NRIセキュアテクノロジーズ株式会社(本社:東京都千代田区、代表取締役社長:柿木 彰、以下「NRIセキュア」)は、企業が個人情報等のパーソナルデータ[i]を管理する業務やそれを扱うシステムを対象に、プライバシーに関わるリスク[ii]を評価し、必要な対策案の提示とシステム化の検討、およびその導入までを一貫して支援するコンサルティングサービス「プライバシーリスク評価・パーソナルデータ管理システム化検討支援サービス」(以下「本サービス」)を、本日より提供します。
DX(デジタルトランスフォーメーション)の推進に伴い、個人情報を紙媒体からデジタル端末やオンラインによって収集する企業が増えてきました。各企業では、保有するパーソナルデータを自社の事業活動をより効果的、効率的に行うために統計的に処理、分析し、事業開発やマーケティングなどで活用しています。そのため、多くの企業はこれまで部門ごとに管理していたパーソナルデータを社内で一元管理し、活用できる状態に移行する取り組みに力を入れています。
一方、消費者個人の権利や利益を保護する目的で、日本の改正個人情報保護法やEUのGDPR(一般データ保護規則)など、国内外のプライバシー保護規制はたびたび変更があり、企業への要求事項が厳しくなってきています。行政機関と同様に、企業に対しても個人情報保護評価(PIA)[iii]の実施が個人情報保護委員会から推奨されており、実施する企業が今後増えることが予想されます。
このように、パーソナルデータを取り巻く状況は大きく変化しています。DXの現場では、保護法制の動向を理解し、コンプライアンスとプライバシー保護それぞれの要件を組み込んだ情報システムを構想できる人材が求められていますが、実際には多くの企業でそのような人材は不足しています。
NRIセキュアでは、本サービスを通じて、関連分野に詳しい専門家が企業のパーソナルデータの適切な取り扱いと活用を支援します。具体的には、次の3つのサービスメニューから構成されます(図1を参照)。
- プライバシーリスクを洗い出してPIAの実施を兼ねる「プライバシー影響評価サービス」
- データ提供者のプライバシーに配慮しつつデータ管理・活用を可能とするための「パーソナルデータ管理基盤システム化検討支援サービス」
- パーソナルデータの仮名化・匿名化等、安全にデータを活用するための「プライバシー保護技術導入支援サービス」
図1:企業におけるデータ活用の流れと3つのサービスメニューの位置づけ
各サービスの概要と特長は、以下の通りです。
1.プライバシー影響評価サービス
パーソナルデータを取り扱う「組織」「業務」「システム」について、それぞれ重要と考えられる観点(表1を参照)から評価し、対象企業が抱えるプライバシーリスクを包括的に可視化します。パーソナルデータの取り扱い業務を委託する先の企業についても、評価することが可能です。
国内外の代表的なプライバシー関連ガイドラインや管理基準を参照し作成したフレームワーク「NSF for Privacy」(文末の「ご参考」を参照)を用いて、PIAが求める項目を網羅しながら、「組織」「業務」に加えて「システム」の実態を踏まえた対応状況を効率的かつ実効的に把握することができます。
さらにNRIセキュアでは、プライバシーリスクが見つかった場合に、実施すべき対策の提言や、対策実行時のアドバイザリ支援も行います。これから新規に開始する業務とそれを担うシステムに対する評価や、PIAプロセスを自組織内で継続的に実行するための社内体制・プロセス構築も支援します。なお、これらのサービスの提供においては、プライバシーに関するガバナンス構築等のコンサルティングサービスを提供する株式会社野村総合研究所とも連携し対応することが可能です。
表1:プライバシー影響評価サービスにおける評価の観点
評価対象 |
評価の観点 |
組織 |
・パーソナルデータを取り扱う組織において、必要なルールが整備されているか、必要な体制・役割が整備されているかを評価。 |
業務 |
・業務プロセスごとにパーソナルデータが収集・保管・利用・提供・廃棄されるまでの一連のライフサイクルをフロー図として可視化し、リスクのある取り扱いが行われていないかを評価。 ・業務フロー図において、パーソナルデータの取り扱いを委託する業務委託先を含むステークホルダーを可視化し、業務プロセス全体でリスクのある取り扱いが行われていないかを網羅的に評価。 |
