和文ダウンロード - 新日本有限責任監査法人

Insights on
governance, risk
and compliance
プライバシー保護
義務化への準備は
できていますか ?
新たな EU プライバシー規則の施行が迫る
はじめに
説明責任の義務化を目指す
EU 規制当局
企業は現代のデジタル社会を勝ち抜くため、ソーシャルメディア、モバイル、ビッグデータとその
分析、モノのインターネット(IoT)を駆使して、顧客に関する情報を可能な限り多く収集しようと
しています。その一方で、組織内外からのサイバー攻撃を防ぐために、あらゆる手立てを尽くして
もいます。このような環境では、プライバシーの保護は、
「後回し」となり、情報セキュリティプロ
グラムに追加して間に合わせているのが実情です。さらには、そもそもプライバシー保護について
考えたことすらない例もあります。
世界各国の規制当局とプライバシー関連委員会は、長年にわたりプライバシー保護の法制化や、プ
)などのプライバシー基準の策定に
ライバシー・バイ・デザイン(Privacy by Design、以下「PbD」
取り組み、企業に採用と遵守を働き掛けてきました。しかし、規制当局が説明責任を強く求めてい
るにもかかわらず、多くの企業がこれを義務ではなく、むしろ任意の活動と見なしてきました。法
律の本質ではなく条文に適応することに終始し、顧客や従業員の情報を守る役割としての責任を果
たすことなく、最低限の遵守義務だけを果たしてきたのです。
EU の一般データ保護規則(General Data Protection Regulation、以下「GDPR」)が制定され、世
界中の企業に影響が及ぶこととなり、企業のプライバシー保護責任を他人まかせにする時代は終わ
りを迎えようとしています。EU の GDPR は、プライバシー保護の責任を本来のあるべき場所に戻
54%
が、プライバシーの責任に取り組んでは
いるものの、ビッグデータを利用するた
めの要件を公式に定めていないと回答。
(
「EY グローバル情報セキュリティサー
1
ベイ 2015 」
(EY’s Global Information
Security Survey 2015、以下「GISS 2015」
)
より)
し、個人の識別につながる情報を収集、保管、分析、管理している組織にその義務を課しています。
37%
が、ソーシャルメディアについて、プライ
バシー問題に対応するための要件を規定
していない。
61%
1
EY’s Global Information Security Survey (GISS) 2015(www.ey.com/giss)
が、個人情報を最小化または匿名化する義
務はない、あるいは特定の状況においての
み義務付けていると回答。
プライバシー保護 義務化への準備はできていますか? |
1
2
| プライバシー保護 義務化への準備はできていますか ?
GDPR のポイント
EC(欧州委員会)は 20年ほど前に、データ保護指令 95/46/EC(以下「指令」)を導入しました。
この指令は「個人情報」とは何かを定義し、個人を識別できる情報の収集と管理における制限を規
定したものでした。
技術の進歩により、企業がデータを収集、使用、管理する方法は根本から変わりました。2012年、
EC はこのような状況を踏まえて、プライバシー規制を改定、簡略化、強化するとともに、EU 居住者
が個人データを各自の管理下に取り戻せるようにするための取組みに着手しました。その集大成
が GDPR です。
2016年に承認され、2018年 5月 25日に施行予定の GDPR は、ベースとなる指令をさらに発展さ
せた包括的なデータ保護法です。最終的には、指令に代わる唯一のデータプライバシー保護規制と
なる予定です。
GDPR は、組織の所在地にかかわらず、EU 居住者のデータを管理・処理するすべての組織に適用さ
れ、強制力を持ちます。収集可能なデータの種類が規定されているほか、データ収集には明確な同意
が必要であると明記されています。また、情報漏えいがあった場合は必ず公表することを求めてお
り、責任を負うべきデータの保護を怠った組織に多額の罰金を科す強力な権限を定めています。
GDPR が企業に与える影響
1
EU 居住者は、自分の個人情報を現状よりも管理しやすくなる。
2
あらゆる組織が同じ規則に従う必要がある。
3
組織は単一の監督機関に対して報告する。
4
さらに多くの組織でデータ保護責任者(data protection officer、以下「DPO」
)が必要になる。
5
リスクベースのアプローチが推奨される。
6
PbD が公的な要件になる。
