Comments
Description
Transcript
和文ダウンロード - 新日本有限責任監査法人
Insights on IT risk Business briefing プライバシートレンド 2012 説明責任の高まり 目次 プライバシーマネジメントにおける説明責任の重要性 .......................................... 1 プライバシーマネジメントが、その有効性強化という点において、また企業が直面する課題の一層の複雑化 という点においても変化せざるを得ないなかで、説明責任が2012年のキーワードになります。 各国のプライバシー規制強化への動き ........................................................... 5 より優れたプライバシーマネジメントの必要性が高まるなかで、各国は、 プライバシーに関するリスクや関心 の高まりに対応したより厳しい法規制を相次いで導入しています。 法的処分に至る情報漏洩通知義務違反 .......................................................... 7 情報漏洩通知義務を課す動きが、世界各国に広がってきています。 この規制は、企業が犯した過ちとその是 正措置を可視化し、規制当局が制裁を決定するにあたってのガイドラインを提供しています。 各国毎に異なるプライバシー規制と、 これに挑戦するボーダレスな技術 ..................... 9 新たな技術により、企業は大量の個人情報を電子的に収集し保管できるようになっています。その一方で、 地理的な境界線を越える情報のセキュリティとプライバシーマネジメントがますます困難になりつつありま す。 個人情報取扱事業者のモニタリングツールへの投資が増加 ................................ 10 プライバシーおよびセキュリティに関する規制はモニタリングの義務を定めている場合が多いのですが、 これまでのところ、効果的なモニタリングプログラムを実施している企業はほとんどありません。それでも、 個人情報の管理に絞ったモニタリングの必要性に対する企業の認識は高まっています。 BCRが多国籍企業のコンプライアンス目標に ................................................. 12 EUのBCRステータス取得を、個人情報の国際的利用のコントロールのための長期的目標として位置付け、 BCRの取得に向けてプライバシープログラムを策定する多国籍企業が増えています。 プライバシー専門家の数が、 プライバシー専門部署外で増加 ............................... 15 プライバシーの専門部著のほかに、企業において個人情報に関与するさまざまな部署で、 プライバシーに 関するスキルや知識が必要とされ、業務と一体化する傾向がみられます。 SOC2報告制度、本格的運用へ.................................................................. 17 これまで利用されてきたSAS70報告書とは異なり、 「サービス受託会社の内部統制2(SOC2)」の報告基準 は、受託会社が自らの提供するシステムやサービスにかかわるプライバシー、セキュリティ、機密保持、イン テグリティ、可用性の課題について対応能力があることを証明できるようになりました。 サイバーリスクがプライバシー保護にもたらす影響 ........................................... 19 サイバーリスクという言葉を聞くと、セキュリティの脅威を思い浮かべがちですが、 プライバシーの観点から みた場合、 リスクの範囲はさらに拡大します。 職場で利用が広がる個人用モバイルツール ................................................... 20 企業が所有および管理する機器を貸与するかわりに、従業員が個人で所有する機器の利用を許可する企業 が増えています。 この変化に伴い、企業はその潜在的リスクとその対策を特定する必要があります。 企業に再検討と再生を促すPbRD ............................................................. 23 「プライバシー・バイ・リデザイン(PbRD)」は、従来の「プライバシー・バイ・デザイン(PbD)」の原則を既存 レガシーシステムにも適用できるよう拡大したもので、既存戦略の再検討、システム機能の再設計、IT変革 の基本概念としてのプライバシー保護を組み込んだ、システム更新を企業に促すものです。 iii Insights on IT risk プライバシーマネジメントにおける 説明責任の重要性 これまでアーンスト・アンド・ヤングは、プライバシーをめぐる動向を業界別、地域別に調査 し、本レポートを発行してきました。そのなかで私たちプロフェッショナルは、一つの共通す るテーマを発見しました。それは説明責任です。 プライバシーマネジメントは、実効性の強化と企業が直面する課題の複雑化という二つの 点で変化しています。 こうした変化に伴い、個人情報の取扱いにおける基本要素として注目 されてきたのが説明責任です。特に規制当局や経営幹部は「企業は自らの行動における説 明責任をより強く意識すべきである」 という見解を示しています。 この影響はさまざまな側面に現れています。個々の企業レベルの場合、説明責任の重要性 は次のようなかたちで具体化されています。 •「プライバシー・バイ・デザイン (PbD) 」 および 「プライバシー・バイ・リデザイン (PbRD) 」 の採用 • プライバシー専門家の役割の再定義 • BCR(Binding Corporate Rules: 拘束力のある社内規定)コンセプトの採用 • データ流出防止(以下「DLP」)ツールの使用を含む企業内監視の強化 マクロレベルでは、各国政府が個人情報の使用規制に乗り出しています。業界団体ではこう した行政措置強化の流れに歯止めをかけようと、先んじて自主規制を模索する動きがみら れます。政府側では、欧州連合(以下「EU」)において、欧州委員会(以下「EC」)が「電子通信 指令」を2011 年に改正し、消費者の個人情報管理権限を強化しました。EUデータ保護法 の全面的な改正の一部でもあるこの新しい指令は、EU 加盟国に対し、インターネット上の ユーザーの行動を追跡するクッキー(cookies)を電子情報の発行主体が使用する場合に、 情報利用者の事前承認を得ることを義務付ける規定を求めています。 これに対して、さらなる規制強化を回避する目的で、小売・一般消費財業界と、GS1(サプラ イチェーンの国際規格を策定する国際組織)は、監督機関であるプライバシーコミッショナ ーと連携して自主的なガイドラインの策定に乗り出しました。ガイドラインは、RFID(商品 等の識別・追跡用に取り付けられる無線ICタグ)技術の運用が影響しうるプライバシー問題 に対応しています。欧州では、サプライチェーンの効率化を目的に RFIDを利用する小売事 業者が増加しています。自主規制というかたちで説明責任を強化することで、業界は、RFID を使用しても欧州の個人消費者のプライバシーは侵害されないことを示そうとしているの です。 企業の多くは、 これまで以上に大きな説明責任を果たすために、より大きなIT 戦略の枠組 みのなかでプライバシーへのアプローチを見直す必要があります。IT 変革によるアップグ レードや、従来のネットワーク、システム、アプリケーションとの整合性確保に取り組む際 は、プライバシー対策を後付けするのではなく、初めからIT 変革の主要な柱として組み込 む必要があります。 規制当局は企業の説明責任について関心を高めています。 この状況において、私たちはも はや、プライバシーに関する対応を規定した法律を待つ余裕はありません。法律は施行ま でに数年かかりますが、一方でプライバシーの侵害、つまり説明責任の欠如(申し開きので きる状態にしなかったこと)から生じる結果は、即時的かつ明白な影響を及ぼし、またその 対応に莫大な費用がかかる恐れもあるのです。 Insights on IT risk 1 個人と企業間の緊張関係が 説明責任の重要性を浮き彫りに この10年間でプライバシー保護に対するアプローチが大きく変わったことにより、個人と 企業との間はプライバシーをめぐって緊迫感を高めています。 この緊迫感は、二つの概念 の変化に現れています。一つはマーケットによるプライバシーマネジメントの概念の変 化、もう一つは、テクノロジーによるプライバシー侵害の概念の変化です。 プライバシーマネジメントの概念の変化 企業が個人情報を管理する方法は世界中で変わりましたが、変化をもたらした要因は三 つあります。 サギ・レイゼロフ博士 Dr. Sagi Leizerov アーンスト・アンド・ヤング プライバシー・アドバイザリー および保証サービス アメリカス・リーダー 1. 不正 個人情報の詐取とプライバシー侵害は、人々の注目を集めてきた代表的な情報 不正使用です。個人、組織犯罪者、国家が犯罪目的や政治目的で個人情報を違法に入 手した事例は実に多く、企業は、入手した個人情報の安全性にますます慎重を期すよ うになりました。個人情報漏洩が発生した可能性を、本人に通知(多くの情報漏洩通知 に関する規制で義務付けられている)するという事態を回避したい、 という企業の意向 もプライバシーマネジメントの概念変更における重要な要因です。 2. 経済 不正は増えているにもかかわらず、世界経済の見通しが不明瞭なため、多くの企 業はやむを得ず少ない資源で多くの成果を得るための努力を強いられています。経済 情勢は、プライバシー保護対策のあり方を塗り替え、 より少ない人員で機能することを 強く要求しています。 この傾向には歯止めがかかっていますが、世界経済危機がプライ バシーガバナンスにもたらした打撃は、解消するまでにまだ数年はかかるでしょう。 2 Insightson onIT ITrisk risk Insights 3. 規制 プライバシー保護関連規制が大幅に増えたことで、多く の企業にとって、プライバシーマネジメントは際限のないコン プライアンス活動になりました。規制遵守が企業内の人員にも たらした負担は非常に大きく、そのために、規制対象になって いないプライバシーリスクに当てる人員も時間も限られたもの となりました。 経 正 • 家庭 「ドア」の発明は、かつて、最も画期的で大胆なプライバ シー解決策でした。今日の私たちにとって、 ドアがプライバシー 保護に果たす役割はほとんどありません。スマートグリッドは、 私たちが消費したエネルギーを驚くほど細かく追跡できます が、同時に私たちの生活に関する個人的な情報を他人が調べ たり推測したりすることを許しています。サーモ画像もまた、体 が発する熱を感知することで、家のなかでのヒトの動きを追跡 できます。アクション映画やスパイ映画でも、警察や軍がサー モカメラを使って敵の位置を特定するシーンをよく見かけます が、 このテクノロジーもまた、現実の世界で、私たちの「知らな いうちに」使われている場合があります。 不 済 プライバシー 体 精 トレンド 身 神 プライバシー 侵害 規制 家庭 プライバシー侵害の概念の変化 歴史的に、人々はプライバシーについて何らかの概念を持ち続け てきました。だれもが常に思いつく基本概念と言えば、身体のプ ライバシー、思考(精神)のプライバシー、そして家庭のプライバ シーでしょう。 テクノロジーの発展によって、個人と企業との間では、 プライバシー に関する境界線が揺れ動いています。今日、企業が集めている個 人情報はもはや、取引記録、購入履歴、好みといったビジネスに 直結する情報に限りません。現在のテクノロジーによって、企業 は、情報収集という名の下に、個人のプライバシーの境界線を飛 び越えることができるのです。 • 身体 テクノロジーによって身体のプライバシーを脅かされる 二つの例が、顔認識技術と空港の身体スキャナーです。顔認識 によって、世界における自分の匿名性は失われます。また、空港 の身体スキャナーでは、検査を目的に全身を晒すことになりま す。 この種のテクノロジーは、 個人と企業との間に不愉快な関 係を生む可能性があり、テクノロジーの利用が不適切な場合 には、永久に信頼を取り戻せない状態になることも考えられま す。 • 精神 かつて、私たちは自分たちの意見を、会話や手紙の相手 だけと共有していた時代がありました。今日の私たちは、意図 の有無にかかわらず、ウェブ上で世界に対して意見を共有して います。Facebook、Twitter、 ブログ、 あるいはその他のソーシャ ルメディアを通じて、私たちは自分の意見を表現するという意 識的な選択をしています。ただし、自分の意見がその後どう表 示されるのかについて、管理することはできません。また、検索 エンジンのクエリや特定のウェブサイト上での活動、さらには スクリーン上のコンテンツにおけるユーザー活動や反応に関 する情報を人知れず集めるクッキーやスーパークッキーを利 用する企業を通じて、私たちの意見は無意識のうちに共有され ている可能性もあるのです。 各国政府は、まるで競うかのように個人のプライバシーを保護す るためのプライバシー規制を導入しようとしています。 しかし、残 念なことに、あまりに大局的で実効性に欠ける規制も一部存在 し、個人のプライバシーを侵害するような新発明よりも、常に一 歩も二歩も遅れています。 今、企業も個人も規制に依存するのではなく、それぞれがプライ バシー保護について説明責任を負うべき時が来ています。 企業 は、個人から収集した、または収集しようとする個人情報につい て説明責任を負う必要があります。収集している情報の種類につ いて透明性を保ち、いつでも開示して、収集するデータの安全性 が常に維持されていることを検証しなければなりません。 とはい え、企業だけが責任を負うべきとは言えず、個人もまたどのように テクノロジーを利用し、企業とどのようにかかわるのかについて、 情報に対する説明責任を負わなければなりません。 どのような情 報を共有しようとしているのか、だれと共有しようとしているのか について知識を深め、身体、精神、家庭のプライバシー情報につ いて、十分な情報に基づいた意思決定ができ、コントロールを維 持できる状態を保つ必要があります。 マーケットがプライバシーマネジメントの定義を継続的に書き換 え、テクノロジーが私たちのプライバシーの境界線をゆさぶるな かで、規制当局と個人は、個人情報を収集する企業が、さらに強 力な説明責任をもつべきだとみています。 しかし、個人が自分の 行動に対して説明責任を負うことも重要です。結局のところ、企業 と個人との間の緊迫感を和らげ、信頼関係を維持するには、個人 情報の保護に対する説明責任を、だれもが負う必要があるのです。 Insights Insights on on IT IT risk risk 3 説明責任の模範的リーダーとして 説明責任は、 これまでもプロクター・アンド・ギャンブル(以下「P&G」)のグローバル・プライ バシー・プログラムにおける重要な課題でした。EUと米国商務省間のセーフハーバー認証 を最初に受けた一企業として、当社は、セーフハーバー原則、OECD原則、 「公正な情報処理 (Fair Information Practices)の原則」を当社のグローバル・プライバシー・プログラム 設計の基礎にしています。例えば、セーフハーバー原則に準拠して強力なプログラムモニタ リング機能、説明責任における指標、監査スケジュールのほかに、実施中のプログラムに対 するモニタリングおよび報告プロセスを構築しており、 これらを社内の各営業拠点に展開し ています。 サンディ・ヒューズ Sandy Hughes プロクター・アンド・ギャンブル グローバル情報ガバナンスおよび プライバシー担当役員 国際プライバシープロフェッショナル協会 (IAPP)元会長 説明責任に対する規制当局の関心が高まったからといって、当社のプライバシー保護方針 が変わるわけではありませんが、全社的に一貫性のある説明責任態勢を構築するうえで一 定の推進力になっています。結果としてそれは、消費者が私たちに寄せる信頼の強化につ ながっています。自主規制ガイドラインには例えば、米国証券取引委員会(以下「SEC」)の 「有効なコンプライアンスプログラムの基本項目(Elements of Effective Compliance Program)」、米国連邦取引委員会(以下「FTC」)の「オンライン上の行動ターゲティング広 告に関する原則(Online Behavioral Advertising Principles)」、EUの「RFIDによるプ ライバシーインパクトアセスメントの枠組み(RFID Privacy Impact Assessment)」など がありますが、 これらはすべて規制当局の指導により策定されたものです。企業はこうした 情報を通じて、規制当局が何に関心をもち、そこに法の制定、法による取り締まりは必要な のか、また、不運な過失が違反につながった場合に説明責任を果たしていることを立証す るために企業はあらかじめ何を整備していなければならないのかを知ることが可能です。 今後、さらに説明責任が重要視されることで、今まで説明責任を果たしてきた企業は脚光 を浴びることになります。そのような企業は、同様のリソースをもたないほかの企業がコン プライアンスやプログラムの実効性を改善し、ひいては共通の消費者の信頼を強化するう えで、ロールモデルとして最先端の事例を誇示する大きなチャンスを得ることになります 。 4 Insights Insights on on IT IT risk risk 各国のプライバシー規制強化への動き より優れたプライバシーマネジメントへのニーズが広がるなか、 各国政府は、より厳格な規制を継続的に導入しており、個人情報 の収集と使用に関して高まるリスクや社会の強い懸念に備えて います。プライバシー規制法をもたない国々は、 この問題への対 処が急務であることを認識しています。すでにプライバシー規制 を導入している国々においても、めまぐるしく進化するテクノロジー に歩調を合わせようと、法制度の改正を急ぎながら、刻一刻と姿を 変えるプライバシー環境への対応と説明責任の強化に取り組ん でいます。 いることから、各国が起草・採択する法律には大きな差異が生じ ています。ラテンアメリカで複数の国にまたがって事業や活動を 展開する企業は、 この国家間の相違点への対応に苦慮することに なるでしょう。 プライバシー規制を導入している多くの国々、 とりわけアジアや ラテンアメリカの国々は、アウトソーシング事業の獲得を競い合 っています。2011 年、大規模なアウトソーシング先であるイン ドは、新たなプライバシー規則を導入しました。この「 2011 年 インド情報通信法(India s Information Technology Rules 2011)」は、企業による個人情報の取扱いに大幅な制約を課し ています。 この新法の下では、個人情報を収集する企業は、収集 対象である個人にその旨を通知するよう義務付けられます。ま た、新法は、企業に対して、個人情報保護のために利用可能なあ らゆる合理的な手段を採用し、問題が発生した際の紛争解決プ ロセスを提供し、またプライバシー方針を公表するか入手可能に することを義務付けています。インドのプライバシー 保護法は、 インドで収集される、またはインドに転送されるすべての個人情 報を対象としています。 年にペルーとコスタリカで可決されたプライバシー保護に関す る法律も2012 年に施行予定です。コロンビアは、プライバシー 保護法案を審議中であり、ブラジルは EU モデルをより厳密に踏 襲するかたちで既存の規制を強化しようとしています。 