和文ダウンロード - 新日本有限責任監査法人

Insights on
governance, risk
and compliance
プライバシートレンド 2014
テクノロジーの時代における
プライバシー保護
目次
序 文 .................................................................. 1
技術革新のペースが加速を続ける中、プライバシー専門家にとって
2014年はこれまで同様、多忙な 1年になるに違いありません。
はじめに .............................................................. 3
企業は新たに登場した貪欲な「スーパー消費者」を何とか喜ばせよ
うと、あらゆる可能性を探っています。次々と出現する新しいテクノ
ロジーを利用すれば、コミュニケーションや関係構築、大量データ
の収集、販売が可能になります。しかし、そのためにプライバシーを
どの程度犠牲にするのでしょうか ?
プライバシーに影響を与えるテクノロジートレンド ............ 4
テクノロジーはプライバシーの概念、すなわちステークホルダー
（個人、規制当局、組織）がプライバシーをどう捉え、テクノロジー
が一変させた世界で説明責任をどのように果たすことができるか
を根本的に覆しました。
新たなテクノロジーの出現に後れを取る規制 ................ 12
現行のプライバシー規制は、先端テクノロジーがもたらすプライバ
シーリスクから個人を保護するにはまったく不十分なように見えま
す。それでも、こうした困難な課題を前に、世界のプライバシーコ
ミッショナーや規制当局は少しずつ前進しています。
組織が説明責任を果たすにはイノベーションが必要 ........ 14
政府はプライバシーを保護するべく果敢に努力していますが、単独
でこれを成し遂げることは不可能です。プライバシーと個人データ
の保護に関する説明責任は、政府、プライバシーコミッショナー、組
織、そして個人自身が協力して果たさなければなりません。
結 論 ................................................................ 18
結局、プライバシーは二者択一の問題ではありません。将来重視す
べきは、
「テクノロジーかセキュリティかプライバシー」ではなく、
「テ
クノロジーとセキュリティとプライバシー」なのです。
序文
技 術 革 新 の ペ ースが 加 速を続 ける中、プライバシー 専 門 家にとって
2014年はここ数年以上とは言わないまでも、多忙な 1年になるに違いあ
りません。
EU（欧州連合）の新規制フレームワークをはじめとする新たな規制の導入や改正、米国
情報機関のエドワード・スノーデン元契約職員による情報漏えい事件などがもたらした新
たなリスク、顧客、従業員、規制当局から常に寄せられる期待。これらすべてがプライバ
シー専門家に圧力となっています。現場にとって規制とリスクは常に関心の的ですが、実
は最も興味を引かれるのが、企業やプライバシー専門家が何を期待しているかです。
私たちは、規制要件を慎重に検討し詳細を詰めたからといって必ずしもプライバシーや
データの効果的な保護につながらない時代にプライバシーを管理しています。職場や
自宅における技術革新が、現行の規制基準や法的要件では対応しきれないところまで
プライバシーの限界を押し広げているのです。
プライバシー保護を最優先課題として強化する取組みの中で、特に複数の事業体から
なる大規模かつ複雑な多国籍企業は、以下の義務を果たさなければなりません。
• プライバシーの説明責任を果たしていることを示し、事業部門や国境を越えてプライ
バシーポリシーを一貫して適用する。
• 新しいプロセス、製品、サービスの導入前にプライバシーポリシーを組み込む。
• 組織の方針を唱えるだけでなく、プライバシーの根本的な重要性を理解する企業文
化を醸成する。
2014年に企業が直面するプライバシー管理上の課題を解説する上で、テクノロジーを
本報告書の中心に据えるのは当然の選択でした。本報告書とその中で示した視点が、
貴社が 2014年に直面されるプライバシー上の新旧の課題に対応する際の指針となれ
ば幸いです。
Insights on governance, risk and compliance プライバシートレンド2014 |
1
2
| Insights on governance, risk and compliance プライバシートレンド 2014
はじめに
可能性、チャンス、そして希望が満ちあふれたデジタル革命には
注意が必要です。
消費者は、何が欲しいか、いつ欲しいか、誰から買うか、いくらで買いたいかを
自由に決められる力を手にしました。企業はこうした貪欲な「スーパー消費者」
を何とか喜ばせようと、次々と出現する新しいテクノロジーを通じてあらゆる
チャンスを捉え、コミュニケーションや関係構築、大量データの収集、販売に生
かしています。
しかし、そのために何を犠牲にしているのでしょうか ?
消費者はインターネットを閲覧したり、ソーシャルメディアサイトにログオンして
投稿したり、オンラインショッピングをしたりするたびに、意識的に、時には無意
識のうちに自分に関する情報を少しずつ提供しています。企業はこうした大量
のデータを喜々として収集し、サービス提供やマーケティング、販売に生かして
います。しかし消費者も、企業も、こうした個人情報を自社のために入手しよう
とする評判の悪い企業に対して無防備であることが往々にしてあります。
昨 年 の EY による『 プ ライ バシ ートレンド 2013 前 途 多 難 な 状 況 が 続く』
（http://www.shinnihon.or.jp/services/advisory/itr-and-a/global-contents/
pdf/2013-10-16-07-jp.pdf）では、プライバシー保護においてますます重要な
役割を果たしつつある三つの大きなトレンドとして、ガバナンス、テクノロジー、
規制を挙げました。そしてプライバシー保護の説明責任をテーマに据え、ガバ
ナンスを中心に議論を進めました。
今 年はテクノロジーに主 眼を置 いています。特に、
『 サイバー 攻 撃 の 脅 威 :
EY による 2013年 グ ロ ー バ ル 情 報 セ キュリティサ ー ベ イ 』
（http://www.