7
漏えいが発生した場合、72時間以内に通知しなければならない。
8
違反に対する罰金が大幅に増額される。
9
セキュリティはリスクと直結している。
10
「同意」の定義が大幅に限定されている。
11 EU 域外へのデータ移転は一定の条件下で許可される。
12
「プロファイリング」に関する規制が起案時よりも厳格になっている。
世界各国の企業に影響が及ぶと考えられるこれらの影響について、以降のページで詳しく解説します。
プライバシー保護 義務化への準備はできていますか? |
3
GDPR のポイント
EU 居住者は、自分の個人情報
を現状よりも管理しやすくなる。
あらゆる組織が同じ規則に
従う必要がある。
組織は単一の監督機関に
対して報告する。
GDPR では個人情報に対する個人
EU 居住者の情報を管理または処
指令では、企業は、28の EU 加盟
(データの主体である本人)の権利
理している企業は、その拠点が EU
国それぞれのデータ保護当局に報
が大幅に強化されます。そのため、
域内、域外に関係なく、同じ規則
告することになっています。
企業は個人情報の処理方法に関
に従う必要があります。別の言い
して、曖昧な点のない明確な情報
方をすれば、EU 居住者に製品を販
を EU 居住者に提供し、データ処
売する企業やサービスを提供する
理について明確な同意を得なけれ
企業はすべて、GDPR の対象にな
ばなりません。また、EU 居住者が
るということです。従って、GDPR
個人情報をサービスプロバイダー
は事実上の国際法となります。
間で移転できるようにするととも
GDPR では、これら各国の当局が
単一の監督機関に統合されていま
す。この機関と連携することによ
り、企業の報告義務が大幅に効率
化され、報告のコストも削減され
るという運用上の改善点がある
一方、申し立てに対処することが
に、共有したくないコンテンツを
求められます。個人から各地域の
削除することで、忘れられる権利
データ保護当局へ申し立てが認め
を保障する必要があります。
られるため、企業は申し立てを受
理した当局と連携して対応に当た
る必要があります。
1
4
| プライバシー保護 義務化への準備はできていますか ?
2
3
さらに多くの組織で DPO が
必要になる。
リスクベースのアプローチが
推奨される。
PbD が公的な要件になる。
主要ビジネスとして大規模なデー
GDPR で は、汎 用 的 な 対 応 を 求
PbD は主要なプライバシー基準
タ処理を実施する企業や、特定の
めるというより、リスクベース
として、以前から世界中のプライ
種類のデータを処理する企業に
のアプローチが推奨されていま
バシー関連の委員会で支持されて
は、DPO の任命が義務付けられま
す。これは、自社にとって特に重
き ま し た が、EY の GISS 2015で
す。特定の種類のデータには、個
要なリスクに基づいてプライバ
は、新しいプロセスや技術の開発
人の人種や民族性、宗教または思
シー保護プログラムを調整でき
の一環として PbD を導入してい
想、性的指向、健康状態、政治的見
るアプローチです。識別されたす
るという回答者はわずか 18% で
解、その他の具体的な個人の特定
べてのリスクや、関連したシステ
した。
につながる可能性のあるデータ、
ムやプロセスについて、プライバ
遺伝子データや生体認証データ等
シ ー 影 響 評 価(privacy impact
がありますが、これらに限定され
assessment、以下「PIA」)を実施
ません。
することなどが含まれます。
DPO が監督機関に対する一元的
リスクベースのアプローチは、プ
な窓口となって、GDPR に準じた
ライバシー保護を一時的な取組み
助言を行い、常に GDPR を遵守す
から戦略上必須となる重要事項へ
ることが求められます。
と引き上げます。
GDPR では、あらゆる製品やプロ
セスの開発を始める際に、PbD の
原則に従ったポリシー、手続、シ
ステムを設計することが求められ
るようになります。
PbD が公的な要件になることで、
プライバシー保護は後回しにせ
ず、当初からビジネスのあらゆる
側面に組み込まなければならなく
なるでしょう。
4
5
6
プライバシー保護 義務化への準備はできていますか? |
5
GDPR のポイント
漏えいが発生した場合、
72時間以内に通知しなければ
ならない。
違反に対する罰金が大幅に
増額される。
セキュリティはリスクと
直結している。
情報漏えいが発生した場合、EU
これこそが GDPR の
「実効力」
です。
企業に求められるセキュリティ対
