on governance, risk and compliance
大西洋の両側で見直される
プライバシーの問題
およそ 20年も前から、プライバシーとデータの保護に向けた EU のアプローチは、米国が採用する
セクター別アプローチより厳しいという噂が流れています。プライバシー専門の弁護士と米国国土
安全保障省で最高個人情報保護責任者を務めたことがある私の経験では、両者のアプローチは、
噂とは異なり、共通する部分の方が多いといえます。
プライバシーに対するいずれのアプローチも公正情報実施原則（以下「FIPP」）の概念を土台にし
ています。 1970年代初頭に米国のプライバシー委員会が最初に提案した FIPP は、現在、国際的
に認知されるようになり、米国・EU 指令 95/46/EC、APEC のプライバシーフレームワークにも明
メアリー = エレン・キャラハン氏
Mary Ellen Callahan
ジェンナー・アンド・ブロック LLP
米国土安全保障省の
元最高個人情報保護責任者
米国、ワシントン DC
記・反映されています。
プライバシーの保護と法律制定に向けた米国のセクター別アプローチとは対照的に、EU は包括的
なアプローチを採用しています。EU のアプローチでは、さまざまな基準や原則を簡単に公布でき
ますが、基準を適用するために例外や逸脱を認めざるを得ないことも少なくありません。米国の法
律制定は EU に比べて機敏かつ具体的ですが、重大なプライバシーの侵害に対しては後手に回る印
象が拭えません。
最近では、大西洋の両側でプライバシー管理体制の微調整に関する重要な動きが見られます。EU
は 1995年のデータ保護規制の指令を更新するべくデータ保護規制案を発表しました。一方、米国
のオバマ政権は「消費者権利章典」の支持を表明しました。これは自主規制の取り組みであり、プ
ライバシー関連の法律制定にもつながるものです。EU のプロセスは数年を要し、最終的な成果は
現在の法案とは違う形になると予想されます。米国の法律制定プロセスも同様に長期化するかもし
れませんが、オバマ大統領の再選に伴い、次の連邦議会でプライバシー関連法案に再び注目が集
まる可能性もあります。
EU と米国によるプライバシーの再検討がどのような成果をもたらすかはともかく、FIPP がプライ
バシー保護のプロセスに大きく関係していることは間違いありません。つまるところ、EU のアプ
ローチは適用範囲が広く、例外や逸脱を認めているのに対し、米国のアプローチは適用範囲を絞り
込んで個別の問題に対処しようとしているといえます。以上を踏まえ、21世紀のプライバシー問題
が進展するに従い、プライバシー侵害分析の国際的な調和はさらに進むものと予想されます。
Insights on governance, risk and compliance
25
プライバシー・バイ・
デザイン（PbD）の魅力を
増すには規制が必要
イ
スラエルのエルサレム
で開催された第 32回デー
タ保護・プライバシーコミッ
ショナー国際会議（International
Conference of Data Protection
and Privacy Commissioners）に
しかし、規制や法律を通じて PbD の利用を義務化している規制当局や政府の立法者はごくわずか
で、PbD を自発的に採用しようとする組織もほとんどありません。組織にとって PbD をより魅力的
なものにするには、規制が必要です。
PbD が規定された基準になるまで、組織はインターネットが普及して間もない時期に定められた原
則に従って業務を継続するでしょう。つまり、ある組織が提供する無料オンラインサービスを利用す
るには、消費者が自分の個人情報とプライバシーの一部を自主的に放棄する必要があります。にも
かかわらず、テクノロジーの進化に伴い、消費者が放棄する個人情報はますます増加しており、自分
プライバシーコミッショナーらが集
が個人情報を放棄していることに気づいていない人も少なくありません。
まり、PbD のコンセプトについて討
そうであるからこそ、組織には自らが収集するデータに対してこれまで以上の配慮と責任が求めら
議し、その有効性を認めてから 2年
余り。その間、世界各地の規制当局
は PbD について、すべての組織が
れます。このことは、アプリケーションやソフトウェア会社など、直接データを収集する組織だけでは
なく、インフラ関連会社や機器・オペレーティングシステムのメーカーなど、付随する組織にも当て
はまります。消費者のデータを取り扱うすべての組織は、データのプライバシー管理に対する説明
責任を果たす必要があります。PbD はその説明責任に実効性をもたせるものになるでしょう。
採用すべき標準であると高く評価し
ています。
26
Insights on
on IT
governance,
risk2013
and compliance
risk | January
データ保護に関する EU 指令の改正案を受けて
変化する欧州のデータ保護機関の役割
2012年 1月 25日、EU 委員会は 1995年に施行されたデータ保護規則の大胆かつ包括的な改正
を提案しました。この提案は、先行指令の原則を土台にしながら、特にオンラインの世界でユーザー
に高レベルの保護を保証するものです。
改正に伴う主な変更点の一つとして、
「ワンストップサービス」と整合性メカニズムの導入が挙げら
れます。企業は主な拠点を置く EU 加盟国で一つのデータ保護機関と連絡を取ることが必要になり
ます。
この提案は次に挙げる二つのメカニズムを利用して監督機関の一貫性を保証します。
マリエル・ギャロ氏
Marielle Gallo
欧州議会議員および法務委員会委員
ベルギー、ブリュッセル
1. 複数のデータ保護機関が監督に関心を持っている場合、協力と相互支援の体制を準備します。
このような例として、複数の加盟国のデータ主体が訴状を提出している場合が挙げられます。
2. 国際的な問題に関して意見する権限を有する欧州データ保護会議（以下「 EDPB」）を通じて整
