セキュリティー新時代(6)個人情報、法規制にも留意

2018-10-10

あらゆるモノがネットワークにつながる時代は収集される個人データの種類や量も格段に増える。国もそうしたデータの活用促進に乗り出しており、経済産業省は2017年10月に新産業政策「コネクテッド・インダストリーズ東京イニシアティブ」を発表した。企業にはビジネスチャンスだが、リスクも増えることに留意したい。

ネットにつながる機器は自動車や家電、医療機器など多岐にわたる。企業はそこから個人を識別する様々なデータを取得する。従来の名前や住所、カード番号などの情報に加え、各種センサーなどで集めた個人に関係する膨大なデータを扱うことになる。企業にはこれまでにない対応が求められる。

その際、大きく分けて2つの観点で注意が必要になってくる。1つは技術的な観点である。この連載でも説明したように、製品開発から運用までを見据えたサイバー攻撃対策が欠かせない。

2つ目は法務的な観点である。日本では17年5月に個人のプライバシー保護を手厚くした改正個人情報保護法が施行された。海外では中国やインド、ベトナム、カナダ、米国など世界各国で個人データを扱う企業が順守すべき法規制強化が進んでいる。中でも18年5月に施行された欧州連合(EU)の一般データ保護規則(GDPR)は、適用範囲が広く、違反者には巨額の制裁金を科す法律となっており、特に留意すべきだ。

具体的に何をすればよいのか。GDPRを例に、法規制への対応策の一部を示す。

(1)取得する個人データの内容と流れを把握する=どのようなデータをどのシステムを通じて取得、保存しているのかを洗い出し、関係者間で共有できるよう図示する。関係者には業務委託先も含め、責任範囲を明文化する。

(2)個人データの取り扱いにおけるリスクを評価する=技術的な対策が十分かどうかや、個人の権利対応への適合性を評価し、改善策を立案する。

(3)事故対応の態勢を高度化する=サイバー事故の発生に備えた組織の組成、ルール化、72時間以内に監督当局へ通知するためのプロセスの整備などを行う。

こうした取り組みは全社的に進めることで効果を発揮する。つながる機器を活用したビジネスでは製造、流通、利用、運用の各場面でプライバシーを考慮した技術、法務の両軸での対策が不可欠だ。

図:GDPR対応、日本企業が注意すべき8つのポイント

図:GDPR対応、日本企業が注意すべき8つのポイント

松浦 大

シニアマネージャー, PwCコンサルティング合同会社

Email

※本記事は、日本経済新聞社 日経産業新聞「戦略フォーサイト」コーナーに、「セキュリティー新時代」をテーマに2018年8月21日から9月12日に連載された記事の再掲載となります。

※本記事は、日本経済新聞社の許諾を得て掲載しています。無断複製・転載はお控えください。

※法人名、役職などは掲載当時のものです。


{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}