ヘルスケアデータ二次利用による企業価値向上を支える「デジタルコンプライアンス」の在り方(小野薬品)
小野薬品でデータ戦略を担当している山下 信哉氏をお迎えし、各部門を巻き込んだヘルスケアデータの二次利用におけるデジタルコンプライアンス体制の構築や、法規制、さらに視野を広げたELSI(Ethical, Legal, and Social Implications)リスクへの対応についてお話を伺いました。
プライバシー法規制の強化が世界的に進む中、グローバル企業にとってプライバシーデータの適切な保護と活用は重要な経営課題となっています。プライバシーデータは企業の競争力を維持するうえで重要な経営資源であり、その効果的な活用アプローチが模索されています。本セッションではSAPジャパンとGRCSからプライバシーテックの専門家を迎え、データ保護と利活用の方策、その効果、導入のポイントなどについてお話を伺いました。(本文敬称略)
登壇者
SAPジャパン株式会社
シニアソリューションアドバイザー
斉藤 勉氏
株式会社GRCS
GRCセキュリティ本部 ソリューション戦略部
シニアコンサルタント
永島 昌和氏
モデレーター
PwCコンサルティング合同会社
シニアマネージャー
門脇 一史
※法人名、役職、インタビューの内容などは掲載当時のものです。
左から門脇、永島氏、斉藤氏
左から永島氏、斉藤氏
プライバシー法規制対応の現状と課題
門脇:
最初にプライバシー法規制対応の現状と課題について伺います。2018年5月にGDPR(欧州一般データ保護規則)が施行されて以降、多くの国や地域ではプライバシーデータ保護を目的とした法規制が制定・改正されています。齋藤さんに伺います。SAPはプライバシー法規制対応でビジネスを展開しています。そのお立場から現状をどのように捉えていますか。
斎藤:
「プライバシーデータ」には個人の属性情報だけではなく、ウェブサイト上での行動――例えば企業のウェブサイトでどのページを閲覧したか、どのドキュメントをダウンロードしたか、何を購入したのかといった情報――も含まれることがあります。企業は顧客に対して、「何をプライバシーデータとして扱い、どのように収集しているか」をきちんと説明したうえで、プライバシーデータ取得の同意を取ることが重要です。
多くの場合、顧客はウェブサイトに表示される個人情報取得の同意確認で、「同意」をクリックします。しかし、実際には自分が何に同意し、どのような情報の提供を許可しているのかをきちんと理解していないことも少なくありません。今後は、顧客が同意内容を正確に把握できるよう、企業側に分かりやすい説明を求める規制がさらに強化されるでしょう。企業はプライバシーに関する法規制の動向を注視し、適切に対応できる態勢を整えていく必要があります。
門脇:
GRCSもプライバシー法規制対応の各種ソリューションを展開されています。その立場からご覧になって、企業は法規制対応やデータ利活用にどのような課題を感じていますか。
永島:
各企業によってさまざまな課題を抱えていますが、大きくは2つあります。
1つ目は人材不足です。プライバシー法規制が制定・改正される一方で、社内からはデータ活用の要望が増えています。しかし、それらに対応できる担当者はどの企業でも不足しています。増え続ける要件に対して、その対応が追いつかない状況が発生しています。
2つ目はプライバシーデータの分散です。同意管理をはじめとしたプライバシーデータは1カ所で集中管理したほうが効率的です。しかし、過去からのデータが複数のシステムに分散して蓄積されているケースが多く、その管理・利活用に対する負担は増加しています。
プライバシーテック導入時に直面する課題とは
門脇:
次にプライバシーテックの導入時における課題や導入後の効果について伺います。CIAMを導入するには、各サービス側に対応負荷が生じたり、高度な認証基盤と連携したりするといった難しさがあります。この点について、斎藤さんから解説していただけますでしょうか。
斎藤:
複数のサービスを展開する企業では、スピード重視でサービスをローンチしようとする傾向があります。その結果CIAMやPCMの導入が後回しになってしまいがちです。サービス開始後にCIAMやPCMを導入しようとすると、既にサービスごとに同意管理が存在することになり、仕組みが重複したり複雑になったりします。そうなると消費者に対して収集情報をきちんと説明できなかったり、サービス間で整合性を欠いたりといった課題を抱えることになります。これがCIAMやPCMといったソリューションの導入時の難しさです。
