PwCグループは9月11日、「データの積極活用を見据えた『攻め』の個人情報管理とは」と題する報道機関向けの説明会を開催した。個人データを活用したビジネスを検討する企業に向けて、プライバシーやセキュリティへより配慮した取り組みが必要だと提起している。
説明会では、同社が2017年に実施した「第20回 グローバル情報セキュリティ調査」などの結果を引用して、企業における個人データ管理の現状やプライバシーに対する消費者意識の様子が紹介された。その趣旨は、5月に欧州で「一般データ保護規則(GDPR)」が施行されるなど、個人データやプライバシーの世界的な保護施策が拡大していることや、個人データのビジネス活用を期待する企業が増えていることから、個人データ活用の“前提”という取り組みを啓発するためだという。
まず企業の現状では、サイバーセキュリティ投資や個人データ利用の透明性(利用目的や方法などに関する周知といった取り組み)の確保に積極的に取り組んでいる最高経営責任者(CEO)が、世界的に半数程度にとどまること、また、企業が責任を持って取り組んでいると思う消費者が25%であるといった結果を示した。
プライバシー責任者を設置しているという企業は約3分の2あり、時価総額250億ドル以上の企業でセキュリティ戦略やプライバシーに関する従業員教育、適切なデータ管理、第三者による監査といった取り組みをしている割合も6割強だという。一方で約3分の1の企業は、こうした取り組みが不十分だと指摘している。
消費者意識では、61%がIT製品を選ぶ際にセキュリティやプライバシー機能を考慮しているといい、27%はこうした機能がより良いものなら追加費用を払う意思があること、また、米国消費者の75%がスマートホーム機器のセキュリティ強化を希望しているといった様子を紹介した。
これらを踏まえてPwCグループは、日本企業がビジネスで個人データを活用するなら、(1)データ管理の主導権を個人に返却すること、(2)個人データを提供したくなるインセンティブを個人に与えること――の2つのアプローチがポイントになると提起する。
(1)に関しては多くの企業などが個人情報保護法などに基づく管理を行っているものの、個人側ではその具体的かつ詳細な状況を把握しづらく、企業側の管理体制に不安を抱いていると指摘する。そこで管理状況を個人側に開示し、データ利用の可否や範囲の許諾あるいは永久的な削除といった権限を個人が容易に行使できるようにすることで、個人側の不安の解消につながる可能性があるとの見解を示した。
(2)では、個人が納得した上で自身のデータを企業側へ提供することにより得られる“メリット”がポイントになるという。例えば、米国の宿泊業では利用者が行動履歴データなどを企業へ提供することにより、企業側が利用者ごとに満足度を高めるためのさまざまな施策を実施したり、生命保険会社では契約者の健康状態に応じて保険料を割り引いたりする事例があるという。
「プライバシー・バイ・デザイン」の実践における組織的取り組みのイメージ例
また、企業側がこうしたアプローチをしていく上では「プライバシー・バイ・デザイン」という考え方に基づくビジネスを実践することも必要だと指摘する。プライバシー・バイ・デザインとは、ビジネスモデルなどの企画や設計の段階から個人データやプライバシーの保護・配慮を前提にした仕組みやプロセス、対策、管理などを盛り込んでおくことを指す。その実践では、ビジネスに関与する部門や人員ごとに役割や行動様式を徹底することが大事だと説いた。
ビジネスでの個人データ活用には、GDPRに代表される世界的な規制強化の流れや域外移転(規制対象地域へのデータの移動など)に関する協議、また国内では政府による個人データ流通に関与する「情報銀行」の検討など、さまざまな局面が浮上している。PwCグループは、こうした動向を踏まえて上記のような取り組みの促進が企業に求められるとした。