企業にとってプライバシー保護が重要な経営課題になってきた。欧州連合(EU)が2018年5月に個人データ保護を定めた「一般データ保護規則(GDPR)」を施行し、米国ではカリフォルニア州が2020年1月に同州消費者プライバシー法を施行するなど、違反した際に高額な罰金を科す法の枠組みが整備されてきたからだ。言うまでも無く、プライバシー保護がおろそかになっていると明らかになれば、企業ブランドは失墜を免れない。

 では、企業はどう対策すればよいのだろうか。1つの解となり得るフレームワークが米国で完成しようとしている。米国立標準技術研究所(NIST)が公開した「Privacy Framework(PRF)」である。現時点はドラフト版だが2019年内に正式版となる見通しだ。

 PRFはプライバシー保護に必要な5つの機能を定義している。「特定、統治、管理、伝達、防御」である。それぞれ、「特定」は企業におけるプライバシーリスクの把握手法、「統治」は企業内データの処理手法、「管理」はデータのマネジメント手法、「通知」はデータ処理におけるコミュニケーション手法、「対応」はプライバシー侵害時の被害軽減と是正処理の手法――を指す。

プライバシーフレームワークが定義する5つの機能とカテゴリーやサブカテゴリー
(出所:PwC Japanグループ)
[画像のクリックで拡大表示]

 5つの機能にはそれぞれカテゴリーとサブカテゴリーが定義されている。利用者はサブカテゴリーで求められる内容に自社が準拠できているかを4段階で確認していく。サブカテゴリーの全項目についてアセスメントすると、5つの機能ごとに達成状況が可視化される作りだ。

機能ごとに現状と目標のギャップが分かる
(出所:PwC Japanグループ)
[画像のクリックで拡大表示]

 PRFに詳しいPwCコンサルティングの世古修平シニアアソシエイトは「目標レベルを設定すれば、現状とのギャップを把握できる。機能別に改善プランを策定しやすくなる」とする。現状を見える化しなければ改善しにくいというわけだ。

この先は有料会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら