編集部からのお知らせ
記事まとめPDF「日本のスタートアップ」
お勧め記事まとめPDF「マイクロサービス」

高まる個人情報管理に対する要求、プライバシーガバナンスを効率的に実現する鍵は?

ZDNet Japan Ad Special

2022-04-22 11:00

[PR]デジタルトランスフォーメーション(DX)に取り組む中で、個人情報も含めたデータの活用・分析は重要な要素であり、新たな価値を生み出す源泉となります。ですがあくまでその扱いは法規制に則り、適切なものでなくてはなりません。

 デジタルトランスフォーメーション(DX)に取り組む中で、個人情報も含めたデータの活用・分析は重要な要素であり、新たな価値を生み出す源泉となります。ですがあくまでその扱いは法規制に則り、適切なものでなくてはなりません。「Microsoft Priva 社内の個人情報の管理とデータ主体からの要求を迅速に処理する新しいソリューション」では、どのように個人データを扱い、プライバシーガバナンスを実現するかのポイントを紹介していきます。

グローバルで高まる、個人データ・プライバシー管理に関する法規制の要求

 2022年4月1日に改正個人情報保護法が施行され、対応に追われた企業は多かったのではないでしょうか。この改正法もそうですが、今、世界各国でデータプライバシーに関する法規制が新たに制定されたり、強化されたりしています。

 最もインパクトの大きかったのは、EUにおける一般データ保護規則(GDPR)でしょう。EU圏に本拠を置く事業者だけでなく、EU在住者の個人データを扱う事業者にさまざまな保護策・対応体制の整備を求めており、違反した場合には高額な制裁金が科されます。こうした動きは米国、中国など世界各国で進んでおり、今や、包括的なデータプライバシー法令を制定している国と地域は、2021年1月時点で133ヶ国に上ります。

 一連の動きを背景に、企業には、これまで実施してきたプライバシー管理に加え、さらに踏み込んだ対応が求められる可能性があります。

 たとえば個人情報保護法制度改正大綱では、「個人データの取り扱いに関する責任者の設置やプライバシー影響評価(PIA)の実施など、自主的な取り組みが必要」とされています。

 経済産業省が公開している「DX時代における企業のプライバシーガバナンスガイドブック」では、プライバシーガバナンスを構築する上で、5つの重要項目を挙げています。

 まずは、プライバシー保護組織の設置をはじめ、プライバシー問題・保護に関する体制を構築すること。2つ目は運用ルールを策定し、周知すること。3つ目は、個々の従業員がプライバシー意識を持つよう、企業内にプライバシーに関する文化を醸成していくことです。そして4つ目は、一連の取り組みを広く知らせ、消費者と継続的にコミュニケーションしていくこと、最後は、ビジネスパートナーやグループ企業、あるいは投資家・株主、行政機関など、それ以外のステークホルダーとのコミュニケーションが挙げられています。

 そして、こうしたプライバシーガバナンスを構築していく上で重要な役割を果たすのが、プライバシー影響評価(PIA)です。

 昨今、セキュリティ対策を進める際の第一歩は「リスク評価」であることは、認識されつつあると思います。自社は何を守ろうと考えているのか、その資産を取り巻くリスクは何なのかを特定することではじめて、具体的な対策が立案できます。

 同じようにプライバシー管理や個人情報の取り扱いにおいても、まずはリスク分析・評価が必要でしょう。PIAはまさにそうした考え方を具体化したもので、個人情報が自社でどのように収集・保管・利用・移転・削除されているかを洗い出し、アセスメントしていきます。そしてその結果に基づいて、各フェーズでどのような対策を取るかを検討していきます。許容範囲であるとして保有するリスクもあれば、ルール・規定の整備やシステム的な制御を行って低減させるリスクもあるでしょう。いずれにせよ、リスクベースのアプローチが重要になります。

手作業では非現実的な個人情報の検索・可視化やSRR対応を支援

 総論として、PIAに基づくプライバシーガバナンスの構築の必要性が理解できたとして、問題は、それを具体的にどのように進めていくかです。リスクを分析するには、そもそも自社がどのような個人データを保有しているかの洗い出しにはじまり、それらデータがポリシーに沿って適切に扱われているかを確認していかなければいけません。

 また、個人データの所有者であるユーザーから、利用停止や消去、保有している個人データについての開示といった依頼があった場合に迅速に対応できる体制が整っているかどうかもポイントです。

 デジタル化が進む一方の現在、一連の処理を手作業でやるのはおそらく非現実的でしょう。実は、そこを補うソリューションを、マイクロソフトでは提供しています。それが「Microsoft Priva」で、Microsoft 365のプラットフォームに統合されたプライバシー管理ソリューションです。

 Microsoft Privaが提供する機能は主に2つあります。1つは「Privacy Risk Management」で、組織に存在する個人情報の検索、視覚化を行い、ポリシーに基づいて、好ましくないデータ転送や必要以上のデータの過度な公開を抑制したり、不要な個人情報を最小化するといった制御を行うことができます。

 もう一つは、データ主体であるエンドユーザーからのさまざまな要求、「Subject Rights Requests」(SRR)に応える機能です。企業内にはExchange OnlineやSharePoint Online、OneDrive for buisinessなどさまざまなリソースがあります。たとえばデータの使われ方について開示要求があった場合、それぞれ個別に手作業で探していては、手間も時間もかかります。Microsoft Privaは環境内の個人データを横断的に検索し、その結果をレポートとして出力できます。これにより、SRRに迅速に対応できる体制を整えることができるでしょう。

 動画では、実際の設定画面も交えながら、組織内の個人データをどう把握・制御し、データ主体からの要求に応えていくかの例を紹介しています。ぜひ参考にしてください。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]