shinnihon.or.jp/shinnihon-library/publications/research/2014/pdf/
2013-GlobalInformationSecuritysurvey-J.pdf）で特定されたいくつかの最
新テクノロジーツールがプライバシーに与える影響を考察しました。
テクノロジーは今、プライバシー規制当局が追い付けないほどの速さで進化し
ています。EU の拘束的企業準則（Binding Corporate Rules、以下「BCR」）
など、一部の規制メカニズムは今なお有効ですが、多くの規制は発表されると
ほぼ同時に時代遅れになってしまう状況です。さらに、10年以上にわたり施行
されてきた米国・EU 間の枠組みであるセーフハーバー協定など、危機的状況
に置かれた規制もあります。
では、今後はどうなるのでしょうか ? テクノロジーの時代に組織はどうすればプ
ライバシーを安全に保護できるのでしょうか ? その答えは、規制よりむしろガバ
ナンス、コンプライアンスよりむしろイノベーションにあります。組織はプライ
バシーの説明責任に力を入れなければなりません。説明責任とは、規制当局の
提案に合わせるだけでなく倫理的な道筋に従うものでもあり、規制の文言より
むしろ精神に則ったものです。説明責任とは、組織が保護を誓ったプライバシー
の対象となる人々の信頼を醸成することであり、プライバシーの重要性を組織
内に十分に浸透させずにこれらの人々の信頼を傷付けることではありません。
テクノロジーの時代において、プライバシーは急激に矛盾をはらんだものにな
りつつあります。プライバシー専門家、規制当局、組織が力を合わせ、プライバ
シー保護を特殊な要素ではなく標準として定着させる新たなアプローチを作り
出すことが求められます。
Insights on governance, risk and compliance プライバシートレンド2014 |
3
プライバシーに影響を与える
テクノロジートレンド
2011年、私たちは国境のない世界におけるプライバシーに
焦点を当てました。そして「テクノロジーの進歩は加速の一
途をたどる」1 とした上で、組織はそれに備えるべきであり、
世界の規制機関がプライバシー保護に関する合意に至るま
で待つ余裕はないと指摘しました。
2012年、私たちは説明責任の高まりに焦点を当て、組織はプライバシー
問題に率先して取り組むとともに、自らの行動にもっと責任を持つべきだ
と論じました。2013年には、
プライバシー保護と説明責任の実現に向け、
前途多難な状況を打開しなければならないとの認識を示しました。そし
て、規制当局と組織が対話を始め、効果的に協力してプライバシー保護
の先導役を果たすべきだと提唱しました。
2014年、テクノロジーの進歩が加速するという私たちのこれまでの見方
は、今や疑う余地のない現実となっています。テクノロジーは、私たちの
私生活やビジネスライフのあらゆる側面、すべての産業、世界中のすべ
ての国々に根本的な変化をもたらしています。一方でテクノロジーは、ス
テークホルダー（個人、規制当局、企業）がプライバシーをどう捉え、テ
クノロジーが一変させた世界で説明責任をどのように果たすことができ
るかに関して、プライバシーの概念を根本的に覆すことにも大きな影響
を与えています。
『 サイバー攻撃の脅威 EY による 2013年グローバル情報セキュリティ
サーベイ』の中で、私たちは回答者に 13の新しいテクノロジーとトレンド
について重要度のランク付けを依頼しました。私たちはこれらのテクノロ
ジーとトレンドを、現行のテクノロジー、近く普及するテクノロジー、将来
登場する最先端テクノロジーの三つに分類しました。
1
EY, Privacy trends 2011: challenges to privacy programs in a borderless world,
January 2011.
4
| Insights on governance, risk and compliance プライバシートレンド 2014
2011年
2012年
2013年
2014年
テクノロジーの進歩は
より大きな説明責任が
規制当局と組織が協力し、
現在、
テクノロジーは広く普及し、
加速し続ける。
求められる。
プライバシー保護の先導役を
生活に根本的な変化をもたらしている。
果たすことが必要。
企業には規制機関が
企業は率先して
合意するまで待つ余裕はない。
取り組む必要がある。
個人、規制当局、組織は、
テクノロジーが一変させた世界で
説明責任をどう果たすことができるかを
判断しなければならない。
また、回答者に先端テクノロジーとトレンドについて、重要度の他に精通度
さらに、インタビューの中で、先端テクノロジーとトレンドに対する考えに
を評価してもらい、その上で、これらの先端テクノロジーがもたらす影響
ついて質問し、これらの結果と EY のセキュリティ専門家による分析から、
に対する対応能力に関して信頼度の評価を依頼しました。
精通度と対応能力に対する重要度を位置付ける相関図を作成しました。
• 精通度 先端テクノロジーについて理解しているか ?
調査対象となった 13の先端テクノロジーとトレンドのうち、今後 7つのテ
• 対応能力 先端テクノロジーがセキュリティに与える影響に対処できるか ?
クノロジーのトレンドがプライバシーに最大の影響をもたらすと私たちは
考えています。
• 重要度 先端テクノロジーによる脅威をどの程度重視しているか ?
先端テクノロジーとトレンド
現行のテクノロジー
70
スマートフォン
およびタブレット
ソフトウェア
アプリケーション
60
対応能力に対する信頼度︵回答者の割合
︶
%
近く普及するテクノロジー
将来登場する最先端テクノロジー
（データポイントのサイズは回答者の重要度を表す）
現行のテクノロジー
オンライン
アプリケーション
50
ソーシャルメディア
40
企業用アプリケーションストア
サプライチェーンマネジメント
30
モノの
インター
ネット
電子マネー
20
0
近く普及するテクノロジー
個人使用のクラウドの活用
クラウドサービス仲介事業
インメモリ
コンピューティング
サイバーヘイブン
10
ビッグ
データ
将来登場する最先端テクノロジー
10
20
30
40
50
60
70
テクノロジーとトレンドに対する精通度（回答者の割合%）
Insights on governance, risk and compliance プライバシートレンド2014 |
5
現行のテクノロジー
「忘れられる」権利
「プライバシー規制では、従業員の『忘
れられる』権利、つまり退職する従業員
の個人情報が消去される権利に関する
条項を含めることが急速に一般化して
います。従って、こうした規制のある国
で活動する企業は、正式なサポート体
電子デバイスと BYOD
最新の電子デバイスに関連するプライバシー問題のうち、特に対応を迫られているのが BYOD
（bring your own device< 個人所有の端末を会社の業務に使用すること >）の普及です。ガート
ナー社によると、2018年までにモバイル専門家の最大 70% が自分のスマートフォンを業務で使うよ
うになります 2。
BYOD に魅力を感じる企業が増える中、BYOD には二つの側面があることが明らかになってきました。
効率性の向上という表の側面とリスクの増大という裏の側面です。しかも、そのリスクは甚大です。
制を敷いて従業員からの要望に応える
2014年も、企業は BYOD に関する多くのプライバシー問題に対処していくことになるでしょう。企
必要があります。これらの企業では、こ
業は情報の所有者としての立場を維持しなければなりません。BYOD では、もはや企業が直接コント
うしたデータ消去の手続きに BYOD に
ロールできない場所に置かれたデバイスに情報が保存されます。こうした情報から目を離さないよ
参加している従業員を含めることを考
うにするため、企業は従業員のスマートフォンに監視ツールをインストールする傾向があります。しか
慮する必要があります」
し、こうしたツールを導入する際には、企業データのみを監視するようにし、従業員本人およびその友
『 BYOD ̶ 職場における個人所有端末の
活用 従業員のモバイル端末の業務利用
におけるセキュリティとリスクの課題』より
人や家族など、同じデバイスを使う可能性のある人の個人情報を収集することのないよう、企業は細
心の注意を払わなければなりません。
その解決策の一つに機器のパーティショニングがあります。これは従業員が実質的に仕事用と個人
用の 2種類のデスクトップを使えるようにする技術で、スマートフォンの高度化に伴い実現性が増して
います。もう一つの選択肢として、メインのネットワークとは別のゲスト用ネットワークを使用する方
法があります。この方法では、企業データを置くための「サンドボックス」を作成し、個人のデータ
やアプリケーション、オンラインサービスを完全に分離させることができます。
2
6
“Bring Your Own Device,” Gartner website, gartner.com/technology/topics accessed 12 November 2013.
