プライバシーリスク評価・パーソナルデータ管理システム化検討支援サービス

NRIセキュアテクノロジーズ株式会社 

2023-09-06

プライバシーに関わるリスクを評価し、対策案の提示とシステム化の検討、その導入までを 一貫して支援するコンサルティングサービス

製品概要

企業が個人のパーソナルデータを管理する業務を対象に、コンプライアンスやプライバシー保護と、データの利活用の両立の実現を支援します。

パーソナルデータの利活用は、多くの企業にとって、DXの推進に不可欠な取り組みです。関連分野に詳しい専門家が、パーソナルデータを取り巻く状況と保護法制の動向を踏まえながら、コンプライアンスとプライバシー保護それぞれの要件を組み込んだシステム化の検討を支援し、企業のパーソナルデータの適切な取り扱いと活用を支援します。

■3つのサービスメニュー
1.プライバシーリスクの洗い出し、PIAの実施ができる「プライバシー影響評価サービス」
パーソナルデータを取り扱う「組織」「業務」「システム」について、それぞれ重要と考えられる観点から評価し、プライバシーリスクを包括的に可視化します。パーソナルデータの取り扱い業務を委託する先の企業についても、評価することが可能です。

国内外の代表的なプライバシー関連ガイドラインや管理基準を参照し作成したフレームワーク「NSF for Privacy」を用いて、個人情報保護評価(PIA)が求める項目を網羅しながら、「組織」「業務」に加えて「システム」の実態を踏まえた対応状況を効率的かつ実効的に把握することができます。

さらにNRIセキュアでは、プライバシーリスクが導出された場合の実施すべき対策の提言や、実行時のアドバイザリ支援も行います。これから新規に構築するシステムおよび業務に対する評価や、PIAプロセスを自組織内で継続的に実行するための社内体制・プロセス構築も支援します。プライバシーに関するガバナンス構築等のコンサルティングサービスを提供する、株式会社野村総合研究所とも連携し対応することも可能です。

2.プライバシー配慮とデータ活用を両立するための「パーソナルデータ管理基盤検討支援サービス」
パーソナルデータを積極的に活用するにあたり、その活用方法がデータを提供した消費者個人の意図に合致していないと、プライバシーを侵害しているとみなされるおそれがあります。そのため、消費者が自身のパーソナルデータを主体的に管理でき、同時に企業にとって必要な管理機能も強化していくために、本人が認めた範囲でのみデータ利用が可能となるシステム基盤が重要な役割を果たします。

システム基盤には、具体的にはおもに3つの機能があります。

①消費者に通知した利用目的や本人が同意したことの履歴が管理されること
②利用目的の範囲内に限ったシステム間のデータ連携や分析の実施、データの保管などが行われること
③登録されているデータの開示や訂正、利用停止、第三者へのデータ提供停止など、パーソナルデータに対する本人からの請求に対応できること

NRIセキュアでは、このようなシステム基盤の導入に向けた検討を支援するにあたり、改正個人情報保護法への準拠や、デジタルIDの連携・認可に関する標準的技術(OpenID Connect / OAuth 2.0)の採用、本人同意の取得・撤回に関する履歴管理といったさまざまな機能の実装などを、既存のシステム基盤と比較したフィット&ギャップ分析のもと、個別企業の事業や特性に合わせて提案・実行します。

3.パーソナルデータの適切な仮名化・匿名化のための「プライバシー保護技術 導入支援サービス」
NRIセキュアでは、企業が管理するパーソナルデータや秘密情報を対象として、仮名化・匿名化を行う技術を新たに開発しました(特許出願中)*。これに加えて、PETs(Privacy-Enhancing Technologies)と呼ばれるプライバシーに配慮した上でデータを加工・利用するための技術や、国内外のガイドラインに関する知見をもとに、保護対象のデータや通信経路、想定される外部からの脅威、運用リスク(結託や内部不正)といった観点を踏まえて、パーソナルデータをどの程度、どんな技術を用いていつ加工すべきかの検討を支援します。

*元のデータを維持したままプライバシーに配慮した形にデータを加工できるほか、これらのデータの不正利用が発覚した際には、不正行為の追跡調査ができる技術です。

特徴

お客様に選ばれる理由
1.独自に開発したフレームワーク「NSF for Privacy」を用いて評価
NSFとはNRI Secure Frameworkの略で、組織・拠点ごとに利用する情報システムや体制のセキュリティレベルを横断的に評価するために、NRIセキュアが策定した標準化フレームワークです。「NSF for Privacy」は、NSFの対象範囲をプライバシーの領域に拡張し、国内外の代表的なプライバシー関連ガイドラインや管理基準を参照し作成したものです。

これにより、評価項目の抜け漏れが生じることなく、プライバシーに関する自社の対応状況を効率的かつ実効的に把握でき、個人情報保護評価(PIA)が求める項目についても網羅しています。

「NSF for Privacy」で参照した代表的な外部基準には、おもに次のものが含まれます。(各基準の全項目を網羅したものではなく、特定の基準の準拠を保証するものではありません)

・NIST Privacy Framework Version1.0
・ISO/IEC 29134:2017 (JIS X 9251:2021)
・ISO/IEC 27701:2019(PIMS)
・経済産業省、総務省『DX時代における企業のプライバシーガバナンスガイドブックver1.2』

2.パーソナルデータの利活用に向けた総合的な支援が可能
NRIセキュアでは、企業のご要望に応じて他のサービスや製品と連携し、プライバシー保護を強化しつつさらなるパーソナルデータの利活用に向けた総合的な支援が可能です。

おもな例:
・パーソナルデータ管理のポリシー・ルール策定、攻撃シナリオを想定したリスク分析
・重要情報の処理等に対するセキュリティログ監視(NeoSoC)
・BtoCサイトのID統合・SSOソリューション「Uni-ID Libra」とのシステム連携
・プライバシー・ガバナンスプラットフォーム「OneTrust」の導入・システム連携

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]