Posted: 26 Apr. 2021 3 min. read

第12回:消費者の懸念にも配慮

シリーズ:DX時代のサイバー対策

身の回りに普及したデジタル機器によって様々な個人データが収集されている。個人の性格や嗜好などを推測するプロファイリングや点数を付けるスコアリングも行われている。攻めのDXビジネスではこうしたデータ分析から得られるメリットは大きい。一方、違法または不当に個人が判断されるリスクや行動が制限されるリスクについて問題視もされている。企業がこの問題にどう対処していけばよいか見ていこう。

 

実際、こうしたリスクに行政当局が対応する事態が起きている。ドイツでは職場での会話などから従業員の情報を収集・分析していた企業が罰金を科された。2020年夏には、米サンフランシスコ市などが顔認証技術がプライバシーを侵害するとして公共機関による使用を禁止。大手IT企業も相次ぎ販売停止を発表した。ただ、センサー技術の進化などによって個人データを収集・分析する流れは大きくは変わらない。

 

では、攻めに見合った守りとしてのプライバシー対策には、具体的にどのようなものがあるのだろうか。まず企業内でどんな個人データが取り扱われているかを調べて、プライバシーに関するリスク評価(プライバシー影響評価)を実施。その結果を踏まえて、集めた個人データの利活用の仕方について設計することが大切だ。

 

また、個人データの取り扱い内容を高い透明性を持って利用者などに示すことや、集めたデータの利活用の制限などを求める個人の要望に、より細やかに対応することなども求められる。例えば、データの提供先を選択できるようにすることなどが挙げられる。

 

技術的な対策も重要だ。サイバーセキュリティーなどの守りに使うだけでなく、攻めに活用できる技術もある。その一つが個人データを保護(暗号化)したまま分析や共有が可能な「プライバシー強化技術(PETs)」である。消費者の懸念の声に配慮しながら、ビジネスを展開できる。

 

こうした施策の前提となるのが消費者の意識だ。デロイトトーマツグループが18~75歳を対象に国内で2020年に実施した調査では、「企業とオンラインでやり取りすることで得られる利益の方が、プライバシーの懸念より上回る」と回答した人は4分の1程度にとどまった。ただ、その一方でデータの主な収集源であるスマートフォン(アプリ)の利用をやめる人はいない。データ収集をある程度、仕方なく受け入れているともいえる。

 

企業の個人データ収集を消費者がどこまで許容するかは、時代や社会環境、国・地域によっても違ってくる。事件をきっかけに大きく変わることもある。そうした意識の変化にも気を配りながらDXを進めたい。

※クリックかタップで拡大画像をご覧いただけます

 

本稿は2021年1月12日に日経産業新聞に掲載された「戦略フォーサイト:DX時代のサイバー対策(13)―消費者の懸念にも配慮」を一部改訂したものです。

D-NNOVATIONスペシャルサイト

社会課題の解決に向けたプロフェッショナルたちの物語や視点を発信しています

プロフェッショナル

大場 敏行/Toshiyuki Oba

大場 敏行/Toshiyuki Oba

デロイト トーマツ サイバー合同会社 マネージングディレクター

​サイバーセキュリティ、プライバシー・個人情報保護に関するリスクコンサルティングに10年以上従事している。特に最近では、個人情報保護法、マイナンバー、GDPR、CCPA等を踏まえたデータ保護関連のアドバイザリー業務をさまざまな業界・業種に提供している。 主な資格: 情報セキュリティスペシャリスト(SC) 公認情報システム監査人(CISA) 主な著書: 「自治体のための特定個人情報保護評価 実践ガイドライン」(ぎょうせい 2015年)[共著]