| Insights on governance, risk and compliance プライバシートレンド 2014
現行のテクノロジーはここ数年で多くの企業が注目しており、現在では大半の企業
がそのテクノロジーをある程度活用しています。こうしたテクノロジーが 2014年も
ますます普及する中、企業は必要に応じて関連するプライバシー慣行の確立、見直
し、更新を行う必要があります。
ソーシャルメディア
ソーシャルメディアは企業や消費者、従業員、規制当局、政府のコミュニケーション方法に恒久的な変
化をもたらしました。企業においては、マーケティング部門が顧客関係の構築や強化に、人事部門が
従業員の士気向上や社内コミュニケーションの改善にソーシャルメディアを活用しています。さらに
組織全体としてもソーシャルメディアを駆使し、ブランドの強化や市場シェアの拡大を図っています。
しかし、ソーシャルメディアは企業にブランド拡大のチャンスをもたらす一方で、ブランドを破滅させ
る恐れもあります。
これまで企業はほとんどの場合、従来型のメディアやウェブサイト、あるいはブログに広告予算を投じ
てきました。しかし、ソーシャルメディアから収集したデータを活用し、顧客一人ひとりに合ったカスタ
マーエクスペリエンス（顧客経験価値）を提供できる企業が増えています。こうした組織は今後、ソー
シャルメディアでの広告予算をさらに増やし、それに伴い、ますます多くの情報を顧客から収集する
ようになるでしょう。
電力・公益事業セクターが
ソーシャルメディアに関して
法律上考慮すべき点
住宅設置型の遠隔センサーやスマートグ
リッド技術の利用がプライバシーリスク
を招く可能性があります。その原因とな
るのはデータセキュリティ上の問題とは
限りません。電力使用に関する情報が悪
用されることに対する消費者の懸念が高
まるにつれて、ソーシャルメディア上で
反発が起こるリスクもあります。
多くの 国々では、電 力・公 益 事 業は公
しかし、こうした収集プロセスにおいて、顧客が気前よく打ち明けてくれた個人情報の保護について
営または半公営であるため、料金や環
は社内の誰が考慮しているでしょうか ? こうしたデータを掘り出すことで何が得られるかを考える人
境、顧客教育、災害対策、法的証拠開示、
は大勢いますが、情報提供者のプライバシーをどう守るべきかを考える人はほとんどいません。
データ保存、緊急時のコミュニケーショ
2014年には、企業はソーシャルメディアからのデータ収集に細心の注意を払わなければなりませ
ん。消費者は自分の個人的な情報を自発的に提供しています。たとえ消費者自身が気にしていなく
ても、企業はそのプライバシーを尊重し、データを使用、共有する前に匿名化する必要があります。
ンといった課題に関する規制や情報公
開法に従わなければなりません。
それでも、電力・公益事業セクターの組
匿名データであってもトレンドやビジネスチャンスを深く探ることは可能であり、しかもプライバシー
織は、国・地域や業界の規制遵守要件に
への影響はかなり抑えられます。
対応するだけでなく、プライバシー保護
をソーシャルメディア戦略やガバナンス
計画の基本的信条とするべきです。こう
することで、組織はデータ保護プロセス
を強化し、顧客との信頼関係を構築する
ことが可能になるのです。
Insights on governance, risk and compliance プライバシートレンド2014 |
7
近く普及するテクノロジー
プライバシーとデータ収集の
バランスに苦慮するインター
ネット企業
EY のグロー バ ル・テクノロジー・セン
タ ー が 四 半 期 ごとに 発 行 す る “View
from the top: global technology trends
and performance, April -August 2013
earnings season” では、インターネット
企業は世界の情報の収集とデジタル化
の最前線に位置していると報告していま
す。しかし、これらの企業は規制とプラ
イバシーの問題を含む難しい課題を抱
えており、その負担は増しているように
見えます。欧州では、オンライン上のプ
ライバシーに関する「試金石」となる訴
訟がインターネット検索エンジン企業に
対して起こされており、この判決がプラ
イバシーと検閲のバランスを決定付け
る一助となるかもしれません 3。一方、米
ビッグデータとデータ分析
ビッグデータとは、内部では社内システムや従業員から、また外部では顧客やサプライヤー、パート
ナー、株主、さらにはソーシャルメディアに代表されるユーザーデータを収集するテクノロジーツール
から入手した、体系化されていないすべてのデータを指します。今日、収集されるデータの量はあま
りに膨大で手に負えないため、多くの企業はそうしたデータをどう扱い、どう活用して売上げに結び
付ければよいのか、そして何より、どのように保存すれば顧客の個人情報を安全に守れるのか、まった
く分かっていない状況です。
データ分析とは、こうしたペタバイト（1テラバイト <TB> の 1,000倍の容量）規模のデータを活用
し、過去や現在の行動を理解、解釈して将来のトレンドを予測することで、意思決定のスピード化や効
率化、事業拡大に役立てようというものです。
こうしたテクノロジーは、適切に使用すれば非常に有用なツールとなります。しかし、ソーシャルメディ
アの場合と同様に、効率化や利益の拡大を進める中で、データの背後に人間がいること、そして彼ら
のプライバシーを保護する必要があることを忘れつつある企業もあります。
2014年には、ビッグデータを分析に用いる前に匿名化することを最優先しなければなりません。追
加的な分析を行うためには、使用するデータの提供者から適切な許可を得ていることを確認する必
要があります。そうした許可を得ている場合でも、データを取り扱い、共有する際には、たとえ組織内
であれ、個人を特定できる要素を最小限に抑えることが重要です。
調査機関ピュー・リサーチ・センターの
クラウドサービス仲介事業
報告により、10代の若者がこれまで考え
ガートナー社によると、2015年には全クラウドサービスの少なくとも 20% がクラウドサービス仲介
られていた以上にオンライン上のプライ
バシーに大きな懸念を抱いているようだ
ということが明らかになりました 4。
事業（社内外）経由で提供されるようになります（現在は 5% 未満）5。また、世界のクラウドサービス
仲介事業の市場規模は、2013年の 15億 7,000万米ドルから 2018年には 105億米ドルに拡大す
る見通しです 6。
クラウドサービスプロバイダーにデータを預けることへの抵抗感が薄れるほど、企業が利用するプロ
バイダーの数は増えていきます。それに伴い管理は複雑化しますが、多くの組織ではその対応準備
ができていません。そのため、複数のプロバイダーとの関係を調整、管理する役目をクラウドサービ
3
“Google Sued in Europe-Privacy Test,” The Wall Street Journal Online, 4 September 2013, via Factiva, © 2013
Dow Jones & Company, Inc.
