では、こうした問題に対する日本企業の対応に特徴はあるのだろうか。PwCでは日本企業に関するデータとグローバルデータの比較分析も行っている。
個人情報保護に関して重要な概念に、「匿名化」と「仮名化」がある。「匿名化」情報はいくらさかのぼっても個人を特定することはできないが、「仮名化」情報はさかのぼり、情報を総合すると個人を特定することができる。「仮名化」情報であれば、個人情報としてGDPRの対象となる。
実は日本ではこれまで、この「匿名化」「仮名化」がはっきりと区別されてこなかった。そのため、企業が無自覚にGDPRに違反する可能性がある。「データはEU域内で管理しているので日本側は関係ない」と考える企業もあるが、EU域内で管理する顧客データ、従業員の個人情報などを日本の端末から閲覧すれば、データを移転したことになってGDPRの対象になるのだ。
守りに強く、攻めに弱い日本 データ活用で後れ
もう一つの課題がある。山本は指摘する。
「顧客情報は宝の山。データ活用もビジネスでは重要です」
実は日本企業の多くは、「規制」対策には熱心だが、手にした個人情報の「活用」には十分に取り組んでいるとはいえないし、そのためのテクノロジーの活用でも、世界に後れを取っている。
個人情報のデータ活用に関する「今後1年以内にプライバシー部門が取り組むプロジェクトは何か?」という設問に対し、世界の企業は「データマッピングやインベントリング」「ビッグデータ、データ分析または匿名化」「クラウドコンピューティングサービス」と答えたエグゼクティブがそれぞれ26%、30%、26%だったのに対して、日本企業では12%、13%、15%と明らかに少なかった。
また、社内でビジネス部門をサポートする専任のセキュリティ要員の雇用について、「雇用している」あるいは「最優先事項としている」と答えた企業が、世界全体では48%だったのに対し、日本では31%と、17%も少なかった。
個人情報の分析を通して、新たなデジタル戦略を策定し、新しいビジネスモデル、従来ならあり得なかったようなビジネスパートナーとのアライアンスを模索することも可能になる。宝の山でもある顧客データの活用をしなければ、今後のビジネス展開で立ち遅れてしまう恐れすらある。
テクノロジーの進化が目覚ましい現在、システム導入によって技術を活用したほうが、セキュリティの精度も効率も上がる。ビジネスの新たな地平を開拓するには、守るだけでなく攻めの姿勢もおろそかにはできないのだ。
産官学の連携でサイバー問題を議論
2016年11月「Cyber3 Conference Tokyo 2016」が開催され、菅義偉内閣官房長官、三角育生内閣審議官、中西宏明日立製作所取締役会長、中谷昇インターポールIGCI総局長、齋籐ウィリアム浩幸内閣府参与をはじめ、政治家や企業経営者、学者などサイバーセキュリティの有識者が集まった。PwC Japanグループは前年度に続き同イベントの企画を推進した。
前年の「Cyber3 Conference 2015」で「サイバー空間における国境を越えた相互の協力関係の必要性」が共通課題として認識されたが、日本ではいまだに、企業幹部の情報セキュリティ対策への姿勢は積極的とはいえない状況が続く。そんな中、今回は日本政府が成長戦略で挙げる「IoT」や「AI」を活用した第4次産業革命の中で想定される問題について議論が交わされた。
山本 直樹◎PwCコンサルティング合同会社 パートナー。APAサイバーセキュリティ・リーダーシップチーム・メンバー、日本のサイバーセキュリティ・アンド・プライバシー・ソリューション・リーダー。サイバーセキュリティ、ITガバナンスなどに詳しい。
