[調査・レポート]
企業の「顧客プライバシー保護」を信頼している消費者は少数―パーソナルデータ管理の不透明さをいかに解消していくか
2018年10月2日(火)北原 静香
企業が、消費者の行動ログや購買履歴といったパーソナルデータを適切に管理し、活用するのに、企業は超えなくてはならないハードルがいくつか存在する。PwC Japanグループ(PwCコンサルティング合同会社、PwCサイバーサービス合同会社、PwCあらた有限責任監査法人)が2018年9月11日に実施した、「グローバル情報セキュリティ調査2018」に関する説明会からポイントを抽出してお伝えする。
「グローバル情報セキュリティ調査2018」は、英ロンドンを拠点とするプライスウォーターハウスクーパース(PwC)と米CIO Magazine/CSO Magazineが共同で実施しているサイバーセキュリティ分野のグローバル調査である。その結果の一部はすでにお伝えした(関連記事:「インシデントは減少傾向、だがセキュリティ投資を減らすべきではない」―PwC調査)。
今回は、前回の説明では触れていない、企業におけるパーソナルデータの管理や活用にフォーカスが当てられ、日本企業が留意すべきポイントが示された。
「サイバーセキュリティ/プライバシーに対するCEOのコミットがまだ足りない」
写真1:PwCコンサルティング マネージャーの松浦大氏消費者の行動ログや購買履歴といったパーソナルデータは、顧客動向の分析において元になる情報であり、企業の業績を左右する経営資源であると言える。
ところが、グローバル情報セキュリティ調査2018の結果を見ると、顧客との信頼構築を目的としたサイバーセキュリティ投資やデータ利用/保管における透明性向上の課題に対し「大いに取り組んでいる」と回答したCEOは44%と半数に満たないことが判明した。
この結果について、PwCコンサルティング マネージャーの松浦大氏(写真1)は、サイバーセキュリティや情報プライバシーへの取り組みはさらに強化できるはずであるとの認識を示し、「CEOは認識するだけにとどまらず、アクションを起こすべき」と指摘した(図1)。
図1:データ利用/保管における透明性向上に「大いに取り組んでいる」と回答したCEOは半数に満たない(出典:PwC Japanグループ)拡大画像表示
既報のとおり、欧州連合(EU)では、パーソナルデータ保護の枠組みとして、2018年5月から「EU一般データ保護規則(General Data Protection Regulation:GDPR)」が施行されている。
こうして世界的にデータ保護の規制が強化されている中、時価総額250億ドル以上の大企業ではデータ利用ガバナンスが進んでいる。同調査に回答した企業の約3分の2は最高プライバシー責任者(CPO)またはこれに相当するプライバシー責任者を設置していることがわかった。
しかし、裏を返せば大企業であっても3分の1はデータ利用ガバナンスを司る責任者の設置に至っていないということでもある。「CPOを未設置の企業は早急に設置し、データ利用ガバナンスを構築する必要がある」(松浦氏)
EUのGDPR以外のトピックとしては、中国やロシアをはじめとするいくつかの国において、企業が活動する地理的境界内にデータやアプリケーションをとどめることを義務づけるなど「インターネットの分断」の動きが進んでいる。
そこで必要になるのが、国境を越えるデータフローに対する新しいアプローチや、プライバシールールなどである。実際に採用しているアプローチとして、「プライバシーシールド」「データ移転に関する標準規約」「EUの拘束力のある企業準則」「APECの国境を越えるプライバシー規則」などがあるという(図2)。
松浦氏はEUと日本が個人情報保護に関する協議を7月に終了し、日本の十分性認定の採択手続きに入ったことを紹介した。この認定が採択されれば、EUのパーソナルデータを取得する規制が一部免除されるため、個別に契約書を作成するといった手続きがいらなくなるという。
図2:今後予想されるインターネットの分断への対応(出典:PwC Japanグループ)拡大画像表示
会員登録(無料)が必要です
- 1
- 2
- 3
- 4
- 次へ >
