解説：データ保護規制に対応するテクノロジー

「データセキュリティはここ数年、非常に重要な動きとなっています」と、プロティビティのエマージングテクノロジープラクティスのマネージングディレクタ兼プラクティス責任者のScott Laliberteは述べています。「データの取り扱いに関する規制や要件が法域で強化され、2021年も大きな課題になると思います。」　Scott Laliberteは、新しい技術が導入されると、新たな複雑さが伴うと指摘しています。「IoTデバイスはその一例に過ぎませんが、保護と管理が必要な新しいデータ収集の数々があります。」

「CIOとCISOの2021年の主な目標の1つは、サイバーセキュリティ体制を『防御』、『検知』、『対応』の3つのフェーズを通して効果的にすることです」とプロティビティイタリアのマネージングディレクタのEnrico Ferrettiは述べています。
「実際、組織が防御措置に非常に重点を置いており、インシデントの検知と対応のプロセスとテクノロジーに十分な注意を払っていないことがよくあります。」これにより、インシデントが発見されると、特に違反から数週間から数か月まで経過し、貴重なデータとリスク対策する時間の両方が失われた場合、多大な損害をもたらす課題が連鎖的に発生します。 

各国の規制と消費者の懸念

「変化する規制に対応することは、ほとんどの企業が課題と感じていること」だと、プロティビティのマネージングディレクタ兼データプライバシープラクティスの責任者であるManisha Agarwal-Shahは述べています。混乱を少しでも緩和するために、同チームは、主要な規制へのコンプライアンスについて一元的でかつグローバルなアプローチを講じています。「GDPR、CCPA/CPRA、LGBD、カナダのPIPEDA、南アフリカのプライバシー法であるPOPIが、ほとんどの企業に大きな影響を与えています」とManisha Agarwal-Shahは述べています。「組織が遵守すべき規制が非常に多いことは、すぐに明らかになってきています。当社では、様々な規制が80%前後重複するところにフォーカスを置き、組織のコンプライアンス負担を最小限に抑え、組織がそれぞれの環境に合ったコンプライアンスのための独自のフレームワークを開発するのを支援します」と付け加えています。
「消費者は、自分のデータがどこに流れているのかを常に意識しているわけではありませんが、自分に主張できる権利があることをより認識するようになっています」とManisha Agarwal-Shahは述べています。企業は、個人データが十分に保護されていることで顧客を安心させたいと考えています。その結果、2021年にCIOおよびCISOのテクノロジー投資を推進しているものの多くは、GDPRおよびCCPA/CPRAで説明されている規制要件から導き出されています。「そして、この傾向が強くなっていくと見ています」とAgarwal-Shahは述べています。「この課題は、特定の国や特定の地域や州だけに限定されているわけではありません。これはグローバルな体質にあるものです。国内でプライバシー法を制定している国もいくつかあります。米国にはまだ連邦プライバシー法はありませんが、多くの州が独自のプライバシーに関する期待を持っており、これがテクノロジーを使ってプライバシー環境を運用したいと考える組織の原動力となっています。これまでは州ごとの断片的なアプローチでしたが、今後1,2年のうちに連邦政府による広範な規制が導入され、これらの規制に対する期待を全国的に一元化できるようになると予想しています。」 

規制テクノロジー（RegTech）の運用

「プライバシー保護規制で要求されるすべてのデータガバナンス事項を管理するために、ビジネスアプリケーションと完全に統合されたデータディスカバリーおよびデータ分類・保護のためのソリューションの採用が拡大すると予測しています」とEnrico Ferrettiは述べています。「ほんの数例を挙げると、エネルギー、公益事業、電気通信、健康と安全、流通など、プライバシー事項により特に影響を受ける業界がいくつかあります。」と付け加えました。これらはすべて、膨大の数の顧客のプライバシーデータを管理する業界です。 

プライバシー保護にテクノロジーを活用したアプローチを採用していない企業は、データセキュリティプログラムが実際にどのように運用するかを規制当局に対して正当化するのは難しくなります。「大規模な組織では、プライバシー保護を手動で行うことは事実上不可能です」とManisha Agarwal-Shahはオンラインでの出会い系サービスの例に挙げてその要点を説明しています。「私があるオンライン出会いアプリを使用している消費者であるとしましょう。その会社に電話して、『アカウントを削除したいのですが、自分に関するすべてのデータと、それを販売しているベンダーを教えてください。そして他にどことデータが共有されるかも知りたいです。』現在の規制ではサービスの提供者は30日以内に対応することになっていると思います。これは、企業が手動で行うことはほぼ不可能な作業です。特に、毎月何千ものこの種の電話を受ける場合はなおさらです。適切なテクノロジーを導入すれば、作業の多くはバックグラウンドで行われます。ベンダーと連携することで、数百人のスタッフではなく、少人数のチームでもこれらのリクエストに対応することができます。予想される離職率を含め、大勢のスタッフを教育して管理する必要性を考えると、このような規制尊寿の業務を第三者委託することは理にかなっています。」 

Manisha Agarwal-Shahは以前のブログ2021年にデータのプライバシーとセキュリティを優先すべき理由でこう述べています。「組織のプライバシー保護ニーズを満たすために必要とされる各種ユースケースを評価することから始めることが重要です。お客様に、『プライバシー保護の目的を達成するために、既存のテクノロジーをどのように運用しているか。そのようサービスを提供する既存のテクノロジーはどれか。また、実際にどの程度の効果があるのか。』と自問自答することをお勧めします。現在のテクノロジースタックではこれらのユースケースの80%が十分に満たされていることに組織は気づくかもしれません。」また、組織がデータをどのように管理するかも重要な問題であるとManisha Agarwal-Shahは述べています。「最も費用対効果の高いソリューションだけに焦点を当てるのではなく、どのようなタイプのテクノロジーが必要なのかについて経営陣の意思決定を行うことが重要になります。技術系のリーダーは、単にコスト削減のための決断でなく、適切な意思決定を下したいと考えています。」 

Manisha Agarwal-Shahが率いるプライバシー保護チームは、ROPA追跡、データ処理の記録、データインベントリ、データ主体のアクセス要求の管理、DSAR、Cookieコンプライアンス、プライバシー影響評価の実施など、30を超える標準化されたユースケースを作成しました。これらのユースケースは、特定の組織の固有のニーズに簡単に適合させることができます。

コンプライアンス違反に対する罰金

「コンプライアンス違反のリスクは、罰金の面で非常に高いです。」とManisha Agarwal-Shahは述べています。「GDPRの罰金は、企業全体の売上高の2〜4％、または最大2,000万ユーロに及ぶ可能性があります。米国では、州によって異なり、データを適切に管理しないことに対して高額な罰金が科せられます。」 前述のように、企業はプライバシー保護プロセスを手動で管理することを試みることもありますが、「わたしたちはお客様へ推奨はしていません。」と彼女は付け加えます。「調査に基づいた分析であっても、自動化されたデータディスカバリーであっても、自動化されたデータインベントリを持つことができるということは、本当に大きな価値をもたらします。データのトラッキングを管理するために自動化を導入することは非常に重要であり、四半期ごとに、あるいはビジネスの変化に応じて頻繁にデータを管理することが重要です。これの最大のメリットは、スケールメリットです。殺到するリクエストを効率的に管理するためには、100人のスタッフが必要になるかもしれません。しかし、適切なテクノロジーに投資することで、今も将来も、プライバシー保護への期待を管理するために必要なリソースをその削減することができます。」

（2021年2月15日）

英語版ブログ「Technology for the Evolving Data Privacy Regulatory Landscape」へのリンクはこちら