各加盟国が定める要件に準拠する
のではなく、一本化された漏えい
の要件に従って、単一の監督機関
に報告することになります。この
要件では、漏えい発見から 72時間
GDPR の基本処理原則に違反した
企業には、全世界での年間総売上
げの 4% に当たる高額な罰金が科
せられる可能性があります。
策は、最新技術と導入コストのバ
ランスが取れており、個人の権利
や自由が侵害される可能性とその
リスクの重大性の程度が反映され
たものです。この点は指令と同様
以内に監督機関に通知することが
ですが、GDPR はさらに一歩踏み
義務付けられています。
込んで、リスクに見合った具体的
なセキュリティ対策を提案してい
漏えいの内容、影響を受ける人、
ます。個人情報の仮名化と暗号化、
漏えいによって生じ得る影響、企
機密性の保持、個人情報を処理す
業が講じた対応措置を通知する必
るシステムやサービスの完全性と
要があります。
復旧可能性、インシデント発生時
に速やかに可用性とデータへのア
クセスを復元する能力、対策の有
効性を定期的にテスト・評価・判
定するプロセスなどが、対策例と
して挙げられています。
承認された行動規範や認証メカニ
7
6
| プライバシー保護 義務化への準備はできていますか ?
8
ズムを遵守している企業であれば、
9
これらのツールを利用して GDPR
のセキュリティ基準の遵守を実証
することができるでしょう。
「同意」の定義が大幅に限定
されている。
EU 域外へのデータ移転は
一定の条件下で許可される。
「プロファイリング」に関する
規制が起案時よりも厳格に
なっている。
指令では、一定の状況では「オプ
GDPR において、EU 域外へのデー
第 4条によると、
(a)個人情報の
トアウト」方式による間接的な同
タ移転が認められるのは、EC がそ
自動処理が行われる場合と、
(b)
意が認められていますが、GDPR
の国の個人情報の保護レベルを
「十
個人情報を使用して自然人に関す
の場合、同意は「十分な情報に基
分」であると判断した場合です。
る特定の個人的特徴を評価するよ
づいて自由意思によって行われ、
曖昧な点のない明確なもの」でな
ければなりません。具体的には、
データ主体の「声明または明確な
肯定的行動」による明示的な同意
が求められます。また、保護者の
許可なしに未成年者がデータ処理
に同意できる場合について、新た
上記以外の場合であっても、標準
契約条項(standard contractual
clauses、
「SCC」
)や拘束的企業準
則(binding corporate rules、以
うなデータ処理は、
「プロファイ
リング」となる可能性があります。
自動化されていないデータ処理
は、この定義に含まれていません。
下「BCR」など、他のデータ保護対
策を講じている場合は、移転が許
可されることがあります。
な制限を設けています。
10
11
12
プライバシー保護 義務化への準備はできていますか? |
7
GDPR のポイント
BCR が重要性を増す
プライバシー影響評価が義務化へ
PIA(プライバシー影響評価)は、個人の識別につながる情報がどの
ように収集、使用、共有、保管されるかを分析するものです。企業は
PIA を通じて、個々のプロジェクト内と企業全体におけるプライバ
シーリスクを識別し、管理することができます。PIA はかなり以前
BCR(拘束的企業準則)は、同一企業グループ内で地理的な法域を越えて
個人情報を移転する際のグローバルポリシーを定めた一連の内部指針で
す。BCR の強固なデータ保護コンプライアンスパッケージにより、企業
グループ内で一貫したデータ保護が可能になります。
から実施されており、かつては任意でしたが、現在は義務化されて
GDPR では、包括的なポリシーと手順を実施して、GDPR に関連する遵
います。2012年の GDPR 改正案では、欧州の公共機関と民間組織
守義務を実行し、それを証明する必要があることから、BCR の承認を受
の両方に対して PIA の実施が義務付けられました。成立案ではこの
ける、あるいは承認を目指すには絶好の機会が訪れています。
要件が拡大されています。
BCR の承認を受けることには以下の三つのメリットがあります。
EY と国際プライバシープロフェッショナル協会(International
Association of Privacy Professionals、以下「IAPP」)が先ごろ共
同で実施した調査(以下「IAPP-EY サーベイ」
)によれば、プライバ
シー専門家の 59% が PIA を実施しており、約 50% が PIA は企業の
1.