システム |
・パーソナルデータを取り扱うシステム構成を整理し、システム上のどのような経路でデータが取り扱われるか、データの流れを可視化。 ・データの流れをもとに、システム内でリスクのある取り扱いが行われていないか、セキュリティを含む技術的な観点で評価。 |
2.パーソナルデータ管理基盤システム化検討支援サービス
企業がパーソナルデータを積極的に活用するにあたり、その活用方法がデータを提供した消費者個人の意図に合致していないと、プライバシーを侵害しているとみなされるおそれがあります。そのため、消費者が自身のパーソナルデータを主体的に管理でき、同時に企業にとって必要な管理機能も強化していくために、本人が認めた範囲でのみデータ利用が可能となるシステム基盤が重要な役割を果たします。そのようなシステム基盤は、今後も各社で導入が一層増えていくと考えられます。
システム基盤には、具体的にはおもに3つの機能があります。まず消費者に通知した利用目的や本人が同意したことの履歴が管理されること、2つ目として利用目的の範囲内に限ったシステム間のデータ連携や分析の実施、データの保管などが行われること、3つ目が登録されているデータの開示や訂正、利用停止、第三者へのデータ提供停止など、パーソナルデータに対する本人からの請求に対応できることです。
NRIセキュアは、このようなシステム基盤の導入に向けた検討を支援します。改正個人情報保護法への準拠や、デジタルIDの連携・認可に関する標準的技術(OpenID Connect / OAuth 2.0)[iv]の採用、本人同意の取得・撤回に関する履歴管理といったさまざまな機能の実装などを、既存のシステム基盤と比較したフィット&ギャップ分析のもと、個別企業の事業や特性に合わせて提案します。
3.プライバシー保護技術導入支援サービス
NRIセキュアでは、PETs(Privacy-Enhancing Technologies)[ⅴ]と呼ばれるプライバシーに配慮した上でデータを加工・利用するためのデータ匿名化技術の研究開発に取り組んでいます(複数の技術について特許出願中)[ⅵ]。これらの知見に基づき、企業が自社で管理するパーソナルデータや秘密情報を対象としたプライバシー保護技術を導入することを支援します。具体的には、組織内で行われるデータの活用場面に即して、保護対象のデータや通信経路を特定し、想定される外部からの脅威、運用リスク(取引先同士での結託や内部不正)といった観点を踏まえて、パーソナルデータをどの程度、どのような技術を用いていつ加工すべきかの検討を支援します(図2を参照)。
図2:プライバシー保護技術導入支援サービスのイメージ
本サービスの詳細は、次のWebサイトをご参照ください。
https://www.nri-secure.co.jp/service/consulting/privacy-risk-and-personal-data
NRIセキュアでは、ご要望に応じて他のサービスや製品と連携し、プライバシー保護を強化しつつさらなるパーソナルデータの利活用に向けた総合的な支援が可能です。おもなサービスの例として、「パーソナルデータ管理のポリシー・ルール策定」、「攻撃シナリオを想定したリスク分析」、「重要情報の処理等に対するセキュリティログ監視(NeoSoC)」、「BtoCサイトのID統合・SSOソリューション『Uni-ID Libra』[ⅶ]」、さらには「プライバシー・ガバナンスプラットフォーム『OneTrust』[ⅷ]の導入・システム連携」も支援します。
パーソナルデータの利活用は、多くの企業にとって、DXの推進に不可欠な取り組みです。NRIセキュアは、専門的な知見と先進的なソリューションの両面で、パーソナルデータを取り扱うさまざまな企業の安全・安心なサービス提供を支えるシステムの実現を支援します。
[i] パーソナルデータ:氏名や住所などの個人情報だけではなく、位置情報や購買履歴といった個人の行動や状態に関する情報全般を指します。
[ii] プライバシーに関わるリスク:ここでは、パーソナルデータの漏洩、不正アクセスなどに加えて、不適切な推定・判断やそれに伴う差別・偏見など、本人が望まない分析などにパーソナルデータが使われるリスクを指します。