2012年には、シンガポールが消費者のプライバシー保護に関す る新たな法制を導入予定です。 この制度では、個人情報の開示や 収集にあたっては、事前の個人情報提供者への十分な説明と同 意の獲得が義務付けられることになります。 ラテンアメリカにおいては、現在データ保護法がある、または制 定中の国々は、主に欧州のデータ保護モデルを規範としていま す。 しかし、EU のような地域全体で統合された法制度が欠如して やはり大規模なアウトソーシング先であるメキシコは、2010 年 に民間企業を対象とした広範なプライバシー規制を採択しまし た。 「民間業者が保有する個人データ保護に関する連邦法(The Federal Law on the Protection of Personal Data Held by Private Parties)」は、2012年に施行される見込みです。2011 初めてプライバシー規制を導入する国々の多くは、 このような法 規制が実際に執行されるということをさらに強く示す必要があり ます。法規制の執行に必要なリソースを政府が提供しない限り、 これらの国に新設されるデータ保護機関は困難に直面するでし ょう。また、人々の意識に関する課題もあります。つまり、プライバ シー保護という新しい権利に対する国民の認識が乏しく、またそ ういった国々で活動する企業も新たな責務を十分に理解してい ないという問題です。 各国はこれまで以上に強い説明責任を要求していますが、 企業 は、プライバシー規制の増大による事業への影響を認識する必 要があります。国ごとにプライバシー保護に対する要件が違え ば、それらの要件に従う立場にある企業がコンプライアンスに苦 慮することになります。多国籍企業は、地理的にその勢力を拡大 しつつあり、その勢力において地理上の境界線はますます意味 を失いつつあります。 しかし、国家間の規制の差異は、コンプライ アンスにおける果てしなく、そして変化し続ける課題です。プライ バシーに関する規則は、国境を超えて調和させることが何より重 要です。ただし残念なことに、調和という傾向が2012年に生じる 見込みはまだありません。 考えてみましょう • 事業展開をしている国のプライバシー規制について、昨年からの変更点を把握していますか? • プライバシー規制が新たに導入される、あるいは改正される国にアウトソーシングしている場合、 現地での事業にどのような影響が生じるか検討しましたか ? • プライバシー規制が新たに導入される、あるいは改正される国に進出している場合、そのような規 制による現地従業員への影響を検討しましたか? Insights on IT risk 5 包括的なプライバシー制度の確立を 目指して (米国) この一年、プライバシー関連法の制定が世界中で急増しました。例えば、メキシコで は、2010 年に包括的なプライバシー法が制定され、2011 年には同法の施行規則案が 策定されました。韓国とペルーでも新法が制定され、コロンビアでも近々制定される見込 みです。また、インドでも2011 年に、論争を呼んだ新しいプライバシー規制が公布され ました。台湾では、現行の法律要件の改正や拡大が進み、変革というよりは変貌といった 動きがみられます。私たちは、 この世界的動向が 2012 年も続き、さらに加速するものと 見込んでいます。 リサ・ソット Lisa Sotto ハントン&ウィリアムズ法律事務所 パートナー弁護士 グローバル・プライバシーおよび 情報セキュリティ・プラクティス部門長 一方、米国におけるプライバシー規制に関しては、米国以外の国々との足並みを揃える ための取組みが進行中とはいうものの、時代遅れの感は否めません。ほかの国々がより 包括的な制度に取り組んでいるなか、米国は業界別、データ種類別によるプライバシー 規制のままです。例えば、子どものプライバシーを守る法律がありますが、適用対象は13 歳未満の子どもだけで、情報がオンラインで提供される場合に限られています。業界ごと に、個別のプライバシー法が存在しており、医療と金融サービスはその代表的な例です。 米国のこのような業種別に法律をもつ枠組みは、他国が模範とするようなモデルではあ りません。ほかの国々が包括的な法制度を整備する一方で、米国は断片的な制度を維持 しているのです。 2012年の終わりまでに、米国連邦議会が合意形成に至ることは期待できませんが、今後 3-5年の間に、より包括的なアプローチへと向かう可能性はあります。特に、新しいテクノ ロジーは次々に登場しているため、包括的なアプローチはすべての人の利益につながり ます。今はまるで、 クラウドコンピューティングや位置情報に基づくサービスなど新しいイ ノベーションが生まれるたびに、規制当局が後追いで法的保護を検討しているかのよう に見えます。 しかし、そのたびに新たな法規制への対応が強いられれば、イノベーション は行われなくなるに違いありません。ゆくゆくは米国でも、開発される新技術に対して画 一化した方法で対応しうるように、包括的な制度が必要になるのです。 プライバシーに関する企業の対応策の一つが、企業の内側に目を向けることです。PbD やその他の説明責任制度の導入を選択する企業が出てきています。 プライバシー対策を 新製品や新サービスに組み込むことで、 プライバシー問題を最初から考慮している、 とい う姿勢を表明しているのです。 6 Insights Insightson onIT ITrisk risk 法的処分に至る情報漏洩通知義務違反 2011 年 6月、米国カリフォルニア大学ロサンゼルス校ヘルスシ ステム(以下「 UCLA ヘルスシステム」)は、 「医療保険の相互運 用性と説明責任に関する法律(Health Insurance Portability and Accountability Act)」 (以下「HIPAA」)におけるプライバ シーおよびセキュリティ規則の違反について86 万 5500ドルの 和解金を支払うことで、米国保健社会福祉省(以下「 HHS」) と合 意しました。 この件では、著名人などの患者の健康に関する機密 情報への不正アクセスによる罪で、UCLA ヘルスシステムの複数 の従業員がすでに起訴されていました。HHS はさらに、プライバ シー侵害を犯した従業員に対する制裁を科していなかったとし て、UCLAヘルスシステム自体を処分したのです1。 UCLA ヘルスシステムの事案は、2011 年におけるHHS による3 度目の大きな処分となりました。 これにより2011 年上半期の罰 金総額は 6 百万ドルを越えました。2003 年以降、HHS および公 民権室(Office of Civil Rights)は1万4105件以上のプライ バシー侵害事件を調査し、解決しています。HHS は、情報漏洩通 知について定めた「経済的および臨床的健全性のための医療情 報技術に関する法律( Health Information Technology for Economic and Clinical Health )」 (以下「HITECH」)に基づ いて、監査の実施と違反取り締まりを計画しており、今後の摘発件 数はさらに増加すると予想されます。 プライバシー保護違反の取り締まりに乗り出しているのは、米国 だけではありません。情報漏洩通知義務は世界各国で俎上に上 っています。具体的には、 ブラジル、 ウルグアイ、メキシコといった ラテンアメリカ諸国をはじめ、欧州ではドイツ、そしてアジアでは 日本でその導入が検討されています。 これに伴い、情報漏洩通知 義務違反に対して実効性を伴う対応を取るために、各規制当局 が法的処分に踏み込む事例が増えてきています。 2012 年は、情報漏洩通知規則が法的処分と密接に連動した枠 組みが構築される見通しです。現在提出済みの法案、または新た に施行された情報漏洩通知規則では、 「個人への通知」義務を暫 定的に、もしくは完全に規定から外しており、むしろ「規制当局へ の通知」に主眼を置いています。そうすることによって、規制当局 は事故後の対応(個人情報漏洩の被害者への通知等)検討や適 切な処分に強い決定権を行使できるからです。 EUでは、ECが「e-プライバシー指令( ePrivacy Directive )」の 改正を検討中で、電気通信事業者、インターネット運営会社に対 して聞き取り調査を行いました。EC の意図は、新しい規則の導入 により、現行法の定義を充実させ、情報漏洩通知が必要とされる 状況とその場合の手順を企業に明示することにあります。EC が、 電気通信事業者とインターネット運営会社に特に注目するのは、 これらの企業が集める個人情報が多いためと、その情報が漏洩 したときのリスクが高いためです。 昨年、アーンスト・アンド・ヤングは、情報漏洩通知義務を規定 に盛り込んでいるカナダの法律「個人情報保護および電子文 書法( Personal Information Protection and electronic Documents Act )」 (以下「PIPEDA)」の改正案についてコメン トを発表しました。さまざまな改正のなかでこの改正を取り上げ たのは、特にこの改正がカナダのプライバシー監督機関に多くの 裁量権を与え、 プライバシー問題の苦情調査について幅広いリソ ースを活用する能力を付与しているためです。プライバシー監督 機関は追加的な権限として、調査によって得られた情報を、国内 および国外のほかの監督機関と共有することができます。 プライバシー擁護派の多くは、 プライバシー監督機関や規制当局 にさらに多くの権限を付与する強固な制度を支持しています。 し かし、最近の情報漏洩通知義務がそうであるように、意思決定の 権限を規制当局に集中させることは、企業によるプライバシーリ スク対策およびコンプライアンス対策に混乱をもたらすのでは ないか、 と疑問視する声もあります。また、企業の規制違反にかか わる分野だけに目を向けることを助長したり、個人識別情報の収 集に制限を設けたり明確な通知を提供するといった、ほかのプラ イバシー関連課題を軽視させることにつながらないか、 といった 点を危惧する声もあります。 2012 年は、これまでより大きな権限を与えられた規制当局とプ ライバシー監督機関が、監査の実施回数を増やしていくとみられ ます。また、その監査方針は報告された違反事例により検討され るでしょう。この監査は、監査実施の直接の原因となった事故や 違反の内容よりも幅広い領域を対象とするものと思われます。 考えてみましょう • 会社が重要な個人情報の保管に使用しているのは、構造化データですか、非構造化データです か? また、その際にどのようなレポジトリが使用されていますか? • プライバシー保護の監査で、規制当局に実証すべきことを理解していますか? • プライバシー保護対策に欠陥がみられる場合、原因を根本的に是正していますか? それとも発見 された弱点の克服に集中して対応していますか? 1ハントン&ウィリアムズ法律事務所、 プライバシーおよび情報セキュリティ法ブログ、 2011年7月8日 「HHS Announces $865,500 Settlement with UCLA Health System for HIPAA Violations(HHS、HIPAA法違反のUCLAヘルスシステムと$865,500で和解)」 http://www.huntonprivacyblog.com/2011/07/articles/hipaa-1/hhs-announces-865500-settlement-with-ucla-health-system-for-hipaa-violations Insights on IT risk 7 違反は一瞬、摘発は漸増 ヘルスケア産業の視点から 2012年は、HITECHやHIPAA標準に関連した、主にセキュリティ侵害によるヘルスケア 企業の処分が、徐々に増えると予想されます。 しかし、ヘルスケア企業の心配はこれだけ ではありません。違反についてすぐさま報道される不利なニュース、訴訟、そしてクライア ントからの不信感はさらに大きな懸念です。 カーク・ナーラ Kirk Nahra ワイリー・レイン法律事務所 パートナー 法令遵守と法執行の観点からすると、2012 年は転換の年になりそうです。2011 年末ま たは 2012 年初めに新たな規則が発表される予定ですが、遵守義務の適用は早くても 2012年7月(おそらくそれ以降)になるでしょう。そこから一年かけて規則を理解し、修正 すべき個所を特定し、新しい規則に対応するように企業内のプライバシーおよびセキュリ ティ基準を改正する必要があります。つまり、政府が法律を採択した時点(2009 年)か ら、企業がこれを適用できるようになるまでには3年を要するということです。 一方で、情報漏洩は後を絶ちません。特にヘルスケア産業の場合、情報漏洩は患者にさ まざまな影響がおよぶ危険があるため、非常に深刻な問題です。一番大きなリスクは、内 部関係者による情報への不適切なアクセスに関するものです。ヘルスケア産業が利用す るデータは膨大で、そのデータは医療技術の高度化とともにますます重要性を高めてい ます。データにアクセスしなければならない人々は増えましたが、アクセスできる人の数 を増やせばそれだけ問題も多く発生します。データにアクセス権限をもつ人が、その権限 を悪用するというケースもあり、病院職員による著名人の医療記録の閲覧などはその代 表例です。興味本位でデータを閲覧する人たちもいます。例えば、家族のデータ (通常は「 善良な」目的で)や、昔の恋人のデータを(往々にして「良からぬ」目的で) こっそり見たりし ます。 こうした行為は、重大な問題にならないと思われがちですが、違法であり、不適切な 行為です。ほかに、個人情報を詐取したり、医療保険詐欺を目的として、内部関係者がアク セス権限を不正に使用するといった深刻なケースもあります。 いずれにせよ、一般に従業員は、業務上データにアクセスする必要があり、職場で不正ア クセスを防止するのは難しいのかもしれません。 しかし、企業は、従業員による個人情報 処理を追跡する適切な監視システムを備えたバックエンドシステムを構築しておく必要 があります。 情報漏洩が発生した場合、企業が取るべき最善の防御策は、迅速な対応です。ほとんど場 合、違反の規模が小さければ、企業は特に大きな問題を起こさないまま問題を解決でき ます。もし、企業が情報漏洩を把握して、迅速な是正措置を講じた場合、企業はその影響 を最小限に抑えたり、排除したりできます。 ここで特に重要なことは、生じ得る被害を最小 限に抑えることです。企業は、あらゆる問題の発生を防ぐことができるわけではありませ んが、迅速な対応によってリスクは軽減できます。 8 Insights on IT risk 各国毎に異なるプライバシー規制とこれに挑戦する ボーダレスな技術 プライバシー保護政策が異なる第三国へ個人情報を流出させ ることを、法律で制限している国は少なくありません。EU では、 「EUデータ保護指令95/46/EC ( EU Data Protection Directive 95/46/EC )」がこれを定めています。この指令はプライバシー規 制のモデルとして、今やEU域外であるラテンアメリカ諸国におい ても準拠が広がっています。 しかし、 この地域でもEUと同様に、国 によるプライバシー規制の差異が、積年の課題です。 規制当局が地理的な境界線を意識する一方、ビジネスで採用さ れているテクノロジーは、そのような境界線をシステム的に消し 去ってしまいます。従業員のデータ共有を可能にする世界規模の 共同アプリケーション、 クラウドコンピューティング、集中型ネット ワークアーキテクチャ、集中型 Webフィルタリング、海外拠点を利 用した 24 時間稼働型のコールセンターなどは、いずれもビジネ ス上のコスト節減と業績改善に向けた優秀なテクノロジーソリュー ションです。ただ、個人情報の越境が要求されます。 このような技術 の利用を促している二つの要因があります。一つは世界経済危機 の影響によるコスト削減であり、もう一つは職場や普段の生活面 におけるコラボレーションの促進です。これらの要因は、企業が 顧客に対する説明責任を果たすために、対応しなければならな いコンプライアンスリスクとプライバシーリスクの脅威を増大さ せています。 技術の進歩によって、業種、地理的位置を問わずすべての企業が 膨大な量の個人情報を電子的に収集し、保存できるようになりま した。ビジネス上でITソリューションの統合が強く求められれば、 それだけ国境を跨ぐ情報のセキュリティとプライバシーの管理は 困難になります。規制当局は常に、新技術がもたらす課題への対 応を迫られています。プライバシー保護規制と技術の進歩との間 に存在する対立は、企業に対し、一つの拠点や規制に囚われるこ となく、包括的なアプローチで説明責任を果たすことが重要であ ることを示しています。 企業は、既存の規制要件と技術の発展について、上手くバランス を捉えながら先見性のあるプライバシーマネジメントに積極的 に取り組む必要があります。企業はまた、自らが所有する ITアー キテクチャの特性をよく理解し、新しいテクノロジーソリューショ ンを選択して導入する場合は、それがもたらす影響についても検 討しなければなりません。単純な統制や訓練であっても、 コンプラ イアンスを高め、 リスクを抑え込むことができる場合もあります。 考えてみましょう • プライバシーの影響評価プロセスは、個人情報の第三国への移転や関連の規制条件に対応して いますか? • 社内のネットワークアーキテクチャは、いろいろな国からのデータを一元管理拠点に移送する仕組 みになっていますか? • コンプライアンス上のニーズに包括的に対応可能で、不適切なアクセスや個人情報漏洩に関する リスクを減らすことのできるソリューションは見つかっていますか? Insights on IT risk 9 個人情報取扱事業者の モニタリングツールへの投資が増加 企業は顧客、ベンダー、下請業者、外部パートナー企業などさま ざまな関係先から 「個人識別情報」を収集しています。 しかし、 こう した情報を従業員がどう処理しているのかに関するモニタリング は、今も未熟な状態にあると言わざるを得ません。アーンスト・ア ンド・ヤングの「2011 情報セキュリティ ・グローバル・サーベイ」 によると、 「プライバシー保護関連の統制を監視・維持するための プロセスを実施しています」 と答えた企業は、回答者全体のわず か30%です。 プライバシーおよびセキュリティに関する規定の多くは、モニタリ ングを要件としています。 しかし、 これまでのところ、効果的なモニ タリングプログラムを実施している企業はほとんどありません。ロ グ記録を保持するITシステムは無数に存在するものの、プライバ シーモニタリングに役立つデータをこのログ記録から掘り起こす のは、一般的に高価なうえに非効率です。GRCツールは、セキュリ ティ統制のモニタリングと、その情報表示に優れていますが、 プラ イバシー関連の統制モニタリングやそのデータ表示に関する有 効性は高くありません。 とはいうものの、個人情報の管理のあり方にモニタリングを導入 すべきだ、 と考える企業の数は増加しています。 プライバシーに関して、該当する ものをすべて選択してください 従業員がデータを発信しうる、世界規模で連携しているアプリケ ーションを追跡するために DLPツールを導入したり、ネットワー クフォルダーを追跡するために別のツールを導入する企業の数 は増えています。さらに、データベースの利用パターンを監視する アプリケーションの導入を進める企業も存在します。 このような技 術はますます、先進的なプラクティスではなく、一般的なビジネス として普及しています。 2012 年において、プライバシーモニタリングツールに対する企 業の投資を促進する要因が二つあります。 1. 