4
“Pew: Most Teens Try To Protect Privacy Online,” MediaPost Publications, 16 August 2013, © 2013 MediaPost
Communications.
5
Gartner, “Cloud Computing,” Gartner website, gartner.com/technology/topics/cloud-computing.jsp, accessed
12 November 2013.
6
“Global Cloud Brokerage Market to Reach $10.5BN in 2018: Report,” cbronline.com, 18 March 2013,
cbronline.com/news/tech/services/it-services/global-cloud-brokerage-market-to-reach-105bn-in-2018-report,
accessed 12 November 2013.
8
| Insights on governance, risk and compliance プライバシートレンド 2014
近く普及するテクノロジーはここ最近、検討対象となってきているものです。これら
のテクノロジーをすでに導入している企業は少数に過ぎず、大半は採用を真剣に検
討している最中かもしれません。2014年には、企業がこれらのテクノロジーの本格
的な利用の検討を始め、これに従ってプライバシーへの影響が中心的な話題となる
はずです。
ス仲介事業に担ってもらうことになります。クラウドサービス仲介事業はプロバイダーの一元管理、
プ ラ イ バ シ ー、
調整、カスタマイズを行います。クラウドサービスの購入や管理を手掛ける「ワンストップサービス」
Cultural behaviour and
personal data at the heart
of the Big data industry
を提供することで、複数のプロバイダーを管理する負担を取り除きます。
Finding the right balance between privacy and innovation
企業内でのクラウドサービス利用が一般化し、IT 部門以外でサービスを調達することが増えているこ
成 長、イノベ ー
ションの 間 で 新
たなバランスが
とから、私たちは 2014年も引き続きクラウドサービス仲介事業の利用が増加すると予想しています。
求められる時代
にお い て、個 人
しかし、組織はクラウドサービス仲介事業に頼る前にまず、それが決して情報保護のレベル低下を招
かないことを確認しなければなりません。
のカルチャーに
クラウドサービス仲介事業は、クラウドソリューション、サービス品質保証契約（ SLA）、プラットフォー
大きな影響力を
ム、拡張性、コストの管理に責任を持つだけでなく、組織のプライバシーポリシーを理解するととも
に、それをすべてのクラウドサービスプロバイダーに適用し、状況を監視し、維持しなければなりませ
ん。さらに、国境を越えた情報の転送を監視、管理する必要もあります。国境を越えた個人情報の転
送に対しては、多くの国で規制による特別な制限を適用しています。
関するデータが
持ち始めています。ビッグデータから個
人のカルチャーに関する価値観を抽出す
ることには計り知れないチャンスがある
と同時に、大きなプライバシーリスクも
存在します。詳細については ey.com/
個人使用のクラウドの活用
BigDataIndustry をご参照ください。
BYOD は当初は小規模だったものの、後に多くの企業を悩ます大問題へと発展しました。大手企業
の IT およびプライバシー担当の専門家は、個人使用のクラウドの活用（bring your own cloud、以
下「BYOC」）も BYOD と同じ道をたどることになると予想しています。
（英語版のみ）
BYOC は簡単に始められ、支払いに必要なクレジットカードが 1枚あれば 30分程度で設定できます。
そのため、承認を得るのがいまだに不可能と思われている IT 部門を通す必要がありません。しかし、
IT 部門の監督がなければ、セキュリティやプライバシーのリスクが無数に存在することになります。
実際に BYOC は、従業員が Yahoo! Mail、Gmail、Hotmail、AOL といった個人使用の無料メール
サービスを通じて企業情報を送信することで発生する、企業が長年直面してきたリスクの延長にある
と言えます。今やほとんど万人が使用しているこうしたメールサービスは、私的な情報を収集、管理
するのに役立つ事実上のクラウドサービスです。ただし、無料メールサービスと BYOC の違いは拡張
性にあります。BYOC は、情報のローディングや検索ができる人数を簡単に増やすことができます。
Basecamp、Dropbox、Evernote、SkyDrive、Google Drive などはすべて BYOC の好例です。
2014年には、企業のさらに多くの部門が BYOC を利用することが予想されます。しかし、あらゆる
組織の IT 部門が BYOD やソーシャルメディアを通じて学んだように、BYOC も禁止すれば取り締まれ
るというものではありません。むしろ BYOC を使用する際の明確な手続きを積極的に策定し、従うべ
きセキュリティおよびプライバシーの基準を示すことが必要です。
「BYOD がちょうど 1年前に採用さ
れたのと同じように、個人使用の
クラウドの活用やクラウドサービス
仲介事業も組織内に採用されつつ
あります」
『 EY による 2013 年グローバル情報
セキュリティサーベイ』より
Insights on governance, risk and compliance プライバシートレンド2014 |
9
将来登場する最先端テクノロジー
インメモリコンピューティング
インメモリコンピューティングとは、情報を複雑な関係データベースではなく専用サーバーのメイン
となるランダムアクセスメモリ（ RAM）の中に保存する技術です。これにより、拡張性の高い方法で、
かつ瞬時に複雑なトランザクションを実行できるアプリケーションの開発が可能になります。
この先端テクノロジーは企業に多くのチャンスをもたらしますが、中でも最も重要なのがデータを収
集、分析する能力です。インメモリコンピューティングにより、ビッグデータの分析はこれまでにない
新たな領域に達するでしょう。しかしその一方で、膨大なプライバシーリスクも生み出します。
こうしたデータ収集・分析が普及し始める 2014年には、プライバシー問題を真っ先に考慮する必要