[iii] 個人情報保護評価(PIA):PIAはPrivacy Impact Assessmentの略で、グローバルスタンダードであるISO/IEC 29134:2017(JIS X 9251:2021)においては、パーソナルデータの「処理に関する潜在的なプライバシー影響の、特定、分析、評価、協議、伝達及び対応の計画を立てるための全体的なプロセスであって、組織のより広範なリスクマネジメントの枠組みに組み込まれたもの」と定義されています。わが国においても、個人情報保護委員会が「消費者をはじめとする利害関係者からの信頼性の獲得」などの効果が期待できるとして、企業に対してPIAの実施を促進しています。
[iv] OpenID Connect / OAuth 2.0:OpenID Connectは、Webサービスサイト間で、ユーザーの同意に基づき、ID情報を連携させるための標準フレームワークです。OAuth 2.0は、データやサービスに対するアクセスを利用者の同意に基づいて認可するフレームワークです。
[ⅴ] Privacy-Enhancing Technologies(PETs):プライバシー保護を強化する技術の総称です。その中には、通信経路を隠すための「Tor(The Onion Router/Onion Routing)」、集計対象となった要素の値や性質を集計結果から推察され難くする「差分プライバシー」、情報自体は伝えず情報が満たす性質を証明する「ゼロ知識証明」など多岐にわたる分野が含まれます。詳細は、次のNRIセキュアブログをご参照ください。https://www.nri-secure.co.jp/blog/pets
[ⅵ] 元のデータを維持したままプライバシーに配慮した形にデータを加工できるほか、これらのデータの不正利用が発覚した際には、不正行為の追跡調査ができる技術です。
[ⅶ] BtoCサイトのID統合・SSOソリューション「Uni-ID Libra」:NRIセキュアが開発・販売するBtoCサービス向けの統合IAM(Identity and Access Management)ソリューションです。詳細は次のWebサイトをご参照ください。https://www.nri-secure.co.jp/service/solution/uni-id_libra
[ⅷ] プライバシー・ガバナンスプラットフォーム「OneTrust」:米国OneTrust, LLC.が提供するプライバシーを保護するためのソリューションです。株式会社野村総合研究所を通じての取り扱いになります。詳細は次のWebサイトをご参照ください。https://www.nri.com/jp/news/info/cc/lst/2021/1119_1
ご参考
-
プライバシー影響評価サービスの流れ
-
「NSF for Privacy」について
NSFとはNRI Secure Frameworkの略で、組織・拠点ごとに利用する情報システムや体制のセキュリティレベルを横断的に評価するために、NRIセキュアが策定した標準化フレームワークです。長年にわたるコンサルティングで培ってきたノウハウと、国内および海外の著名なセキュリティ対策基準で掲げられている要求の解釈をもとに、ここ数年のトレンドや脅威の動向を踏まえて評価項目を継続的に更新しています。
「NSF for Privacy」は、NSFの対象範囲をプライバシーの領域に拡張したものです。「NSF for Privacy」で参照した代表的な外部基準には、おもに次のものが含まれます。(各基準の全項目を網羅したものではなく、特定の基準についての準拠を保証するものではありません)
- NIST Privacy Framework Version1.0
- ISO/IEC 29134:2017
- ISO/IEC 27701:2019(PIMS)
- 経済産業省、総務省『DX時代における企業のプライバシーガバナンスガイドブックver1.2』
NSFの詳細については、次のWebサイトをご参照ください。
https://www.nri-secure.co.jp/service/consulting/security_visualization
ニュースに関するお問い合わせ
NRIセキュアテクノロジーズ株式会社 広報担当
E-mail:info@nri-secure.co.jp