門脇:
グローバルにサービスを展開している企業は、データ主体である個人がリージョンを超えた場合のプライバシーポリシーの再同意や認証情報の連携に考慮する必要もがあります。
斎藤:
そのとおりです。さらに各国・地域の法規制に加え、データレジデンシー※への対応もあります。国によっては「国外のデータセンターに個人情報を保存してはいけない」という規制を設けていますから、サービス提供側は各国・地域にデータセンターを持たなくてはなりません。これは相当な負担です。ちなみにSAPのCIAMは、欧州、米国、オーストラリア、中国にデータセンターを擁しているので、データレジデンシーにも対応可能です。
※ データレジデンシー(Data Residency):データの物理的な保存場所に関する要件や制約
左から永島氏、斉藤氏
左から門脇、永島氏
プライバシーテック導入の成功事例とその効果
門脇:
次に永島さんに伺います。GRCSでは個人情報データ管理の一元化・可視化・自動化を実現するソリューションを提供していますよね。CMP(Consent Management Platform)を含めたプライバシーマネジメント製品の導入は、クライアントの組織形態に合わせたワークフローやリスク評価プロセスも必要であり、既存データの取り込みやデータ移行にも相当な工数を要します。こうした導入時において留意すべきポイントを教えてください。
永島:
各企業でそれぞれ考慮すべき点は異なりますが、私がクライアントを支援してきた経験から言えるのは、「ワークフローやリスク評価プロセスなどをなおざりにしてとりあえずCIAMを導入しておけば問題ない」という考えであったり、「まずは使いたい」という姿勢であったりすると、よい結果にはつながらないことが多い、ということです。
時間と工数がかかっても、クライアントの実情や実施したいこと、解決したいことを明確にし、関係部門で共通認識として共有できれば、各社に最適なソリューションを導入できます。
門脇:
ソリューションの運用段階で、その効果を最大化するにはどのような工夫が必要なのでしょうか。
永島:
一番大切なのが、プライバシーテック導入後の継続的な見直しとアップデートです。プライバシーに関する法規制の改定や世界情勢の変化、導入企業の組織変更やサービスリリースなどに合わせてプライバシーテックの製品内容を適宜アップデートし、常に最適な状態に保つことが重要です。
実際に、GRCSのクライアントの中で、導入後も継続的な見直しとアップデートを実施している企業では、プライバシーテックの導入効果を実感しているという報告が多数寄せられています。具体的には、同意管理やポリシー管理の対象国や対象サービスの範囲を拡大することで、より広範囲の個人データを安全に管理しつつ、適切に利活用できるようになったとのことです。
このような継続的な見直しとアップデートにより、プライバシーテックを導入した企業は、法規制への確実な対応とプライバシーデータの戦略的な活用という2つの目的を同時に達成できます。これは、企業側のメリットであると同時に、個人情報の適切な取り扱いを通じて、サービスを利用する消費者の信頼を獲得することにもつながります。結果として、企業と消費者の両者にとってWin-Winの関係を構築できると考えています。
門脇:
多くの企業ではクッキー管理ツールを導入しています。それと連携する同意管理やポリシー管理ツールも検討する企業が増えていると認識しています。すでにクッキー管理ツールを導入している場合でも、問題なく他のモジュールを追加で導入できるのでしょうか。
永島:
はい、まったく問題ありません。GRCSが提供するソリューションのケースですが、他のモジュールも問題なく追加導入できます。むしろ各種ソリューションを組み合わせることで、「1+1」が「2」ではなく、それ以上の効果を発揮できるような新機能が追加される仕様になっています。実際、GRCSではすでに製品を導入している一部のクライアントに対し、追加モジュールの導入を支援するというサービスも提供しており、そのニーズは増加しています。
プライバシーテックの今後の展望
門脇:
最後に今後の展望を聞かせてください。プライバシーテックの領域は今後どのような方向に拡大すると考えていますか。
永島:
プライバシーテック導入の当初の主な目的は、法制度への対応でした。その後、サードパーティリスクをはじめとしたGRC(ガバナンス、リスク管理、コンプライアンス)の領域へと適用範囲が拡大し、現在では同意情報の集約やデータの自動検出、場合によってはデータマスキングといった、適切なデータ管理と利活用の支援へと発展しています。
GRCSでは複雑化しているプライバシーデータの取り扱いを、プライバシーテックが根本から支援する方向に向かうと予測しています。具体的には、プライバシーデータがどこに格納されているかを意識することなく、自動的かつ安全に適切な活用ができるようなシームレスな環境の実現です。プライバシーテックは、単なるコンプライアンスツールから、プライバシーデータの戦略的な活用を支援する「プライバシーデータ活用支援ツール」へと進化を遂げると考えています。
斎藤:
SAPが提供するプライバシーテックのソリューションは、導入企業とそのお客様との信頼関係の構築を支援するツールであると捉えています。消費者が最初にウェブサイトにアクセスした時点では“匿名の訪問者”に過ぎませんが、そこからサイト閲覧履歴や購買履歴を分析することで、徐々に「お客様が抱えているニーズ」を理解し、適切な商品やサービスを提供していくことが可能になります。そのプロセス全体を通して、お客様のプライバシーへの配慮を最優先に考え、透明性を確保してお客様の不安を解消することが極めて重要だと考えています。
門脇:
プライバシーテックは今後もさらなる進化が期待される分野だと感じています。PwCとしても、引き続き最新の動向に注目し、お客様に役立つ情報を発信し続けていく所存です。本日は貴重なお話をありがとうございました。
左から門脇、永島氏、斉藤氏
主要メンバー
門脇 一史
シニアマネージャー, PwCコンサルティング合同会社
特別対談:デジタルトラストの構築に向けたPwCのアクション
20 results
Loading...
デジタルアイデンティティを支える技術―ソリューション導入の失敗事例と成功事例―(SailPoint/Okta/CyberArk)
アイデンティティ(ID)管理のソリューションが求められる背景や導入の要点、やってしまいがちな失敗とその対策などについて、ID管理を手掛ける企業の専門家3名にお話を伺いました。
プライバシーガバナンス最前線―データ利活用を促進していくために、いま企業に求められていること―(リクルート/TMI)
膨大な量の個人情報を扱うリクルートのデータ保護・プライバシー保護専門部署の責任者と、プライバシー&セキュリティコンサルティングを専門とする弁護士を招き、今必要とされている取り組みと今後の展望を議論します。
デジタルプラットフォーム取引透明化法の「モニタリング・レビュー」にみる、新しい時代のトラストとは(経済産業省)
2021年2月に施行されたデジタルプラットフォーム取引透明化法の中で注目されている「モニタリング・レビュー」。同法に携わる経済産業省の担当者をお招きし、モニタリング・レビューの果たす意義と新しい時代におけるトラストのあり方を伺いました。
Loading...
インサイト/ニュース
20 results
Loading...
各国サイバーセキュリティ法令・政策動向シリーズ(4)メキシコ
各国サイバーセキュリティ法令・政策動向シリーズの第4回目として、メキシコ政府のデジタル戦略と組織体制、セキュリティにかかわる法律とその動向などについて最新情報を解説します。
各国サイバーセキュリティ法令・政策動向シリーズ (3)シンガポール
各国サイバーセキュリティ法令・政策動向シリーズの第3回目として、シンガポールのデジタル戦略やサイバーセキュリティへの取り組みについて、最新情報を解説します。
金融セクターに求められるセキュリティ規制対応―DORAとNIS2指令の関係
欧州におけるデジタル関連規制が急速に発展する中で、法令間の関係の適切な理解と効率的なコンプライアンス対応が課題となっています。金融セクターにおける「NIS2指令」と「DORA」への対応を事例として、課題へのアプローチを解説します。
2025年 Cyber IQ調査 ―生成AIの台頭とデジタル国境の形成に伴うサイバーリスクに企業はどう対応すべきか―
デジタル技術の進化や地政学的緊張の高まりの中で、企業は多数のサイバーリスクに直面しています。本レポートでは、法規制、生成AI、サプライチェーン、脆弱性管理、デジタルアイデンティティなどの急激な変化を考慮し、企業が取るべきリスク対応策について考察します。
Loading...