企業が集める個人識別情報のモニタリングを、説明責任の強 化を実証するため 2. 企業の評判やブランドを傷つけるおそれのあるリスクを軽減 するため しかし、2012 年も、情報セキュリティとプライバシーモニタリン グシステムの統合には至らないでしょう。 プライバシーモニタリン グは、今後数年間は、既存のITインフラへの補完機能という位置 付けにとどまる見通しです。 企業に影響を及ぼす可能性のあるプライバシー 関連法規を明確に理解しています 73% 外部パートナー企業、ベンダー、下請業者との契約に プライバシーに関する要件を含めています 63% 個人情報保護を目的とした統制を導入しています 56% プライバシーに関する責任を各関係者に 割り当てています 41% プライバシー関連の事件が発生した場合の対策 および管理プロセスを定めています 38% 個人データのライフサイクル(収集、使用、保管、 移転、破棄)を検証済みです 33% プライバシー関連の統制を監視・維持するための プロセスを実施しています アーンスト・アンド・ヤング 2011年 情報セキュリティ・グローバル・サーベイ 該当すると答えた回答者の割合を表示 30% プライバシー要件の対象となる情報資産台帳を 作成しています プライバシー要件を満たすための措置は 講じていません 27% 8% 考えてみましょう • プ ライバシー規制により個人情報の使用状況の監視が義務付けられているかどうか確認しましたか? • 個人情報の処理によく使うシステムやアプリケーションに使用可能な新たなモニタリングツールにつ いて、分析をしましたか ? • プライバシー関連リスクとコンプライアンス要件に対応するために、モニタリング技術への投資額の 増加を予定していますか ? 10 Insights on IT risk Insights on IT risk 11 BCRが多国籍企業のコンプライアンス目標に 個人情報を正当に第三国へ移送するため、EU によるBCR(拘束 力のある社内規定)承認を受けることを長期的な目標とする多国 籍企業が増えています。BCR は、行動規範と同じような社内のガ イドラインで、企業内部の個人データ移送を第三国へ行うための 方針を定めたものです。 自前のプライバシー保護プログラムが BCR 承認を申請できる水 準に達するまでの間、欧州の要件に対応する一時的な手段とし て、モデル契約やセーフハーバーの利用を検討している企業が増 えています。 EU は、2003 年に BCR を開始しました。初期にその導入に踏み 切った企業は、BCR承認獲得までに35カ月を要しました。今日の プロセスは、8-13カ月が平均です。 「2008 年以前は承認プロセ スがもっと厳しく、BCR 承認企業はわずか 2 社でした」 と、情報処 理および自由に関する国家委員会( Department of European and International Affairs )」 (以下「CNIL」)の欧州・国際業務部 長のフローレンス・レイナル氏は認めます。 「2008 年以降、BCR 承認企業は 17 社に上っています。新たに 29 の団体が申請中 で、2012年には承認が下りるでしょう。」 BCR 承認の取得は容易ではないものの、取得した場合には以下 のようなメリットがあります。 • 既 存のデータ・プライバシー・コンプライアンス・プログラムの 再確認 • • • • プライバシー問題に関する企業内意識の向上 データ移転するたびに契約を締結する必要性の排除 第三国へのデータ移転に伴うリスクの軽減 企業内におけるデータ保護戦略と実務の一貫性 BCRを初期段階で導入した企業には、GE、フィリップスがありま す。最近では、ヒューレット・パッカード、インターナショナルSOS、 ブリストル・マイヤーズ・スクイブがBCR承認を取得しました。 2012 年は、BCR 承認獲得に向けて活動をはじめる企業だけで なく、将来的な BCR 承認申請を見据えてプライバシープログラム の設計に取り組む企業が増えると予想されます。 考えてみましょう • EUで入手した個人情報をEUおよび米国以外の複数の第三国へ移送していますか? • 企業の成長計画は、EUで入手した個人情報の移転先である事業体や国の数の増加を含みますか? • 企業内のプライバシープログラムが一貫性のあるポリシー、統制、モニタリングに従うことに意義が あるとお考えですか ? 12 Insights on IT risk BCR承認達成のための4つのステップ BCR承認の獲得を目指す企業は、次の4つのステップを満たす必要があります。 1. 主管データ保護当局の決定 企業のための「主管データ保 護機関( data protection authority )」 (以下「DPA」)を 決定する必要があります。通常は企業の EU 域内本社所在地 にある当局が該当します。主管データ保護当局はほかのデー タ保護当局との間でEU協力手続きの調整を行います。 2. BCR手順書の作成 DPAの支援を受けながら、BCR手順書 を作成します。 これらの手順書は「第 29 条作業部会」の文書 が示す要件を満たす必要があります。企業は完成した手順 書を DPA に提出し、主管データ保護当局はこれについて検 討し、 レビュー結果を返します。 3. 関連先データ保護当局へのBCR回覧 BCR 手続書の内容 についてDPA の承認を得られたら、BCRを関連先データ保 護当局と、相互承認制度に参加していない当局へ回覧する EU協力手続きが始まります。 4. EU協力手続きの終了 BCR がすべてのデータ保護当局か ら最終決定を取得した時点で、 プロセスの完成とみなされま す。企業はこの後、各国のデータ保護当局によって承認され たBCRに基づいてデータ移転の認可を要請できます。 Insights on IT risk 13 BCRによりプライバシー保護の 実効性が向上 BCR はコンプライアンスにとって、有効なツールです。企業において、プライバシー保護 が関連している日常業務に付加価値を与えることで、企業のプライバシー保護の有効性 と実現性を高めることができます。BCR はまた、 グローバルポリシー、内部機構、人材研 修、データ保護当局との協力の仕組みを企業に組み込むという面でも役立っています。 企業はこの種のポリシーを好みます。実際、BCRこそが当面の唯一の現実的なソリューショ ンだと考えている企業は多数存在します。 フローレンス・レイナル Florence Raynal 情報処理および自由に関する国家委員会 (CNIL) 欧州・国際業務部長 DPAの一員として、CNILはBCR承認獲得に対する企業の関心が非常に高まっていること を実感しています。2008 年以前、BCR 承認を受けた企業はわずか 2 社でした。2008 年 以降、BCR承認企業は17社に達しましたが、 このうち7社はCNILが主管データ保護当局 の役目を担っています。現在申請中の BCR は 29 件でこのうち 10 件は CNIL の主管で す。29件とも2012年に承認されると予想しています。 CNILはできる限り迅速な処理に努めていますが、処理のスピードを左右しているのはデー タ保護当局に限りません。企業内部における十分な調整もまた要求されます。 とはいえ、 私たちはプロセスの迅速化に多く取り組んできました。2 年前、EU が相互承認手順を確 立し、 これによってプロセスが大幅に簡素化されています。2009 年以前は、申請プロセ スの一環としてすべてのデータ保護当局に意見を打診する必要がありましたが、現在 は、DPAが作業を行うときに、相互承認制度に参加している20のデータ保護機関の作業 も代行して行います。ほかのデータ保護機関は DPA が行った作業を承認し、同じ作業を 繰り返す必要がありません。 申請を受け付けるたびに、私たちは経験を蓄積しています。職員の知識が豊富になり、デ ータ保護機関として、企業に何を要求すべきなのかに対する理解が深まっています。私た ちは申請者と良好な関係を築いています。私たちが直接かかわることで、 より良いコミュ ニケーションが生まれています。 これは、企業にとって、データ保護機関が何を求めている のかを知り、 どういうコンプライアンス体制を導入すべきなのかを理解する優れた方法 です。 現在私たちは、サードパーティ・サービス・プロバイダーに対するBCRを策定中です。 この 新たな枠組みは、特にクラウドコンピューティングに適したツールとして、2012年中に利 用可能になる見込みです。 14 Insights Insights on on IT IT risk risk プライバシー専門家の数がプライバシー専門部署外で増加 プライバシー専門家の定義が変わってきています。プライバシー は多くの専門分野にまたがるテーマであり、企業のさまざまな部 署の知識が求められるほか、情報の利害関係者の理解と協力も 必要です。プライバシーの専門担当者が存在する一方で、プライ バシーに関するスキルと知識がほかの業務と融合していく傾向 がみられます。人事、セキュリティ、IT、内部監査、マーケティング、 記録管理などの部署でも、業務の一部としてのプライバシーへの 取組みが増えてきています。 果や、効率性向上の必要性から行われているものですが、その結 果として、今日の企業におけるプライバシー専門家の役割は再定 義されることになりました。 常勤のプライバシーオフィサーについて言えば、アーンスト・アン ド・ヤングが「プライバシートレンド2011」で予測したとおり、企 業は専従のプライバシー専門家の雇用を増やしており、不況時の プライバシーオフィスの人員削減傾向からの転換がみられます。 次ページに詳細をご紹介するとおり、国際プライバシープロフェッ 企業における情報の利害関係者の多くが、次第に、所属部署での ショナル協会(IAPP)会長兼CEOのJ.