合できるように設計されている。
2.
システム開発サイクルプロセスの一環であると答えています。しか
し、GISS 2015の調査結果を見ると、新しいプロセスや技術の開発
の一環として PIA を実施しているとの回答は 17% にとどまり、19%
が PIA については検討しているが導入するかは決まっていないと回
答しました。また、21% が近い将来、PIA の導入を計画していると答
えています。
BCR の厳格な基準を満たすことができれば、世界中の各種データ保
護法を遵守するのが容易になる。
3.
GDPR では BCR が明確に奨励されているため、BCR を適用してい
る企業は、GDPR の実施、監視、遵守を管理する EU 監督機関から好
意的に評価される可能性が高まる。
これまでに、約 80の組織が BCR の承認を申請しています。しかし、GISS
IAPP-EY サーベイと GISS 2015の調査結果の食い違いは、回答者
の属性が原因の一つであると考えられます。IAPP-EY サーベイの主
な回答者がプライバシー専門家であるのに対し、GISS サーベイでは
大半が情報セキュリティやテクノロジー担当の上級幹部でした。ま
た、地域の違いによる影響も考えられます。IAPP-EY サーベイによ
ると、EU の回答者は一般に、内部監査と PIA を実施していますが、
米国の回答者はベンダー管理プラットフォームや GRC ツールを好
む傾向にあります。
PIA は新しいプロセスや
技術の開発の一環と
なっている。
17%
新しいビジネスプロセスや
技術によってセキュリティ
対策は講じているが、
プライバシーについては
特に対応していない。
PIA などの
取組みを近い将来、
始める予定。
21%
43%
PIA について
検討しているが導入は
決まっていない。
19%
8
BCR の承認は各企業のビジネスモデル、運用、プロセス、文化に適
| プライバシー保護 義務化への準備はできていますか ?
2015では、EU 域外への個人情報の移転を予定している 43% の回答者
のうち、BCR 承認済みまたは申請中であると答えたのはわずか 10% で
した。
BCR 承認に必要な労力、時間、コストのレベルを考えると、GDPR への準
拠が求められる企業は、BCR 承認に向けて計画プロセスをできる限り早
期に開始すべきであると言えます。
情報処理者(Processor)は大きな変化を求められる
GDPR の影響は EU 域内で事業を運営するすべての企業に及びますが、
より多くの調整が必要となるのは情報処理者でしょう。
情報処理者とは、情報管理者(Controller)に代わって個人情報を処理す
る個人または組織です。情報処理者はこれまで、管理者の指示通りに個
人情報を保護し、機密性を確保することが求められてきました。また、
データ保護原則の遵守、法的義務、遵守違反に関する罰金支払いの責任
は情報管理者にありました。
GDPR が施行されると、情報処理者は情報管理者と同じ遵守義務、法的
要件が求められ、遵守違反があれば罰則の対象になります。この変更に
ついて、GDPR では明確に説明されていませんが、法的強制力のある権
利を個人が持つ必要があるという点に関しては、見解が明示されていま
す。情報管理者は引き続きコンプライアンスと法的義務に関して最大の
責任を負うことになるものの、今後は情報処理者もその義務から逃れら
れなくなります。
具体的には、情報処理者は以下の変更に対応する必要があります。
• データ保護法の直接適用
GDPR は、データ処理を実施する場所が EU 域内であるかどうかに関
係なく、EU に拠点を置き、個人情報を処理する情報処理者に適用され
ます。また、拠点が EU 域外にある情報処理者でも、EU 居住者に製品
やサービスを提供する場合、または何らかの方法で EU 居住者の個人
情報を処理する場合(行動監視)は、GDPR の対象になります。
• 説明責任の明確化
従業員数が 250名を超える情報処理者は、クラウドプロバイダーなど
が扱っているような顧客データを扱っていない場合も、すべてのデー
タ処理活動の記録を作成して保持する必要があります。また、機密
データを処理する場合や、大規模な個人への行動監視を定期的に実施
している場合は、DPO を新たに選任する必要があります。
• データセキュリティに対する直接的な責任
情報処理者と情報管理者は共にデータセキュリティに対する責任を
負うことになります。これには、データの暗号化と仮名化に加えて、シ
ステムとサービスの完全性、機密性、可用性を維持する要件などがあ
ります。
• コンプライアンスに対する二つの責任
情報処理者は、データ移転規則の遵守について情報管理者と同等の責
任を負うことが求められます。また、保護が十分でない国へデータを
移転する際は、BCR などの適切な対応を実施していることを証明する
必要があります。
• 再委託先に対する承認
情報処理者は今後、再委託先(情報処理者からの委託先)との契約前に
委託元である情報管理者の承認を得なければなりません。また、情報
管理者との間で合意した契約と同じ条項を再委託先にも適用する必
要があります。
最終的に、こうした変更によって情報処理者に求められるのは、情報管
理者との連携をより強化して、個人の識別が可能な情報のプライバシー
と機密性を維持することです。今後は、
情報処理者と情報管理者がセキュ
リティとコンプライアンスに対して等しく責任を負い、データ処理に対
する説明責任を明確にする必要があります。
プライバシー保護 義務化への準備はできていますか? |
9
10 | プライバシー保護 義務化への準備はできていますか ?
情報の取扱いに責任を持つ
企業が場当たり的にプライバシーポリシーを策定していた自由放任主義
の時代は終わりを迎えようとしています。
GDPR が施行されると、企業は情報の取扱いに責任を持つとともに、事
業運営の過程で全社に関連するすべてのプライバシーリスクについて説
明責任を果たすことが求められるようになります。また、各種法令を遵
守してプログラムを実施していることを証明しなければなりません。そ
れができなければ、評判を傷つけたり経済的な損害を被ったりするリス
EY が提供するサービス
EY は、プライバシーに関する各種のアシュアランス・アドバイ
ザリー・サービスを提供しています。私たちは、クライアントが
GDPR 要件に照らしてプログラムを評価し、効果的な推奨事項を立
案し、プログラムの成果をモニタリングできるように支援します。
多数の BCR 開発プロジェクトを成功させた実績を持つ EY は、EU
クを冒すことになり、多大なコストが生じるばかりか、企業の存続の危
域内から世界各地へのデータ移転要件にクライアントが対応でき
機を招く恐れがあります。
るようお手伝いします。
GDPR の影響は全世界に及ぶと見られていますが、これには二つの重要
EY は、
以下をはじめとするプライバシーサービスを提供しています。
な理由があります。
1.
プログラム成熟度とリスクの管理
GDPR は、データを処理する場所にかかわらず、すべての EU 居住者
の個人情報に適用されます。多国籍企業の場合、世界的な営業活動
や人事業務が発生するあらゆる場所で、GDPR が適用されるものと
考えられます。
2.
コンプライアンス要件
プライバシー評価
内部監査
プライバシー要件を適用するに当たり、多数の EU 加盟国全体にわ
たって高度な一貫性を確保するとともに、これまで以上に BCR に
ベンダーアセスメント
留意することが、大規模企業がプライバシープログラムを構築する
際のデファクトスタンダードになると考えられます。
長い間、プライバシー管理とは、各種規制の違いを調べ、規制当局や執行
機関が出したコメントを解釈するという終わりのない作業でした。この
ようなコンプライアンス本位の考え方がプライバシーの分野から完全
取扱う個人情報と
データフロー
取扱う個人情報の整理
データフローの整理
になくなることはありませんが、今後は情報管理の有効性に対するプラ
イバシー専門家の動向を注視していくものと考えられます。規制やポリ
プログラムの戦略と開発
シーは重要ですが、効率的なプライバシー管理、データと組織の効果的
なガバナンス、それらの実施の監視ができなければ、GDPR という重要
な規制を遵守することは適わないでしょう。
プライバシー
プログラムの
開発と改善
ポリシーの策定
コンプライアンスと
モニタリングソリューション
プライバシー
アシュアランス
プライバシー SOC 2/3
その他のアシュアランスレポート
プライバシー保護 義務化への準備はできていますか? | 11
より深く知るには ?
「Insights on governance, risk and compliance」は、IT などのビジネスリスクに関連した課題や機会に焦点を当てたシリーズです。これらは最新
の論点に基づいてタイムリーに解説されています。GRC 理解の一助として、価値ある知見を提供いたします。
「Insights on governance, risk and compliance」シリーズについての詳細は、EY のホームページをご覧ください。
http://www.shinnihon.or.jp/services/advisory/risk-advisory/global-contents/index.html
「プライバシー保護は今後も可能か ?:
プライバシートレンド 2016」
ey.com/privacy2016
「リスクなくして利益なし:EY による
ガバナンス、リスク、コンプライアンスに
関するグローバルサーベイ(2015年)
」
ey.com/GISS2015
“How do you find the criminal before
they commit the cybercrime?:
a close look at cyber threat intelligence”
ey.com/CTI
(英語版のみ)
“Cybersecurity and
the Internet of Things”
ey.com/IoT
(英語版のみ)
“Using cyber analytics to help you get
on top of cybercrime: third-generation
Security Operations Centers“
ey.com/3SOC
“IAPP-EY Annual Privacy Governance
Report 2015”
ey.com/IAPP-EY
(英語版のみ)
“Enhancing your security operations
with Active Defense”
ey.com/activedefense
(英語版のみ)
(英語版のみ)
“Achieving resilience in
the cyber ecosystem”
ey.com/cyberecosystem
(英語版のみ)
“Cyber program management:
identifying ways to get ahead
of cybercrime”
ey.com/CPM
(英語版のみ)
12 | プライバシー保護 義務化への準備はできていますか ?
サイバー攻撃に気付くことができますか ?
