DXにより、パーソナルデータを利活用する機会が増えたが安全に管理できているか不安
プライバシーリスク評価・パーソナルデータ
管理システム化検討支援サービス
プライバシーに関わるリスクを評価し、対策案の提示とシステム化の検討、その導入までを
一貫して支援するコンサルティングサービス
プライバシーに関わるリスクを評価し、対策案の提示とシステム化の検討、その導入までを
一貫して支援するコンサルティングサービス
DXにより、パーソナルデータを利活用する機会が増えたが安全に管理できているか不安
コンプライアンスとプライバシー保護要件を組み込んだ情報システムを実現したい
プライバシー保護規制の動向を理解しシステム化を構想できる人材が不足している
企業が個人のパーソナルデータを管理する業務を対象に、コンプライアンスやプライバシー保護と、データの利活用の両立の実現を支援します。
パーソナルデータの利活用は、多くの企業にとって、DXの推進に不可欠な取り組みです。関連分野に詳しい専門家が、パーソナルデータを取り巻く状況と保護法制の動向を踏まえながら、コンプライアンスとプライバシー保護それぞれの要件を組み込んだシステム化の検討を支援し、企業のパーソナルデータの適切な取り扱いと活用を支援します。
パーソナルデータを取り扱う「組織」「業務」「システム」について、それぞれ重要と考えられる観点から評価し、プライバシーリスクを包括的に可視化します。パーソナルデータの取り扱い業務を委託する先の企業についても、評価することが可能です。
国内外の代表的なプライバシー関連ガイドラインや管理基準を参照し作成したフレームワーク「NSF for Privacy」を用いて、個人情報保護評価(PIA)が求める項目を網羅しながら、「組織」「業務」に加えて「システム」の実態を踏まえた対応状況を効率的かつ実効的に把握することができます。
さらにNRIセキュアでは、プライバシーリスクが導出された場合の実施すべき対策の提言や、実行時のアドバイザリ支援も行います。これから新規に構築するシステムおよび業務に対する評価や、PIAプロセスを自組織内で継続的に実行するための社内体制・プロセス構築も支援します。プライバシーに関するガバナンス構築等のコンサルティングサービスを提供する、株式会社野村総合研究所とも連携し対応することも可能です。
プライバシー影響評価サービスにおける評価の観点
評価対象 |
評価の観点 |
組織 |
・パーソナルデータを取り扱う組織において、必要なルールが整備されているか、必要な体制・役割が整備されているかを評価。 |
業務 |
・業務プロセスごとにパーソナルデータが収集・保管・利用・提供・廃棄されるまでの一連のライフサイクルをフロー図として可視化し、リスクのある取り扱いが行われていないかを評価。 ・業務フロー図において、パーソナルデータの取り扱いを委託する業務委託先を含むステークホルダーを可視化し、業務プロセス全体でリスクのある取り扱いが行われていないかを網羅的に評価。 |
システム |
・パーソナルデータを取り扱うシステム構成を整理し、システム上のどのような経路でデータが取り扱われるか、データの流れを可視化。 ・データの流れを元に、システム内でリスクのある取り扱いが行われていないか、セキュリティを含む技術的な観点で評価。 |
評価の流れ
パーソナルデータを積極的に活用するにあたり、その活用方法がデータを提供した消費者個人の意図に合致していないと、プライバシーを侵害しているとみなされるおそれがあります。そのため、消費者が自身のパーソナルデータを主体的に管理でき、同時に企業にとって必要な管理機能も強化していくために、本人が認めた範囲でのみデータ利用が可能となるシステム基盤が重要な役割を果たします。
システム基盤には、具体的にはおもに3つの機能があります。
①消費者に通知した利用目的や本人が同意したことの履歴が管理されること
②利用目的の範囲内に限ったシステム間のデータ連携や分析の実施、データの保管などが行われること
③登録されているデータの開示や訂正、利用停止、第三者へのデータ提供停止など、パーソナルデータに対する本人からの請求に対応できること
NRIセキュアでは、このようなシステム基盤の導入に向けた検討を支援するにあたり、改正個人情報保護法で求められるユーザへの対応や、デジタルIDの連携・認可に関する標準的技術(OpenID Connect / OAuth 2.0)の採用、本人同意の取得・撤回に関する履歴管理といったさまざまな機能の実装などを、既存のシステム基盤と比較したフィット&ギャップ分析のもと、個別企業の事業や特性に合わせて提案・実行します。
NRIセキュアでは、企業が管理するパーソナルデータや秘密情報を対象として、仮名化・匿名化を行う技術を新たに開発しました(特許出願中)*。これに加えて、PETs(Privacy-Enhancing Technologies)と呼ばれるプライバシーに配慮した上でデータを加工・利用するための技術や、国内外のガイドラインに関する知見をもとに、保護対象のデータや通信経路、想定される外部からの脅威、運用リスク(結託や内部不正)といった観点を踏まえて、パーソナルデータをどの程度、どんな技術を用いていつ加工すべきかの検討を支援します。
データ加工・利用の流れと支援イメージ
*元のデータを維持したままプライバシーに配慮した形にデータを加工できるほか、これらのデータの不正利用が発覚した際には、不正行為の追跡調査ができる技術です。
1
NSFとはNRI Secure Frameworkの略で、組織・拠点ごとに利用する情報システムや体制のセキュリティレベルを横断的に評価するために、NRIセキュアが策定した標準化フレームワークです。「NSF for Privacy」は、NSFの対象範囲をプライバシーの領域に拡張し、国内外の代表的なプライバシー関連ガイドラインや管理基準を参照し作成したものです。
これにより、評価項目の抜け漏れが生じることなく、プライバシーに関する自社の対応状況を効率的かつ実効的に把握でき、個人情報保護評価(PIA)が求める項目についても網羅しています。
「NSF for Privacy」で参照した代表的な外部基準には、おもに次のものが含まれます。(各基準の全項目を網羅したものではなく、特定の基準の準拠を保証するものではありません)
・NIST Privacy Framework Version1.0
・ISO/IEC 29134:2017 (JIS X 9251:2021)
・ISO/IEC 27701:2019(PIMS)
・経済産業省、総務省『DX時代における企業のプライバシーガバナンスガイドブックver1.2』
2
NRIセキュアでは、企業のご要望に応じて他のサービスや製品と連携し、プライバシー保護を強化しつつさらなるパーソナルデータの利活用に向けた総合的な支援が可能です。
おもな例:
・パーソナルデータ管理のポリシー・ルール策定、攻撃シナリオを想定したリスク分析
・重要情報の処理等に対するセキュリティログ監視(NeoSoC)
・BtoCサイトのID統合・SSOソリューション「Uni-ID Libra」とのシステム連携
・プライバシー・ガバナンスプラットフォーム「OneTrust」の導入・システム連携