トレヴァー・ヒューズ氏によ プライバシー管理について、専門知識までは要求しないまでも、 ると、IAPPは、70カ国に9,200人の会員を擁しており、その人数 少なくとも一般的な知識は必要であると認識するようになってき は過去 2 年間だけで約 50% 増加しています。ただし、新会員の多 ています。プライバシー管理における業務間の連携した取組み くはプライバシー対応を主要業務としておらず、肩書きにもプラ は、全体としてはコンプライアンスの欠陥により生じた損失の結 イバシーという言葉は使われていません。 考えてみましょう • プライバシー保護に関するリスクとコンプライアンスの管理を支援する情報に関する主要な利害 関係者を特定できていますか? • プライバシープログラムの実施に日常的に関与する専門家に対して、プライバシー関連のリソー ス、知識、認証に関するアクセスを提供していますか? Insights on IT risk 15 変わりゆくプライバシー専門家 プライバシー専門家のコミュニティとして、IAPPは、 プライバシー専門家の姿が年々どの ように変わっていくかを目の当たりにしてきました。当協会は、70カ国に9,200名の会員 を擁していますが、さまざまな基準からすると大企業とは言えず、設立からまだ10年の企 業です。 しかし、世界大恐慌以降ほぼ間違いなく最悪の経済情勢だった過去 24カ月間 に、当協会の会員数はおよそ50%増加しました。2009年1月1日の時点では5,000名だ ったのが、2010 年 12月末までに7,500 名に増えています。企業内のあらゆる部門がど こもリソースを削減するなかで、プライバシー面は相当規模の投資を獲得したのだとい うことです。 J・トレヴァー・ヒューズ J. Trevor Hughes 国際プライバシープロフェッショナル協会 (IAPP)会長兼CEO 会員数の伸びに加え、IAPPは、企業においてプライバシー専門家が果たす役割の変化に も注目しています。多くの企業がプライバシー問題の中心的な役割を担う部門をもってい ます。大企業ともなると、プライバシー機能の成熟に貢献するプライバシーリーダーと少 人数のチームが存在しています。さらに現在の傾向は、 プライバシー専門家という位置付 けではないにもかかわらず、担当職務に企業のプライバシー保護を含む人々がいるとい うことです。まさにこれが当協会の会員数急増の最大原因と思われます。 今日、 プライバシー関連で最も成長している分野は、企業のリスクマネジメントです。デー タを扱う従業員は今後ますます、過去に受けたプライバシー関連の基礎研修で教わった 以上のことを理解する必要があります。人事、マーケティング、IT、 プロジェクトマネジメン トなどの各担当者は、単純な間違いを犯さないように意識しながら、企業内のプライバシ ーの問題を特定して問題提起できるように、プライバシーやデータ保護について十分に 知っておく必要があります。その観点から言えば、プライバシー専門家の数は今後、数万 人規模に増えるでしょう。それらの人々は、自分ではプライバシー専門家だという認識は なくても、その知識やスキルは現在の経験の浅いプライバシー専門家に匹敵するように なっていくでしょう。 プライバシーに関する説明責任と個人情報保護が企業において重要性を増すにつれ、 プ ライバシーオフィサーの役割も重要性を増してきています。今日のプライバシー専門家は 企業内であまり中心的存在にはなっていませんが、今後数年でそのような状況は変わっ ていくと思われます。法規制に関しては、政策立案者も法規制では十分な対応が難しいと 認識してきています。つまり、法律ではすべての問題に対応できないし、 タイムリーな対応 もできないという認識です。 このため、今後のプライバシー専門家は、 これまで以上に実 務に関与し、優れたビジネス・マネジメント・スキルとプライバシーに関する深い知識を 備えていくでしょう。そして、プライバシーの価値を浸透させ、コンプライアンス要件を満 たすPbD、BCRなどの包括的なプライバシープログラムの原則の導入と実施を任される でしょう。 プライバシー専門家は、そうした状況において、本来あるべき姿としてその中心 的な存在となります。 16 Insights on IT risk SOC2報告書、本格的運用へ プライバシーに関する業務運用と内部統制がいかに強固な企 業であっても、外部委託先(受託会社)が同じように強固な業務 運用及び内部統制を構築していなければ、プライバシーに対す る責任を果たすことはできません。多くの企業は、受託会社に対 して、プライバシーに関する業務運用及び内部統制を構築する よう求めています。 しかし、重要な受託会社が責任を果たしてい ることを検証するのは、一般的に困難で費用がかかります。その 結果、企業は、受託会社に対して、プライバシーおよびセキュリテ ィ態勢に関する独立した第三者機関の評価を受けるよう求めて きました。従来、受託会社は米国監査基準書第 70 号に基づく報 告書(SAS70 報告書)を利用してこうした要求に応じてきました が、SAS70 報告書は本来プライバシーあるいはセキュリティに 焦点を合わせた報告書ではありませんでした。 2011 年、米国公認会計士協会(AICPA)は、受託会社の内部統 制の新たな枠組みとなる「受託会社におけるセキュリティ、可用 性、処理のインテグリティ (完全性)、機密保持およびプライバシ ーに関する内部統制報告書( SOC2)」を公表しました。SOC2 報 告書は AT101(保証業務基準 101 )に準拠して実施され、財務 報告以外の目的で作成されてきたSAS70報告書に取って代わり ましたが、SAS70の報告形式は踏襲されました。 SOC2報告書は、 「Trustサービス(情報システムの信頼性や電子 商取引の安全性などに係る内部統制についての保証)の原則と 基準」に基づく独立した保証を提供しています。 これにより、企業 は、単なる財務報告のみならず、幅広いサービス提供に対する保 証を提供することができるようになりました。 SOC2報告書は、受託会社が提供するシステムとサービスにかか SOC2報告書には、下記の情報が含まれます。 • 独立した受託会社監査人の意見 • 受託会社確認書 • 対象範囲のサービスを提供するシステムに関する記述書 • 選定された原則に基づく対象範囲内の規準に対応する内部統 制についての記述 • 実施したテストおよびそのテスト結果についての独立監査人 による記述 SOC2報告書業務は、次の3段階によって実施されます。 1. 監査人が、内部統制のギャップを識別するためにリスク評価 を行う。 2. 報告主体である受託会社が、ギャップを是正するための内部 統制を構築適用し、懸念事項を改善する。 3. 監査人が、実施した統制をテストし、その結果に基づいて報告 書を発行する。 SOC2 の枠組みは、テストの整合性と効率性を確保するために、 ほかの枠組み(例えば、ISO27001や、業界団体であるクラウド・ セキュリティ・アライアンスのクラウド・コントロール・マトリックス など)にマッピングされるようになっています。最近アーンスト・ア ンド・ヤングがロンドンで主催した円卓会議では、 「複数の証明に またがって保証を提供する際に、SOC2報告書のために行う作業 がどのようなものかを示すうえで、マッピングの存在は大変重要 だ2 という指摘が参加者から寄せられています。 2012 年は、SOC2 報告書が初めて1 年間という単位を過ごす 年です。企業が「一般に公正妥当と認められたプライバシー原則 わるプライバシー、セキュリティ、機密保持、インテグリティ、可用 (GAPP)」に対応した内部統制を実施するように努めるなか、監 性の課題への対応能力を示すことで、受託会社が透明性とクライ 査人は SOC2 の第 1 段階の作業で不備を多数見つけることにな アントに対する説明責任をもてるようにするものです。 ると予想しています。 このため、多くの企業が 2012年を改善の年 外部委託を行う企業は、SOC2 報告書を利用して、ガバナンスと として捉え、2013 年になってからSOC2 報告書の幅広い利用が 受託会社の監督を強化することにより、株主やほかの利害関係者 みられるであろうとみています。 への説明責任を果たすことができます。 考えてみましょう • プライバシーおよびセキュリティのモニタリングメカニズムとして、 これまで受託会社のSAS70報 告書に頼ってきましたか? • 個人情報の取扱いに関して、SOC2報告書にどのような内部統制を含めることを期待しているか、 受託会社と話し合いましたか? 2 アーンスト・アンド・ヤング「SOC 2 - Assurance s silver bullet?(SOC2- 保証の特効薬?) 」2011年7月 Insights on IT risk 17 GAPP 「一般公正妥当と認められたプライバシー原則(以下「GAPP」)は、国際的なプライバシー 関連規制の要件と先進事例を抜き出して、10カ条の原則に基づく一つの枠組みにまとめ られたもので、AICPAとカナダ勅許会計士協会(CICA)が策定しました。GAPP は、監査人 がプライバシー監査を行う際に使用する「Trustサービスの原則と基準」です。 この10カ条 の原則は、個人情報保護に対して優れたプライバシーとセキュリティの実務とは何かを定 義しています。 1. 管理 事業体は、プライバシーに関するポリシーおよび手続きについての説明責任を 定義、文書化、伝達し、かつ担当者を任命する。 2. 通知 事業体は、プライバシーに関するポリシーおよび手続きに関する通知を行い、 個人情報を収集、使用、保存、開示する目的を明確にする。 3. 選択と同意 事業体は、個人が(自らの情報提供について)どのような選択肢をもつの かを説明し、個人情報の収集、使用、および開示について黙示的または明示的な同意 を得る。 4. 収集 事業体は、通知で特定した目的に限って個人情報を収集する。 5. 利用と保持 事業体は、通知で特定し、本人が黙示的または明示的に同意した目的に 限って、個人情報を使用する。