グローバルDXにおけるデータのリスク管理

２.    複雑化するリスク構造

リスク構造の複雑化の背景には、個人の人権・利益の保護、国内のデータ保全に係る機運の高まりや、国家・地域間の社会的/政治的な緊張の変化による不透明さの高まりが上げられます。(図1参照)

そして、それら要因を受けて形成・執行される法規制の中でグローバルDXの推進時に課題となるものは、大別するとコンプライアンスリスクに係る法規制とガバメントアクセスリスクに係る法規制に分類できます。

コンプライアンスリスクとは「法規制に準拠していない(違反している)とみなされ、レピュテーションが低下することや制裁金/罰則金を科させるリスク」のことであり、具体的な対応テーマは多岐にわたります。

日本の個人情報保護法やEUのGDPRに代表される従来のデータ保護に係る規制に加え、特定のデータを当該国内に保持すべきとするデータローカライゼーションに係る規制、一定の第三者開示を要求する利活用促進に係る規制、また経済安保や輸出管理などの自国/国際社会の経済的・社会的安全性を担保するための規制まで、取り扱うデータや対象となる地域に応じて様々な対応テーマが存在します。

一方でガバメントアクセスリスクとは「国内企業が有する情報およびアクセス可能な情報に対し強制力を持ったアクセス権を認められた政府/当局により、データにアクセスされるリスク」のことを指し、具体的な対応テーマとしては当該国内にどのようなデータを置くか、当該国からのデータアクセスをどのように設計するかといったデカップリングの方針を検討することがあげられます。

そして、データ流通・利活用推進時に、ある意味最も重要となるリスクがサプライチェーンリスクです。

データ流通・利活用がグローバルの各拠点/法人間におけるデータ連携を促進するものである以上、本社としての規制対応のみではなく関連するサプライチェーン上の各法人における規制対応まで検討する必要があります。

さらに、サプライチェーンリスクの検討時には、データ利用または提供に係る直接的なステークホルダーだけではなく、当該システムの運用保守ベンダーなど間接的なステークホルダーもスコープに含めて対応を検討することが重要です。

図１：グローバルDXにおけるリスク構造と対応テーマ

※クリックかタップで拡大画像をご覧いただけます

各企業において具体的にどの法規制を勘案する必要があるかについては、前述の通り取り扱うデータや対象となる地域により異なりますが、前提として従来のGDPRなどに代表される個人データのみだけではなく、非個人データも対応の対象となることを認識する必要があります。(図2参照)

例えばガバメントアクセスにより外国当局への漏えいが危惧されるデータは個人データのみではなく、当該政府/当局にとって有益な情報となる製品の設計/開発情報や特定の購買情報なども考えられます。
 

図2：データ種別ごとの対応テーマおよび関連する規制

※クリックかタップで拡大画像をご覧いただけます

３.    グローバルDXに係る法規制の例

本章では、各対応テーマに係る具体的な法規制の一例を紹介します。

①個人データ保護・プライバシーに係る法規制

様々な国・地域において個人データの取り扱いを規制する法規制が導入されています。頻繁に話題になるEU GDPRや日本の個人情報保護法に加え、中国のサイバーセキュリティ法、米国のCPRA、その他アジア諸国においても同様の法規制が存在し、グローバルDXの検討時には関連する国・地域ごとの対応を検討する必要があります。(図3参照)

図3：個人データの取り扱いに関する規制を有する国・地域(例)

※クリックかタップで拡大画像をご覧いただけます

②データローカライゼーションに係る法規制

ロシア、中国、ベトナム、インドネシア、ナイジェリアなどはすでにデータローカライゼーションに係る規制を導入しており、その他アルゼンチンなどにおいても導入に向けた動きが確認されています。

データローカライゼーションについては従来のデータ保護に比べると比較的新しい規制の概念であることから、今後も上記に加えた様々な国や地域で導入に向けた検討が行われる可能性があります。

