メディア

NISTプライバシーフレームワーク(PRF)とは? サイバーセキュリティフレームワークとの違い、注目される理由を知る

もしも、買収先企業が知らぬうちにプライバシー情報を漏洩していたら? 数百億の制裁金も冗談ではない危険な世界を安全に航海するための指針は、どんなものか。

» 2019年10月15日 08時00分 公開
[土肥正弘ドキュメント工房]

 今後のプライバシー保護の望ましい姿を示す「NISTプライバシーフレームワーク」が年内にも発効する。NIST(アメリカ国立標準技術研究所)は米国の組織ではあるが世界に大きな影響力をもつ技術標準機関でもある。各国の企業が採用する「NISTサイバーセキュリティフレームワーク」がよく知られている。

 今回取り上げる「NISTプライバシーフレームワーク」はこのサイバーセキュリティフレームワークのプライバシー保護向けの姉妹版と位置付けられる。

NISTプライバシーフレームワーク(PRF)とは何か

 2014年2月に公開した「NISTサイバーセキュリティフレームワーク」(以下CSF)は、世界の国や企業の重要インフラ向けのセキュリティデファクトスタンダードとして活用が進んでいる。ISMS、CIS Controls、PCI DSSといった各種セキュリティフレームワークがある中で業種や企業規模にかかわらず、サイバーセキュリティ対策の評価基準や対策指針を示すものとして重要視されているところだ。

 NISTプライバシーフレームワーク(以下PRF)はCSFの姉妹版として策定中の、プライバシー保護に関するセキュリティ標準。年内には発効し、今後世界のプライバシー保護対策の標準として普及することが見込まれている。

買収先企業のシステムがまさかの「おもらし」? デューデリ不足で制裁金も

 PRFが注目される背景には、従来の各国法制度に対応したプライバシー保護対策だけでは、増え続ける国内および国際的なITサービスの維持や拡大に不安が大きいことが挙げられる。

 日本でのプライバシー保護施策は個人情報保護委員会が監視・監督する個人情報保護法・特定個人情報保護法への対応が中心になっており、加えてプライバシーマーク、ISMS、ISO 27001などを取得する企業も多い。しかしそれだけで外国の法制度への対応は難しい。

PwCコンサルティング合同会社 弁護士 世古修平氏

 PwCコンサルティングの世古修平弁護士によると、米国では動画共有アプリ開発企業がユーザーである13歳未満の子供の個人情報を取り扱う前に、保護者の同意を取得していなかったとして、数億円の制裁金が科された事例があるという。

 またEUはGDPRによる横断的なプライバシー保護制度が敷かれることが知られるが、ある運送サービス企業の例として、個人情報の登録の2年後にシステムから氏名・住所を削除した上でデータを保持していたが、電話番号、位置情報などが削除されていなかったため、匿名化ができていないとされ、必要が期限を超えた個人データ保持のかどで数千万円の制裁金が科された事例がある。

 他にも、EU内のあるホテル運営企業は、ホテルを買収する際に、買収ホテルがサイバー攻撃を受けていたことに気付かず、長期間にわたってデータを漏えいしていたことで、買収に際して十分な調査(デューデリジェンス)を行わなかったとして数百億円の制裁金が科されたという。

 同様に中国、インド、ロシア、東南アジア諸国などでもプライバシーに関する規制は厳格化していくものと思われる。こうした各国法制度への対応は、日本の情報保護法に対応しているだけでは不十分なことが明らかだ。

 たとえ各国の法制度に対応して罰則を受けることは避けられても、ユーザーが期待するプライバシー保護ができていない場合には、サービスからのユーザーの離脱・離反が起こり、ユーザーから批判が出ないまでも社会的な期待に反するプライベートデータ利用を行なった場合にはSNSの炎上をはじめ企業のブランドが毀損される可能性がある。法令順守は最低限のこととして、ユーザーの期待と社会の期待に応えるプライバシー保護対策が求められているのだ。

 そこで、セキュリティとプライバシー保護対策をどのようにとるべきかの指針が求められる。これに応えるものとして、NISTが策定しているのがCSFとPRFだ。

CSFとPRFの違いは?

 サイバーセキュリティリスクに対応するための枠組みを提供するのがCSF、プライバシーリスクに対応するための枠組みがPRFだ。CSFは発効から5年を経て、業界横断的に用いることができるアセスメントツールとして広く利用されているが、PRFは2019年9月現在未発効。しかし世界のデファクトスタンダードを数々策定してきたNISTの標準であるだけに、発効後はやはりアセスメントツールとして広く利用されることが見込まれている。

 PRFドラフトでは、プライバシーに関して備えるべき機能を5つに分類(特定、統治、管理、伝達、防御)している。図1にみるように、法律で詳細に言及されることが少ない領域(Identity:特定)、適用法によってプライバシーの取り扱いが差異が生じやすい領域(他の4機能)の両方を定義している。これら5機能について網羅的に対応できている企業は少ないと世古氏は分析した。

図1 図1 PRFが定義する5つの機能

 PRFの各機能は2?5個のカテゴリー、10?30個のサブカテゴリーに分けて定義されている。図2に見るように、カテゴリとサブカテゴリーで、組織が達成すべき望ましい状態を記述している。