があります。企業が現在策定しているプライバシーポリシーは、インメモリコンピューティングの普及
がクリティカルマスに達する頃には時代遅れになっている可能性があります。しかしだからといって、
制限を設けるべきではないということではありません。企業はプライバシーの枠組みを策定すること
で、インメモリコンピューティングのような最新テクノロジーが登場した際にも十分適応できる柔軟性
と拡張性を備えたプライバシー基盤を築くことができるのです。
10
| Insights on governance, risk and compliance プライバシートレンド 2014
将来登場する最先端テクノロジーは、今やコンセプトやアイデアの段階を脱し、現実
のものになろうとしています。企業がこれらを選択肢として検討を始める 2014年こ
そ、プライバシーリスクを理解し、そのソリューションをテクノロジーツールの設計、
開発、導入に組み込む時です。
「モノのインターネット」
「Shodan」という検索エンジンを聞いたことがありますか ? Shodan は他の主要な検索エンジンと
は異なり、光の当たらないところで動いているもの、例えば防犯カメラ、ルーター、ウェブカメラ、ホー
ムオートメーションデバイス、暖房装置などを検索するサービスです。インターネットに接続されてい
れば、Shodan で見付けることができます。実際、
このサイトには「EXPOSE ONLINE DEVICES（オ
ンラインデバイスを暴く）」7という目を引くようなキャッチフレーズが書かれています。
「新技術によって、事前に考えてお
かなければならない新たな課題が
生じてくるでしょう」
専門サービス企業
『 EY による 2013年グローバル情報
セキュリティサーベイ』より
住宅の暖房装置や防犯カメラにオンラインアクセスすれば個人情報があらわにされてしまうという事
実だけでも十分に不快です。しかしさらに、企業が消費者のオンライン行動と実店舗での購買習慣を
調査しようと、インターネットやスマートフォン上での行動、さらには店の外にある交通カメラの映像
しかもそれを消費者の同意を得ずに行ったら、一体どうなるでしょうか ?
まで追跡するようになったら、
2014年には、企業はナノテクノロジー、製品センサー、センサー主導の分析、高度な追跡能力といっ
た「モノのインターネット」をめぐる果てしない可能性について考え始める際に、プライバシーリスク
についても考慮する必要があります。例えば、企業が製品やサービスに追跡機能を組み込んだ当初
は、追跡対象となる消費者から暗黙の了承も、明示的な許諾も得ていなかった可能性が十分にあり
ます。消費者がそのことに気付いたら激怒するに違いありません。こうしたプライバシーに関わる失
態は、多くの企業が究極のカスタマーエクスペリエンスを提供するために培ってきた信頼そのものを
傷付けます。
モノのインターネットが、戦略的な方向性やビジネスモデルの大幅改善、効率化、コスト低減におい
て非常に有望であることは疑いありません。しかしこれは、消費者が元来期待しているプライバシー
と、カスタマーエクスペリエンスのカスタマイズに伴って今後求められるプライバシーとの間でバラ
ンスを取る必要があります。
7
Shodan website, www.shodanhq.com, accessed 19 December.
Insights on governance, risk and compliance プライバシートレンド2014 |
11
新たなテクノロジーの出現に
後れを取る規制
現行のプライバシー規制も、世界中の規制機関が現在検討し
ているプライバシー規制も、先端テクノロジーがもたらすプラ
イバシーリスクから個人を保護するにはまったく不十分なよう
に見えます。
それでも、今 後きわめて困 難となる課 題を前に、2012 年 10 月にウル
グアイで開催された第 34 回データ保護・プライバシーコミッショナー
国際会議（International Conference of Data Protection and Privacy
Commissioners）では進展がありました。会議の参加者たちは、多くの
国々がプライバシー関連法の改善に向けて遂げた進歩と、急速なテクノロ
ジーの発展とグローバル化がもたらした挫折の両方を確認しました。そし
て世界のあらゆる国や地域に対し、データ保護とプライバシーに関する規
則を団結と協調という視点から見直すよう訴えました。彼らはまた、国境
を越えたデータ保護、限られたリソースのメリットを最大限に生かすため
の情報共有の改善、法制度とプライバシー制度の相互運用の推進に向け、
協調的に対応していくことを提唱しました 8。
翌 2013年の第 35回データ保護・プライバシーコミッショナー国際会議
でも進展が見られ、前年に提起された問題をさらに深く掘り下げた新たな
8項目の宣言と決議が採択されました。そのうち 4項目はテクノロジー関
連の課題（アプリ化、プロファイリング、デジタル教育、ウェブトラッキン
グ）、2項目は国・地域間での協調推進（法執行における協調と国際法）、
1項目は企業が収集するデータの内容と収集理由に関する透明性の向上
（オープン性）に関するものでした 9。
より詳細に見ると、多くの国州レベルの政府機関がデータ侵害通知法の改
正を続けています。
残念ながら、米国情報機関のエドワード・スノーデン元契約職員による大
規模な情報漏えい事件が、協調という目標に暗い影を落としています。実
際、スノーデン事件により国家間の信頼関係は大きく損なわれ、EU は米
国・EU 間のセーフハーバー協定の枠組みを一時停止することを検討して
います。この枠組みはかつて、データ保護に関する EU 指令の要請に従い、
米国の組織が EU 居住者の個人データを保護するための指針として重視
されていたものですが、今では中途半端な状態に置かれています。その
ため、グローバル企業が EU 居住者のデータを国外に送信する際に準拠す
べき枠組みは、BCR 以外にほとんどなくなりました。
8
“Resolution on the future of privacy,” 34th International Conference of Data
Protection and Privacy Commissioners, Punta del Este/Canelones, Uruguay,
26 October, 2012, www.garanteprivacy.it/documents/10160/2150357/
Resolution+on+the+Future+of+Privacy.pdf.
9
Privacy: A Compass In Turbulent World, 35th International Conference
of Data Protection and Privacy Commissioners, 26 September 2013,
https://privacyconference2013.org/Declaration_and_Resolutions_adopted_
at_35th_International_Conference.
12
| Insights on governance, risk and compliance プライバシートレンド 2014
「個人データ保護規制の遵守は、企業の倫理的、社会的コミットメントを示す有効な手段となりつつありま
す。個人データ保護において優れた慣行を重視することで、いかなる業界にあっても企業の競争優位を確
実に示すことができ、企業が評判リスクから身を守る上で役立ちます」
EY 発行の “Cultural behavior and personal data at the heart of the big data industry” より
世界の規制動向
2013年には世界中の多くの国・地域がプライバシー規制を改善または拡充しました。2014年も世
界中で同様に規制の改善や拡充が進むと予想されます。
北南米
アジア太平洋
欧州
• ブラジル グローバルなインターネットプロ
• オーストラリア 2012年後半、オーストラリ
ア議 会 は Enhancing Privacy Protection
Act を可決しました。2014年に施行される
• EU 2013年 8月に導入された政策に基づ
バイダーに対し、ブラジル人ユーザーから収
集したデータをブラジル国内に保存すること
を義務付けようとしています。
• カナダ 現 在 議 会 で 審 議 中 の 法 案 C-475
予定です。
在、データ侵害を検知してから 24時間以内
に、影響を受ける個人だけでなく該当する国
• 中国 2012年後半、中国の全国人民代表大
は、データ侵害通知に対する同国の取り組み
会常務委員会はオンライン個人データの保
を統一、強化することを目的としています。
護を強化する指令を承認しました。同指令は
• 米国 一部の議員は引き続きデータ侵害通
き、欧州の通信サ ービスプロバイダーは現
2013年 2月に施行されました。
知に関する連邦法の制定を求めていますが、 • シンガポ ー ル シンガポ ー ル の Personal
議会では連邦法を州法に優先させるべきか
Data Protection Act 2013が 2013年 に
否かについての議論が続いています。
施行されました。
家当局に対しても通知することを義務付けら
れています。
• EU 2012年に策定され、2014年に可決さ
れる見 込 み の EU 一 般データ保 護 規 則（EU
General Data Protection Regulation ）
は、EU のデータ保護のフレームワークの簡素
化と強化を目的としています。これにより組
織は、27カ国のデータ保護当局の要件を個々
に遵守するのではなく、統一されたデータ保
護規則に従うだけで済むことになります。
プライバシー保護の標準化を支援する EY
1990年代に EY がクライアントにプライバシー保護サー
ビスの提供を開始した当初、プライバシー分野には規定
の標準や確立されたベンチマークは一切ありませんでし
た。このため、国際プライバシープロフェッショナル協会
「グローバル規模のデジタル経済が台頭し、クラウド
コンピューティングサービスの需要が高まる中、市場
の信頼感を高める規定を策定することがビジネス成
長の主要な原動力となるでしょう」10
欧州委員会
（ International Association of Privacy Professionals、
以下「IAPP」）が 2004年に CIPP（Certified Information
Privacy Professional）プログラムを創設し、その開発を始
めた際、EY はこれに参加するチャンスを逃しませんでした。
同プログラムの創設当初から EY は IAPP と協力し、CIPP
プログラムにおいて注力すべき分野の決定を支援してきま
した。これには IAPP の最新の認定プログラムである CIPM
（Certified Information Privacy Manager）プ ロ グ ラ ム
も含まれます。
CIPP（米国）を取得し、EY でプライバシーサービス担当エ
グゼクティブディレクターを務めるサギ・レイゼロフは、
「私
たちは、EY のプライバシー専門家が日頃行っている活動
とスキルセットがマッチするように認定を活用しています」
と説明しています。
10
Privacy: A Compass In Turbulent World, 35th International Conference of
Data Protection and Privacy Commissioners, 26 September 2013, https://
privacyconference2013.org/Declaration_and_Resolutions_adopted_at_35th_
International_Conference.
