デジタル社会における信頼の重要性　－Trust by Design

デジタル社会で顧客が企業の信頼を得るためには、どのようなリスク対策が効果的でしょうか。一つのヒントがPrivacy by DesignとSecurity by Designという考え方にあります。Privacy by Designは、個人情報の利用に当たりプライバシーを保護するための原則で、1990年代の半ばに、カナダのオンタリオ州 情報・プライバシー・コミッショナーのアン・カブキアン博士が提唱しました。これは、個人情報をシステムや業務にて「使用する段階」でプライバシー保護の施策を検討するのではなく、その事前段階の「企画・設計段階」から組み込むという考え方で、欧州連合（EU）における個人情報保護規則であるGDPRの根底になっている考え方です。データの利活用のいっそうの進展が社会の便益を高めていく中で、顧客の信頼を維持発展させていくために、この考え方がより重要になっています。この、Privacy by Designは、対象を個人情報・プライバシーに絞った概念ですが、その対象を情報セキュリティ全般に拡張した、Security by Designという考え方があります。日本でも、内閣サイバーセキュリティセンター（NISC）が公表している「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル」においても、「情報セキュリティを企画・設計段階から確保するための方策」として、Security by Designの考え方を取り入れています。

Privacy by DesignとSecurity by Designで、キーになっているのは、by Design、つまり、あらかじめ設計しておくという考え方です。デジタル社会においてのリスクは、個人情報の流出や情報セキュリティのみならず、最初に幾つか例を挙げた通り、システムの意図しない誤動作、設計者も予想できない動き（いわゆるAIの暴走）、悪意を持った操作など、より幅広いものとなります。そこで、EYでは、Security by Designの考え方をさらに拡張して、企業にとって何よりも重要な顧客に安心・安全をもたらす、信頼（＝Trust）の創出のために、事業を構想している段階から前広にリスク管理を考え、適切な対策をデザインするTrust by Designの考え方を提唱しています。例えば、自動運転をめぐり異業種間のインダストリーコンバージェンス（業界の統合・融合）が激しくなっている中、適切なビジネスパートナーと臨機応変にアライアンスを組んでいくことが不可欠ですが、反面でサードパーティの事業戦略、財務・資金の状況、ガバナンスやセキュリティなど新しくさまざまなリスクがもたらされることになります。そこで、予想できる限りのリスクに対して、あらかじめ管理プログラムを設計しておき、包括的に効率的な管理を実施するのが、Trust by Designの考え方です。デジタルを駆使して、多くのサードパーティの管理に必要な大量のデータをタイムリーに収集し的確に分析することで、持続的なリスク管理が可能となります。

また、従来型のリスクマネジメントは、何か良くないことが起きることに備えることが中心でしたが、Trust by Designでは、ビジネスを企画している段階から、リスク管理の専門家が前広に関わることにより、リスク管理の手法を用いて、アップサイドリスク、すなわち収益につながる機会を積極的に増加させることも目的にしています。例えば、ある世界的な大手の製薬会社では、新薬のパイプラインの状況を把握するためのさまざまな情報を、最新のデジタル技術を駆使して予測管理し、収益化の可能性を上げるという、アップサイドリスクへの積極的な対応に取り組んでいます。リスク管理の対象を広げ、企業活動にダメージを与えるダウンサイドリスクだけではなく、新しくオポチュニティにつながる「アップサイドリスク」にも焦点を当てていくというのがTrust by Designのもう一つの柱です。（＜図1＞参照）

EYでは、前述のようにデジタル社会で顧客から信頼を得るために、データおよび分析技術を駆使して、攻めと守りの両面からの進んだリスク管理を実現する考え方をTrust by Designとして提唱しています。先進的な企業ですでに取り組まれているところをコンセプトとしてまとめたものであり、企業経営者およびビジネスに関わる全ての方々の参考となれば幸いです。