図2 図2 PRFの「特定」機能のカテゴリーとサブカテゴリーにおける定義の例

 それぞれの機能のサブカテゴリーの項目について、現状の達成状況をアセスメントして可視化すると、目標とする状態とのギャップを把握することができ、機能別の改善プランを策定することにつながる。サブカテゴリーで定義されている「望ましい状態」の達成状況は、Tier1(部分的な対応)、Tier2(リスク情報が通知され利用されている)、Tier3(繰り返し可能な形になっている)、Tier4(変化に対して適応できている)の4段階の評価尺度で評価する。例えば目標レベルをTier3に設定すれば、その目標状態と現状との差を埋めるべく対応をとることができるわけだ。

図3 図3 現状と目標とのギャップを明らかにするアセスメントのイメージ

 世古氏は、例えば炎上によるブランド毀損のリスクを防ぐには、プライバシーリスクのアセスメントを行い、リスク対応を丁寧に行う以外に有効な手段はないという。「リスクが高い領域では、ビジネス、テクノロジー、法律等を横断的に理解できるスタッフ(チーム)による設計、データ主体との相互理解を深める丁寧な説明、データ主体にとってのメリットの明確化・納得感の醸成が必要」だとし、例えば法律が要求する最低限の説明や他の規約のコピー、あるいは合理性の低い理由(こじつけ)や対策の提示などではユーザーの理解が得られないという。「リスクを十分軽減できない場合には撤退」も考えて対応する必要があるとした。

図4 図4 リスクアセスメントカテゴリーのサブカテゴリー定義の例

PwC Japanのプライバシーリスクアセスメントサービス

こうした背景から、PwC Japanグループはこの9月12日、PRFに対応するプライバシーリスクアセスメントサービスの提供を開始した。これは、各国法制度(個人情報保護法、CCPA、HIPAA、GDPR、中国サイバーセキュリティ法など)への対応とPRFなどの各種ガイドラインに沿ったプライバシーリスクの特定、現状と望ましい状態とのギャップ分析、実行可能な管理モデル構築までのロードマップを策定するサービスだ。

PwCあらた有限責任監査法人 パートナー 綾部泰二氏

 PwCあらたの綾部泰二パートナーは「これまでの情報保護法対応アセスメントサービスでは企業の期待に応えられない。もっと広い範囲のプライバシー保護要望に応えるために、PRFを羅針盤にしたプライバシーリスクアセスメントサービスを、Pwc Japanグループ内のPwC弁護士法人、PwCあらた有限責任監査法人、PwCコンサルティング合同会社の各会社の垣根を超えて、PwC Japanとして提供し、顧客を力強く支援していく」と述べた。

 弁護士法人が、各国の適用法令を確実に順守するための知見を提供し、監査法人は、法令外のユーザーや社会の期待に応える対応をPRFなど各種フレームワークを利用して補強、コンサル会社は、顧客固有事情に合わせたフレームワークの最適化を行う。上記サービス内容をグループ内で一気通貫して提供するところがポイントだ。

PwCコンサルティング 個人情報保護員会事務局出向 篠宮輝氏

 PwCコンサルティングの篠宮輝氏は「プライバシーリスクを前に新規事業企画が萎縮している」と指摘し、その背景として「顧客保護、ロイヤリティの観点からプライバシーを見る文化・土壌がない」「データ提供元の個人よりもデータを提供する先の思惑を優先する傾向」があると見る。また、「各国法制度に対応できるグローバルな体制ができていない」ことも指摘した。従来とは違ったグループ全体としてのプライバシーリスク対応が求められる一方、各事業や各国のグループ会社のオペレーションまでマネジメントできるリソースが不足しているという。

 「これに対応するにはプライバシーバイデザインが必須」だと篠宮氏は強調する。「グローバル全体でプライベートデータの利活用と保護を推進するには、顧客戦略・マーケティング施策と、各国の規制を踏まえ、提供価値と顧客保護を両立するサービス設計」が重要だとし、「プライバシーリスクアセスメントサービスは、各国の法令対応が喫緊の課題であることを考慮しながら、グループ全体で事業のプライバシーリスクを特定し、対応する組織的理解を醸成するアプローチを採用する」という。具体的には次のような3段構えになる。

  • 顧客のビジネス課題となる固有リスクを算定し、PRFなどの各種フレームワークや各国法令から評価軸を設計
  • グループ全体の各事業の対応分野ごとのプライバシーリスクを整理、シナリオベースで炎上や賠償金などのリスクを評価
  • 実行可能な管理モデルを策定し、アクションプランと実装ロードマップを策定する

 このアセスメントフェーズの期間はおよそ3カ月以上、策定された施策・ロードマップに従って実装していくのに1年以上を想定している(図5)。

図5 図5 PwC Japanのプライバシーリスクアセスメントのプロジェクト実施イメージ

 各国法制度対応に加え、ユーザーと社会の期待に応えることも要求される現在、プライバシー保護について何をどのように対策すればよいか、暗中模索状態の企業は多いことだろう。PRFが行く先を照らす光になることを期待したい。

本稿はコンサルティングファームのPwC Japanによる2019年9月プレス発表「PRFに対応するプライバシーリスクアセスメントサービス提供」を基に再構成した。



Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。