Insights on governance, risk and compliance プライバシートレンド2014 |
13
組織が説明責任を果たすには
イノベーションが必要
政府はプライバシーを保護するべく果敢に努力していますが、
単独でこれを成し遂げることは不可能です。プライバシーと
個人データの保護に関する説明責任は、政府、プライバシーコ
ミッショナー、組織、そして個人自身が協力して果たさなけれ
ばなりません。
このような協力がなければ、
「プライバシーの権利」という概念そのもの
が消滅しかねません。テクノロジーが政府のプライバシー保護を規制する
能力を上回るペースで進歩していく中、すべてのステークホルダーが協力
して責任を果たさなければなりません。説明責任は法律の文言に従うとい
うより、むしろ精神に則ったものであるべきです。全関係者が説明責任を
果たすよう文化や考え方全般を変革するとともに、単なる遵守ではなくイ
ノベーションを追求していくことが求められるのです。
説明責任を根付かせるための
リーディングプラクティス
『 EY による 2013年グローバル情報セキュリティサーベイ』によると、プ
ライバシーを投資の優先順位の 1位または 2位に挙げた回答者は全体の
30% でした。その結果、プライバシーは必要な情報セキュリティ投資項目
の第 10位となりましたが、本来はもっと上位に入る必要があります。
「プライバシー、セキュリティ、不正に関する機能
は統合するべきです。顧客や従業員が個人情報と
みなすものは変化していかなければなりません」
金融サービス企業
『 EY による 2013年グローバル情報セキュリティサーベイ』より
14
| Insights on governance, risk and compliance プライバシートレンド 2014
今後 12カ月間で最優先と考える情報セキュリティ項目を選択してください。
事業継続／緊急時復旧計画
51%
サイバーリスク
17%
38%
情報漏えい防止
26%
情報セキュリティ基盤の再編
25%
コンプライアンスの監視
24%
20%
31%
20%
21%
アイデンティティ／アクセス管理
18%
24%
14%
20%
19%
セキュリティスタンダードの導入
（ISO/IEC 27002:2005など）
セキュリティガバナンスと管理
（評価指標と報告、
アーキテクチャ、
プログラム管理など）
14%
30%
22%
12% 10% 10%
13% 11%
16%
16%
20%
20%
16%
19%
23%
15%
20%
18%
17%
15%
15%
情報セキュリティリスク管理
13%
19%
プライバシー
13%
17%
21%
27%
22%
セキュリティの先端技術
13%
（クラウドコンピューティング、仮想化、モバイルなど）
17%
23%
23%
24%
セキュリティ運用
12%
（アンチウイルス、IDS、IPS、パッチ、暗号化など）
19%
22%
セキュリティ要員の獲得
11%
18%
セキュリティに配慮した開発プロセス
10%
（セキュアコーディング、QAプロセスなど）
15%
セキュリティインシデントおよびイベント管理（SIEM） 10%
8%
セキュリティ意識啓蒙活動および研修
8%
15%
脅威および脆弱性管理
8%
（セキュリティ分析、スレットインテリジェンスなど）
16%
6%
18%
セキュリティテスト
（攻撃および侵入テスト） 6% 13%
最優先する項目を優先度の高い順に 1∼ 5位まで挙げてもらいました。 優先度:
21%
25%
21%
1位
21%
24%
26%
28%
21%
23%
26%
25%
32%
21%
34%
25%
29%
2位
20%
21%
24%
20%
22%
25%
21%
19%
17%
25%
30%
25%
25%
25%
26%
20%
フォレンジック／不正証拠の分析支援
25%
26%
18%
セキュリティ機能の外部委託／海外移管
10%
（サードパーティー供給元リスクを含む）
インシデント対応計画
20%
10%
3位
26%
31%
4位
5位
Insights on governance, risk and compliance プライバシートレンド2014 |
15
1
経営層の
コミットメント
2
組織内での整合性
私たちは 2013年版の同報告書で、組織の情報セキュリティプログラムの
3
人材、プロセス、
テクノロジー
4
効果的な運用
4. 効果的な運用 優れたプライバシーガバナンスがコンプライアンスを
改善に有効な 4つの分野を特定しました。2014年版でも、同報告書で説
推進する体制とし、その逆にならないようにする。先行指標を測定して
明された以下のリーディングプラクティスが特にプライバシー保護の面で
パフォーマンスを監視し、機会あるごとに改善を行う。部門間の協力を
当てはまるでしょう。
促進する。行動分析を活用し、分析の効果を上げる。
1. 経営層のコミットメント プライバシー保護に関する規定および長期
的戦略を策定するために、取締役会の支援を得る。
2. 組織内での整合性 企業戦略の一環として、正式なガバナンスおよび
運用モデルを策定し、プライバシーのすべての側面をビジネスと整合
させ、全社を通して関係を構築する。さらに、プライバシー保護に向け
た投資を積極的に拡大する。
3. 人材、プロセス、テクノロジー プライバシー関連のビジネスプロセス
最後に、情報セキュリティにおけるリーディングプラクティスには含まれて
いなかった項目を一つ付け加えたいと思います。それは企業文化の変革
です。プライバシーの説明責任は、取締役から現場の従業員にいたるすべ
ての人員が果たすべきものです。変革の力を生かし、新たなテクノロジー
を完全に禁止するのではなく、適切なプライバシー手続きにより活用でき
るようにしなければなりません。さらに、従業員がプライバシーや個人デー
タ保護に関して決められた境界線を明確に理解し、それに従って行動でき
るよう、充実した研修プログラムを検討することも必要です。
を文書化して周知し、必要な時に更新できる機敏性を維持する。新た
なテクノロジーを選定する際は、それが組織にもたらすメリットだけで
なく、プライバシーリスクについても考慮する。
個人データ保護で先導的役割を果たす米国のヘルスケア企業
課題
複数の病院とパートナー企業を傘下に持つ某ヘルスケア非営利組織
PII 成熟度モデルを使って関連するリスクのレベルを評価しました。ま
は、常時使用し、保管している 2種類のデータのセキュリティを強化し
た業界のリーディングプラクティスと比較し、同組織の PHI および PII
たいと考えていました。すなわち、各スタッフおよびサービス提供者
データのガバナンス実務で対応が遅れている部分を分析しました。そ
の個人情報（personally identifiable information、以下「PII」）と、
して、データガバナンスに関して将来の状態を表すモデルを作成し、
各患者の保護されるべき医療情報（protected health information、
規制要件をより簡単に遵守できるようにしました。
以下「PHI」）です。
16
結果
ソリューション
同組織は、PHI データのセキュリティ侵害と、それに伴う評判の悪化に
EY では、PHI および PII データのセキュリティを改善する機会を同組
織が把握できるよう、幅広いサポートを提供しました。EY のチームメ
ンバーはデータ使用に関わるプロセスを文書化するとともに、PHI/
よる財務上の損失リスクを低減するとともに、個人データ保護におけ
| Insights on governance, risk and compliance プライバシートレンド 2014
る先駆者としての社会的イメージを強化することに成功しました。
Insights on governance, risk and compliance プライバシートレンド2014 |
17
結論
テクノロジーはプライバシー規制当局が追い付けないほどの
速さで進歩しています。個人は自分のプライバシー権につい
て、あるいは自分が払っているかもしれない代償について自
分が何を知らないのかを分かっていません。組織は究極のカ
スタマーエクスペリエンスの提供を重視するあまり、境界を
どこに設けるべきかを見失っている場合があります。
結局、プライバシーは二者択一の問題ではありません。将来重視すべき
は、
「テクノロジーかセキュリティかプライバシー」ではなく、
「テクノロ
ジーとセキュリティとプライバシー」なのです。しかし、この目標を達成す
るためには、組織は法律や規則を遵守するだけでは不十分です。先端テ
クノロジーがプライバシーを脅かす速度と同じペースで、プライバシー
保護の新たなポリシーを策定する必要があるのです。これを実践するこ
とは不可能ではありません。ただしそのためには、すべてのステークホル
ダーがプライバシーに対する見方を根本的に改め、これまでとはまったく
異なるプライバシー保護対策を取る覚悟が必要です。
経営幹部への質問
• プライバシーにおいて貴社がどの程度成熟しているかを理解し
ていますか ?