アジアパシフィック地域におけるデータローカライゼーション規制の動向や各国の導入状況の詳細については、当法人が別途公開しておりますガイド ※をご参照ください。

③ガバメントアクセスに係る法規制

ガバメントアクセスに係る法規制、または政府/当局による諜報活動に係る法規制は様々な国や地域で導入されています。本稿ではその一例として中国におけるガバメントアクセスに係る法規制を解説します。

中国ではガバメントアクセスの根拠となりえる法規制が複数存在し、国家や国民、経済・社会の健全な発展のために必要な情報の提出を政府・当局に求められた場合、中国内の法人または個人はそれに対応する必要があります。(図4参照)
 

図4：中国ガバメントアクセスに係る法規制(例)

※クリックかタップで拡大画像をご覧いただけます

ガバメントアクセスリスクの検討時には、上記のような法規制の有無に加え、当該国/当局の執行度合いや、各条文の解釈としてどのようなデータ/情報がアクセスリスクを持つのかなども勘案し、デカップリングなどの対応を検討することが求められます。

４.    グローバルDXに係るリスクの対応アプローチ(例)

最後に、これらのリスクを正確にとらえ、最適なDXを推進するために必要なアプローチの一例を紹介します。(図5参照)

まず、第一に実施することは状況の把握です。企画しているシステムの構想や関連するビジネスやデータなどに係る棚卸しの正確さが、以降の検討における精度に直接影響します。

状況の把握を踏まえ、各対応テーマにおいて対応すべき規制を特定し、必要に応じて対応規制の優先度を識別します。

第2のフェーズでは、対応すべき規制の要件や観点などを踏まえた対応方針を策定し、システム面、ビジネス面で平仄を合わせながら全体のロードマップを策定します。

第3のフェーズでは、各方針の具体化としてシステムの詳細設計内容やビジネスオペレーションのプロセス整備などを行います。

図5：グローバルDXに係るリスク対応の検討アプローチ (例)

※クリックかタップで拡大画像をご覧いただけます

これは当テーマにおける検討アプローチの一例であり、実際はビジネス・システムの両面の現状や主管部署の対応状況などを踏まえ、最適なアプローチを識別する必要があります。

例えば、ビジネス要件としてのDX全体構想が固まっていない、つまりスコープとする関連法人や対象となる国・地域が定まっていない場合は「この国を対象に含めた場合はこのような対応が必要となる」のようなリスクマネジメントがビジネスに先行して発生することもあります。また、DXの一部または全体がすでに運用されている場合は、リスクチームは現在の運用状況とのギャップ調査を行い、対応方針を検討するなどの対応の調整が考えられます。

５.    さいごに

本稿では、執筆時点(2023年8月)での状況に基づきグローバルDXに係るリスク対応解説をしましたが、これら関連する法規制の形成・執行状況は日々変化しており、対応にあたっては各規制の内容や動向に係る情報の鮮度が重要視されます。

実際の対応にあたってはその時点で導入されている法規制に加え、近い将来導入される動きのあるものなども勘案し、対応を推進していくことが求められます。

※2023年 アジアパシフィック地域のデータローカライゼーション規制の概要

執筆者

松島 圭佑／Keisuke Matsushima
デロイト トーマツ サイバー合同会社

​​​​海外大学卒業後、IT運用保守ベンダーを経てデロイト トーマツに入社。
前職ではIT/業務/セキュリティ等におけるコンサルティング業務に従事。
デロイト トーマツ入社後は、プライバシー法規制調査、CSIRT/PSIRT構築/改善、サイバーインシデント対応訓練支援、規定マネジメント支援、GDPR対応支援業務等に従事し、各業務における課題解決を推進。
2022年にタイに赴任し、現地クライアントに対してIT-BCPの策定、DLPの導入支援等の支援を実施。

※所属などの情報は執筆当時のものです。