事業体は、事前に表明した目的を達成するために必要 な期間、または法規制により義務付けられた期間に限って個人情報を保管し、その後 は当該情報を適切に処分する。 6. アクセス 事業体は、個人に対し、本人の情報のレビューおよび更新を行うためのア クセスを提供する。 7. 第三者への開示 事業体は、通知で特定した目的に限り、本人の黙示的または明示的 な同意の下に、個人情報を第三者に開示する。 8. プライバシーのためのセキュリティ 事業体は個人情報を不正アクセス(物理アクセス と論理アクセスの両方)から保護するものとする。 9. 品質 事業体は、通知に特定された目的のために正確、完全、妥当な個人情報を維持 管理する。 10. モニタリングと周知徹底 事業体は、プライバシーポリシーと手続きの遵守状況を監 視する。また、 プライバシー関連の苦情および紛争3を解決するための対応策を用意し ている。 3 GAPPの概要については下記サイトを参照。http://www.aicpa.org/InterestAreas/InformationTechnology/ Resources/Privacy/GenerallyAcceptedPrivacyPrinciples/DownloadableDocuments/10261378ExecOver viewGAPP.pdf 18 Insights on IT risk サイバーリスクがプライバシー保護にもたらす影響 セキュリティの欠陥問題が注目を集めたことにより、多くの企業 にとって、プライバシー保護は真っ先に対応すべき課題となりま した。ハッカーがオンラインネットワークやシステムにアクセスし て、名前、住所、パスワード、 クレジットカード情報などの顧客の個 人データを詐取するという事例がいくつかありました。 このような プライバシー侵害による財務面のコストは、たいていの場合、数 万から数百万米ドルとかなり高額になっています。 しかし、多くの 場合、企業のブランドや評判が被る損害はそれよりもはるかに大 きなものです。 サイバーリスクについて考える場合、セキュリティの侵害を想定 しがちですが、プライバシー保護の観点からみた場合、 リスクの 範囲は大幅に拡大します。 新たな技術により、モバイルアプリケーション(アプリ)開発が爆 発的に増加しています。アプリは、企業と消費者の直接のコミュ ニケーションの機会を提供します。2012 年には、タブレットやモ バイル機器用のアプリを開発する企業はさらに増えると予測さ れます。消費者と直接やりとりし、その行動をつぶさに知ることが できるのは魅力的です。有利な情報は何でも手に入れたいと考 える企業の多くが、すでに、プライバシーへの影響を考慮するこ となく、消費者の行動や好みを追跡しています。このようななか で、2012年は、新たな技術の利用と、既存のプライバシープログ ラムやそれまでに公表していたプライバシー通知との整合性を 取ることが、多くの企業にとって大きな課題となるでしょう。 ソーシャルネットワーキングは、 とりわけビジネス目的の場合、同 様のプライバシーの問題を引き起こします。アーンスト・アンド・ ヤングが「プライバシートレンド 2011」で述べたとおり、一部の 企業は、商品やサービスの販売促進と、顧客との直接的なコミュ ニケーションを目的に、すでにソーシャルネットワークに参入して います。その際には、企業は、顧客が提供する個人情報をなぜ、 ど のように収集するのかについて透明性を確保する必要がありま す。 従業員または従業員となる可能性のある人がソーシャル・ネット ワーキング・サイト上で共有している個人情報を企業がどのよう に扱うかという問題も依然として存在しており、当分は解決され ないでしょう。 企業は、ソーシャル・ネットワーキング・サイト上での従業員の行 動に対する要求事項とその行動を監視するステップを明確に定 める必要があります。2012 年は、従業員も顧客もユーザーであ るソーシャル・ネットワーキング・サイトを職場で利用することに 伴うセンシティブな問題が、企業の大小を問わず、プライバシー に関する一番の懸念事項となります。 新たな技術の普及は、企業と顧客とのコミュニケーションの方法 を根本的に変えました。企業は、アプリの開発と利用によって顧 客と直接の関係を築こうとするのと同様に、スーパークッキーを 使用することのメリットも手に入れようとしています。スーパーク ッキーは、 「フラッシュクッキー」 とも呼ばれ、ユーザーの好みと閲 覧履歴を追跡するよう設計されています。 しかし、通常のクッキ ーとは異なり、検出や削除が非常に難しく、多くの場合、一般的な 業界慣行の限度を超え、また利害関係者との契約や通知に記載 された本来の方針を超えて、ユーザーのデータを密かに収集し ます。当然ながら、そのようなクッキーの使用は、プライバシーに 関する深刻な懸念をもたらします。企業は、収集する情報とその 収集方法について透明性を確保することにより、顧客に対する説 明責任を果たさなければなりません。スーパークッキーの使用を 開示しないことは、多くのユーザーから信頼を裏切る行為とみな され、企業の評判やブランドを著しく損なう結果を招きかねませ ん。 政府もサイバーセキュリティの問題への対処に関心を高めては いるものの、2012 年中に、包括的な改革または法制定で合意が 形成されるとは思われません。従って、企業自身がプライバシー プログラムの要件定義に説明責任を負う必要があるでしょう。ア プリやクッキーを介したデータマイニングがどんなに魅力的であ っても、企業は、信頼される企業市民として自社のブランドや評 判を守り、そうした誘惑に抵抗しなければなりません。 考えてみましょう • ソーシャル・ネットワーキング・サイトやウェブアプリを顧客とのコミュニケーションの改善に利用 できるか検討しましたか? • 現在、採用方針を含む、人的リソース(社員等)を対象としたプライバシーポリシーがありますか ? また、それらのポリシーをさまざまなウェブ技術に適用できるか分析しましたか? • ソーシャル・ネットワーキング・サイトでは、従業員が自分の所属を明らかにしたり、同僚や顧客と 対話をしたりしますが、 こうしたサイト上でのコミュニケーションに関して、従業員に要求事項を明 確に伝えていますか ? Insights on IT risk 19 職場で利用が広がる個人用モバイルツール ノートパソコン、スマートフォン、タブレットにおいて重複する機 能が増えるにつれ、あらかじめ設定済みのシステムを備えた機器 を貸与するかわりに、従業員が個人で所有する機器の使用を許 可する企業が増えています。アーンスト・アンド・ヤングの2011年 「情報セキュリティ・グローバル・サーベイ」では、回答者の 80% 以上が、タブレットコンピュータの使用を計画中、評価中、または 広く使用中であると回答しました。 デバイスの持ち主が変わることで、 これに合う潜在的リスクを特 定し、そのリスクに対処する有効な戦略を策定しなければなりま せん。前述のサーベイにおいて、 タブレットやスマートフォンの採 用は最も重要だと思う技術的課題の第 2 位にランクされ、回答者 の半数以上は、この課題が「困難」または「非常に困難」であると 回答しています。 ポリシー改定と意識向上プログラムは、業務におけるポータブル メディアの使用拡大がもたらすリスクに対処するために企業が採 用している代表的な二つの手段です。追跡・監視ツールを利用す る企業も多く存在します。 しかしこれはプライバシー保護の観点 からすると、懸念材料です。企業は、業務用途においても使用され る従業員の個人所有の機器の監視をどのように行うべきなのか について慎重になる必要があります。例えば会社の情報が処理さ れる機器の一部暗号化など、セキュリティの課題に対応する統制 は存在します。 しかし、従業員のセキュリティポリシー遵守を定義 付ける統制の監視は、プライバシーポリシーを守る必要性とバラ ンスを取る必要があります。 究極的に言って、企業においてプライバシーに関する説明責任を 促進する最も効果的な手段の一つは、最新技術を利用したり、会 社の情報にアクセスしたりする場合の各人の責任について、従業 員に意識させ、かつ理解させることです。 この意識は、ポリシーと いう大枠にとどまらず、ソーシャルネットワーク、ノートパソコン、 タブレットまたはスマートフォンを使用する際の許可事項と禁止 事項について実例に踏み込んだものです。具体的な「すべきこと と、 してはならないことのリスト」は、ポリシーについて伝え、責任 ある使用を促す最も効果的な手段となります。 現在、 タブレットコンピュータを仕事目的で使用することを許可していますか? 該当するものを一つ選択してください。 49% 検討中/ 限定的な使用にとどまる 現在使用しておらず、今後12ヶ月以内に 使用する予定もない 20% 現在、社内で広く使用しており、公式に サポートしている 14% 現在使用していないが今後12ヶ月 以内に使用を予定 現在、社内で広く使用しているが、公式には サポートしていない 11% 9% アーンスト・アンド・ヤング 2011年「情報セキュリティ・グローバル・サーベイ」 考えてみましょう • 個人所有のモバイル機器を業務目的で使うことを従業員に許可していますか? • 最近、 プライバシーポリシーをレビューして、企業によるモバイル機器の使用について網羅されてい るかを確認しましたか ? 20 Insights on IT risk Insights on IT risk 21 「プライバシー・バイ・デザイン (PbD)」 を採用したサンディエゴ・ガス&エレクトリ ックの取組み キャロライン・ウィン Caroline Winn サンディエゴ・ガス & エレクトリック (SDG&E) カスタマーサービス担当 バイスプレジデント カスタマー・プライバシー・オフィサー 22 SDG&Eは、個人情報の機密保持を確実にすることで、お客様のプライバシー権を保護して います。