• プライバシーは取締役会レベルの優先事項ですか ?
• 顧客のプライバシーを確保するためにどのような手順でデータ
を匿名化していますか ?
• プライバシーは、新たなテクノロジーを入手し、導入する際の検
討事項になっていますか ?
• プライバシーのガバナンスおよび運用モデルがありますか ?
• プライバシープログラムには、文書化されたプロセスおよび定
期的なリスクベース評価が含まれていますか ?
• プライバシーに関するパフォーマンスを継続的に監視、測定し
ていますか ?
18
| Insights on governance, risk and compliance プライバシートレンド 2014
Insights on governance, risk and compliance プライバシートレンド2014 |
19
より深く知るには ?
『 Insights on governance, risk and compliance 』は、IT・ビジネスリスクに関連した課題・機会に
焦点を当てたシリーズです。これらは最新の論点に基づいてタイムリーに解説されています。
GRC 理解の一助として、価値ある考察を提供いたします。
『 Insights on governance, risk and compliance 』シリーズについての詳細は、EY のホームページ
http://www.shinnihon.or.jp/services/advisory/itr-and-a/global-contents/index.html を
ご覧ください。
Insights on
governance, risk
and compliance
Issue 12
View from the top
グローバルテクノロジー
サイバー攻撃の脅威
企業の動向と業績
EY による 2013年
2013年4∼8月期
グローバル情報セキュリティサーベイ
『サイバー攻撃の脅威
EY による 2013年グローバル
情報セキュリティサーベイ』
Insights on
governance, risk
and compliance
『 View from the top
グローバルテクノロジー企業の
動向と業績』
Insights on
governance, risk
and compliance
プライバシートレンド2013
前途多難な状況が続く
BYOD 職場における
個人所有端末の活用
従業員のモバイル端末の業務利用における
セキュリティとリスクの課題
『 BYOD ― 職場における個人所有端末の活用
従業員のモバイル端末の業務利用における
セキュリティとリスクの課題』
Insights on
governance, risk
and compliance
『プライバシートレンド 2013
前途多難な状況が続く』
Power & Utilities
Of special interest to
Chief operating officers
Chief marketing officers
Chief information officers
アイデンティティ・
アクセス管理
5
Insights for
executives
コンプライアンスのその先へ
Knowledge is power
Using data analytics to drive your growth agenda
Demand is down. Costs are increasing. Rate cases are risky.
Regulators are cautious. Notwithstanding major moves such as
mergers and acquisitions, is “top-line growth” a thing of the past
for utilities?
The answer may be yes if utilities employ traditional top-line growth
strategies in the traditional way. In 2012, utilities were awarded
about half the recovery they asked for through rate cases, and the
average awarded return on equity dipped below 10%. With major
investment requirements looming, utilities must find innovative
ways to grow the top line.
Strategically applying analytics to develop insight into the customer,
asset and regulatory functions may be the key. Utilities have access
to an ever-increasing store of useful data. Leveraging that data
across the enterprise can provide utilities with fact-based, objective
insight, leading to more successful rate case results and innovative
growth opportunities.
The results can be significant:
• A
► 1% increase in authorized rate base equates to $10 million in
earnings for the average US investor-owned utility.
• Moving from the third quartile to the first quartile in revenue
collection equates to $12 million.
• Utilities with higher customer satisfaction have higher returns.
“Knowledge is power using data analytics
to drive your growth agenda”
『アイデンティティ・アクセス管理
コンプライアンスのその先へ』
20
| Insights on governance, risk and compliance プライバシートレンド 2014
※英語版のみ
ey.com/KnowledgeisPower
EY | Assurance | Tax | Transactions | Advisory
EY について
EY は、アシュアランス、税務、トランザクションおよびアドバイザリーなどの分
野における世界的なリーダーです。私たちの深い洞察と高品質なサービス
は、世界中の資本市場や経済活動に信頼をもたらします。私たちはさまざま
なステークホルダーの期待に応えるチームを率いるリーダーを生み出してい
きます。そうすることで、構成員、クライアント、そして地域社会のために、よ
り良い社会の構築に貢献します。
連絡先
Japan
東 義弘
03 3503 3500
[email protected]
横川 晴良
03 3503 1704
[email protected]
+31 88 40 71271
[email protected]
+1 312 879 5071
[email protected]
Global
EY とは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバル・ネットワーク
であり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立
Paul van Kessel
した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限
Americas
責任会社であり、顧客サービスは提供していません。詳しくは、ey.com をご覧ください。
Jay Layman
新日本有限責任監査法人について
新日本有限責任監査法人は、EY メンバーファームです。全国に拠点を持つ日
Europe, Middle East, India and Africa (EMEIA)
本最大級の監査法人業界のリーダーです。監査および保証業務をはじめ、各
Jonathan Blackmore
種財務アドバイザリーの分野で高品質なサービスを提供しています。EY グ
Asia-Pacific
ローバル・ネットワークを通じ、日本を取り巻く経済活動の基盤に信頼をもた
らし、より良い社会の構築に貢献します。詳しくは、www.shinnihon.or.jp を
ご覧ください。
© 2014 Ernst & Young ShinNihon LLC.
All Rights Reserved.
本書は一般的な参考情報の提供のみを目的に作成されており、会計、税務及びその他の専門的
なアドバイスを行うものではありません。新日本有限責任監査法人及び他の EY メンバーファー
ムは、皆様が本書を利用したことにより被ったいかなる損害についても、一切の責任を負いませ
ん。具体的なアドバイスが必要な場合は、個別に専門家にご相談ください。
本書は SCORE no. AU2093の翻訳版です。
ED none
新日本有限責任監査法人
アドバイザリー事業部
〒100-6028
東京都千代田区霞が関三丁目 2番 5号
霞が関ビルディング 28F
Tel: 03 3503 2846
E-mail: [email protected]
Iain Burnet
+44 20 795 11616
[email protected]
+61 8 9429 2486
[email protected]