合性メカニズムを設置します。ただし、EDPB の意見はリードデータ保護機関に対して拘束力を
持つものではありません。
現在、EU 委員会の提案は欧州議会で審議中です。私は法務委員会の創案者として、ワンストップ
サービスのメカニズムには大賛成です。このメカニズムは EU 単一市場を活性化し、企業の官僚主
義的な業務と管理費を削減し、欧州における自由なデータの流れを促します。
しかし、やるべきことはまだあります。主な拠点の定義を明確にして、管理する人と処理を行う人に
同じ基準を適用する必要があります。また、協力と相互支援の体制を強化し、整合性メカニズムに
おいて EU 委員会と EDPB、国内のデータ保護機関の最適な力関係を見出すことも必要です。
Insights on governance, risk and compliance
27
結論
進展するデジタル化の流れは、ビジネスのあり方に産業革命以来の大きな変化をもたらしています。
それはチャンスとプライバシーを脅かす甚大なリスクが入り交じった新しい世界の扉を開こうとして
います。プライバシーの規制当局はあらゆる手を尽くして変化に追い付こうとしていますが、テクノロ
ジーはペースを速めながら進化しており、規制当局は常に後れをとっています。
規制がプライバシー保護の強化に役立つツールであることは変わりません。しかし、プライバシーの
規制当局はコンプライアンスの管理人から戦略アドバイザーへと根本的に変わる必要があります。組
織と協力してプライバシー管理に関する意思決定の強化を促すことも必要です。
ビジネスの世界では、組織はこれまで以上の説明責任が求められています。PbD が提案するようにプ
ライバシー管理を IT 化計画に組み込むことについて、組織が消極的であれば、規制当局がそれを義
務づけるようにすべきです。
デジタルエコシステムはまだ若く、ほとんどの組織はデジタル環境での業務遂行がもたらすチャンス
だけでなく、そこに付随する責任も完全に把握していない状況です。組織も規制当局も、個人情報を
保護し、社会が見習うべき手本を示すために、それぞれが果たすべきガバナンスの役割を正しく理解
する必要があります。
28
Insights on governance, risk and compliance
Insights on governance, risk and compliance
29
EY
EY について
EY は、アシュアランス、税務、トランザクションおよび
アドバイザリーなどの分野における世界的なリーダー
です。私たちの深い洞察と高品質なサービスは、世界
中の資本市場や経済活動に信頼をもたらします。私た
ちはさまざまなステークホルダーの期待に応えるチー
ムを率いるリーダーを生み出していきます。そうする
ことで、構成員、クライアント、そして地域社会のため
に、より良い世界の構築に貢献します。
EY とは、アーンスト・アンド・ヤング・グローバル・リミテッド
のグローバル・ネットワークであり、単体、もしくは複数のメン
バーファームを指し、各メンバーファームは法的に独立した組
織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、
英国の保証有限責任会社であり、顧客サービスは提供してい
ません。詳しくは、ey.com をご覧ください。
新日本有限責任監査法人について
新日本有限責任監査法人は、EY メンバーファームで
す。全国に拠点を持つ日本最大級の監査法人業界の
リーダーです。監査および保証業務をはじめ、各種
財務アドバイザリーの分野で高品質なサービスを提
供しています。EY グローバル・ネットワークを通じ、
日本を取り巻く経済活動の基盤に信頼をもたらし、
より良い世界の構築に貢献します。詳しくは、www.
shinnihon.or.jp をご覧ください。
© 2013 Ernst & Young ShinNihon LLC.
All Rights Reserved.
本書は一般的な参考情報の提供のみを目的に作成されてお
り、会計、税務及びその他の専門的なアドバイスを行うもので
はありません。新日本有限責任監査法人及び他の EY メンバー
ファームは、皆様が本書を利用したことにより被ったいかなる
損害についても、一切の責任を負いません。具体的なアドバイ
スが必要な場合は、個別に専門家にご相談ください。
本書は SCORE no. AU1404の翻訳版です。
ED 0114
新日本有限責任監査法人
アドバイザリー事業部
〒100-6028
東京都千代田区霞が関三丁目 2番 5号
霞が関ビルディング 28F
Tel: 03 3503 2846
E-mail: [email protected]
連絡先
Japan
東義弘
03 3503 3500
[email protected]
横川晴良
03 3503 1704
[email protected]
Paul van Kessel
+31 88 40 71271
[email protected]
Randall J Miller
+1 312 879 3536
[email protected]
Michael L. Herrinton
+1 703 747 0935
[email protected]
Bernard R. Wedge
+1 404 817 5120
[email protected]
Global
Americas
Europe, Middle East, India and Africa (EMEIA)
Jonathan Blackmore
+44 20 795 11616
[email protected]
Manuel Giralt Herrero
+34 91 572 7479
[email protected]
Jenny S. Chan
+86 21 2228 2602
[email protected]
Rob Perry
+61 3 9288 8639
[email protected]
Asia-Pacific