スマートグリッド技術、特にスマートメーターの出現により、SDG&E はお客様の情 報をこれまで以上に多く収集していることを認識しています。プライバシーというテーマは 複雑になりがちですが、お客様にとって重要なものです。当社従業員は、プライバシーおよ び機密保持法を確実に遵守するための方針および手順に従っています。PbD原則をどのよ うに事業運営に取り入れるか検討するために、当社はカナダ・オンタリオ州の情報プライバ シーコミッショナーと協力して取り組む機会を得ました。SDG&E は、アン・カブキアン博士 のチームと連携して、PbDを個々の取組みに組み込む作業を進めてきました。 これまでのと ころ、プラスの結果が生み出されており、今後もこの共同作業を継続することを希望してい ます。 Insights on IT risk 企業に再検討と再生を促すPbRD 2009 年、カナダ・オンタリオ州情報プライバシーコミッショナー の アン・カブキアン博士は、 プライバシーを新たなシステム導入 に組み込むためのモデルである「プライバシー・バイ・デザイン (PbD)」を発表しました。 PbD は、個人情報を保護するための 7 つの基本原則に基づいて います。 1. 事前に予防的に対応すること。 2. プライバシーをITシステムのデフォルト(初期)設定にすること。 3. プライバシーをITシステム設計とアーキテクチャに組み込む こと。 4. ゼロ・サムではなく、ポジティブ・サム・アプローチを取ること。 5. プライバシーを IT セキュリティシステムのライフサイクルの すべての段階で組み込むこと。 6. 可視化し、透明性をもたせること。 7. ユーザーのプライバシー4を尊重すること。 PbD の発表後、米国連邦取引委員会や欧州委員会をはじめとす るいくつかの企業がPbD原則に署名しました。2010年にエルサ レムで開催されたデータ保護およびプライバシーコミッショナー 会議において、参加者は満場一致で、世界の規制当局にPbD 原 則の採用を迫るPbD決議を採択しました。 PbD の重点は、導入当初からプライバシー保護を組み込むこと です。 しかし、大規模な企業の場合、すでに全社的に普及してい る既存レガシーシステムが稼働しているため、最初からプライバ シー保護を組み込むことは現実的ではありません。それを受け て、2011 年 5 月、カブキアン博士とW.P. キャリー・スクール・オ ブ・ビジネス准教授のマリリン・プロシュ博士は「プライバシー・ バイ・リデザイン(PbRD)」を発表しました。 PbRDにおいて、カブキアン博士とプロシュ博士は従来のPbD原 則を拡大し、既存レガシーシステムを対象に含めました。 PbRD原則が企業に求めているのは、以下の事項です。 • 再考 新たなプライバシー重視のアプローチを見いだすこと を目的として、既存のリスク低減戦略、システム、プロセスを再 考すること。 • 再設計 事業の目的を見失うことなくより高いプライバシー保 護基準を達成するため、システムの機能性を再設計すること。 • 再生 プライバシー保護を根本理念5として組み込んだIT変革 によって、システムを再生すること。 プライバシー保護を強化するためのレガシーシステムの再考、再 設計、再生は、企業によるコンプライアンス目標の達成を支援す るだけでなく、コスト節減や業績改善にも貢献します。 アーンスト・アンド・ヤングは、カブキアン博士とプロシュ博士との 共同作業により、大規模IT 変革プロジェクトにおけるPbRD 導入 を詳細に記述した「プライバシー管理の確立に向けて」 と題する 無料冊子を作成しました。 この報告書では、既存の IT 環境におい て高まるリスクとコンプライアンスの必要性に対処するために、 企業が取る必要のあるステップを説明しています。 この既存の IT 環境には、往々にして、 レガシーシステムや融通の利かない技術 的要素の寄せ集めが含まれます。 この報告書では、ネットワーク、 アプリケーション、インフラ層に関連する考察事項を説明し、企業 の IT 環境をプライバシーとセキュリティに配慮して変革するため の5段階のプロセスを紹介しています。 プライバシー問題が単独で IT 変革の中心的な推進要因になるこ とはまずありません。 しかし、企業が IT 変革を決定する際に、プラ イバシー関連の目的を組み込むことは極めて重要です。2012 年には、さらに多くの企業が、PbRDをIT変革プロジェクトに導入 していくと思われます。プライバシーの問題がもたらしかねない リスクを効果的に管理することにより、企業は付加価値を生み出 し、評判とブランドを守って業績を向上させることができます。 考えてみましょう • データ保護に関する統制の有効性にばらつきのある、旧来の技術と新技術の寄せ集めのIT環境で 個人情報を処理していませんか? • 新技術の導入によって、IT 環境のプライバシーおよびデータ保護能力を改善することができます か? それとも、既存の技術やアーキテクチャと連携するソリューションを探す必要がありますか? • IT変革の一環として、PbRD導入を検討しましたか? 4 アン・カブキアン博士 「プライバシー・バイ・デザイン」 、2009年8月/ 2011年1月 http://www.ipc.on.ca/images/Resources/7foundationalprinciples.pdf. 5 アン・カブキアン博士、 マリリン・プロシュ博士「Privacy by ReDesign: Building a Better Legacy(プライバシー・バイ・リデザイン: レガシーの改善) 」2011年5月 Insights on IT risk 23 結論 2012年のキーワードは説明責任です。このテーマは、私たちが特定したあらゆる動向のな かにみられます。説明責任は、企業が認識し対処しなければならない個人情報の取扱いに おける基本的な要素です。 政府がプライバシー規制の対策を講じるのと同じスピードで、業界団体は、政府の介入拡 大を阻止するため自主規制の機会を模索しています。 しかし、最終的に行動を起こさなけ ればならないのは企業自身です。 これまで以上に大きな説明責任を果たすために、多くの企業は、 プライバシーへのアプロー チを見直さなければならなくなるでしょう。効果的な監視ツールの導入から、BCR 承認の 取得、あるいは大規模な IT 変革の一環としての PbRD 導入に至るまで、説明責任の遂行に はさまざまなかたちがあります。 確実に言えることは、2012 年はもはや、企業が説明責任に関して成り行きを見守っている 状況ではないということです。競争で優位に立つためのデータマイニングを優先してプラ イバシーを後回しにする、あるいはコスト節減のためしっかりとしたプライバシー管理に取 り組まないといった誘惑にかられるかもしれません。けれども、プライバシー侵害がもたら すマイナスの結果が高くつくことによって、短期的な利益は失われてしまうでしょう。 インタビューに登場した多くの企業と同様に、企業は、規制当局あるいは消費者が説明責 任を要求するまで静観するのではなく、先頭に立って模範を示していくことを考えるべき時 がきています。 24 Insights on IT risk Ernst & Young アーンスト・アンド・ヤングについて アーンスト・アンド・ヤングは、アシュアランス、税 務、 トランザクションおよびアドバイザリーサー ビスの分野における世界的なリーダーです。全世 界の 16 万 7 千人の構成員は、共通のバリュー(価 値観)に基づいて、品質において徹底した責任を 果します。私どもは、 クライアント、構成員、そして 社会の可能性の実現に向けて、プラスの変化を もたらすよう支援します。 「アーンスト・アンド・ヤング」とは、アーンスト・アンド・ ヤング・グローバル・リミテッドのメンバーファームで構 成されるグローバル・ネットワークを指し、各メンバーフ ァームは法的に独立した組織です。アーンスト・アンド・ ヤング・グローバル・リミテッドは、英国の保証有限責任 会社であり、顧客サービスは提供していません。詳しく は、www.ey.comにて紹介しています。 新日本有限責任監査法人について 新日本有限責任監査法人は、アーンスト・アンド・ ヤングのメンバーファームです。全国に拠点を 持ち、日本最大級の人員を擁する監査法人業界 のリーダーです。品質を最優先に、監査および保 証業務をはじめ、各種財務関連アドバイザリー サービスなどを提供しています。アーンスト・ア ンド・ヤングのグローバル・ネットワークを通じ て、日本を取り巻く世界経済、社会における資本 市場への信任を確保し、その機能を向上するた め、可能性の実現を追求します。詳しくは、www. shinnihon.or.jpにて紹介しています。 © 2012 Ernst & Young ShinNihon LLC. All Rights Reserved. 本書又は本書に含まれる資料は、一定の編集を経た要約形式の 情報を掲載するものです。 したがって、本書又は本書に含まれる 資料のご利用は一般的な参考目的の利用に限られるものとし、 特定の目的を前提とした利用、詳細な調査への代用、専門的な判 断の材料としてのご利用等はしないでください。本書又は本書に 含まれる資料について、新日本有限責任監査法人を含むアーンス ト・アンド・ヤングの他のいかなるグローバル・ネットワークのメ ンバーも、その内容の正確性、完全性、目的適合性その他いかな る点についてもこれを保証するものではなく、本書又は本書に含 まれる資料に基づ いた行動又は行動をしないことにより発生し たいかなる損害についても一切の責任を負いません。 本書は SCORE no. AU1064の翻訳版です。 ED None. 連絡先 ITリスクアドバイザリー部 〒100‐6028 東京都千代田区霞が関三丁目2番5号 霞ヶ関ビルディング28F Tel : 03 3503 1704 E-mail: [email protected]