多くの企業が困難な体験を通して学んだ教訓は、サイバー攻撃はもはや起こるかどう
かではなく、いつ起こるかが問題だということです。ハッカーの攻撃はますます執拗に
なっており、一つの手口が失敗しても、組織の防御を突破するまで別の手口で攻撃を仕
掛け続けます。それと同時に、技術の進化によって攻撃に対する組織の脆弱性が拡大し
ています。その背景にあるのが、オンラインへのアクセス増加、ソーシャルメディアや
モバイルデバイスの利用拡大、クラウドサービスの利用拡大、そしてビッグデータの収
集とアナリティクスです。組織、個人、データがデジタルでつながるエコシステムでは、
ビジネス環境と家庭環境の両方でサイバー犯罪リスクが増大します。今では従来型の閉
鎖的なオペレーショナル・テクノロジー・システムにさえ IP アドレスが割り当てられ
ているため、サイバー脅威がバックオフィスシステムだけでなく、発電や交通システム
といった重要なインフラにまで忍び寄っています。
サイバー攻撃に備えること。それがサイバー犯罪に打ち勝つ唯一の方法です。クライア
ントの視点で思考する EY は、貴社の事業、優先事項、脆弱性について、より優れた問題
提起をします。その上で、サイバー犯罪の検知、適応、予測に役立つ革新的な答えを、貴
社と連携して導き出します。戦略から実行まで長期にわたり有効で優れた成果の実現を
支援します。
企業がサイバーセキュリティに対してより適切に対処することで、より良い社会の構築
が可能になると、EY は確信しています。
サイバー攻撃に気付くことができますか ? EY にお問い合わせください。
プライバシー保護 義務化への準備はできていますか? | 13
EY | Assurance | Tax | Transactions | Advisory
EY のアドバイザリーサービスについて
EY について
世界が未曾有の変化を遂げる中、EY のアドバイザリー部門が考えるより良い社会とは、大規模で
EY は、アシュアランス、税務、トランザクションおよ
びアドバイザリーなどの分野における世界的なリー
ダーです。私たちの深い洞察と高品質なサービスは、
世界中の資本市場や経済活動に信頼をもたらします。
私たちはさまざまなステークホルダーの期待に応え
るチームを率いるリーダーを生み出していきます。
そうすることで、構成員、クライアント、そして地域
社会のために、より良い社会の構築に貢献します。
EY とは、アーンスト・アンド・ヤング・グローバル・
リミテッドのグローバルネットワークであり、単体、
もしくは複数のメンバーファームを指し、各メンバー
ファームは法的に独立した組織です。アーンスト・
アンド・ヤング・グローバル・リミテッドは、英国
の保証有限責任会社であり、顧客サービスは提供し
ていません。詳しくは、ey.com をご覧ください。
EY Japan について
EY Japan は、EY の日本におけるメンバーファーム
の総称です。新日本有限責任監査法人、EY 税理士法
人、EY トランザクション・アドバイザリー・サービ
ス株式会社、EY アドバイザリー株式会社などの 13法
人から構成されており、各メンバーファームは法的
に独立した法人です。詳しくは eyjapan.jp をご覧く
複雑な業界の問題の解決、そしてクライアントのビジネスを成長させ最適化し保護するといった
成果をもたらす、さまざまな機会の活用を意味します。
EY のアドバイザリー部門は業界にフォーカスした協調的なアプローチによって、戦略、顧客、金
融、IT、サプライチェーン、ピープルアドバイザリー、プログラムマネジメント、リスクなど、さま
ざまなコンサルティング力を結び付けて、デジタルの創造的破壊、イノベーション、アナリティク
ス、サイバーセキュリティ、リスク、トランスフォーメーションといった、クライアントの最も複
雑な問題と機会を余すところなく理解します。高い実績を挙げる EY のアドバイザリーチームは、
EY のアシュアランス、税務、トランザクション・アドバイザリー・サービスの専門家と組織の卓
越した業界研究拠点を活用して、クライアントが持続可能な成果を実現できるよう支援します。
EY アドバイザリーは、金融とリスクにおいて 150年の歴史を持つ EY の誇りを礎に、パフォーマ
ンス向上に取り組む際はリスクマネジメントについて考え、リスク・マネジメント・サービスを
提供する際はパフォーマンス向上を第一に考えます。また、アナリティクス、サイバーセキュリ
ティ、デジタルの視点をあらゆるサービスに取り入れます。
グローバルなコネクティビティ、多様性、協調的な文化からひらめきを得て、EY のコンサルタン
トは的確な問題提起をします。EY のコンサルタントは、フォーチュン 100マルチナショナルから
創造的破壊をもたらす革新的なリーディングカンパニーに至るまで、経営幹部レベル、事業部門の
リーダーレベルにわたり、クライアントとの信頼関係を築きます。EY はクライアントと共に、よ
り良い経営に役立つ革新的な答えを導き出していきます。
ださい。
The better the question. The better the answer. The better the world works.
© 2016 Ernst & Young ShinNihon LLC.
All Rights Reserved.
リスク・アドバイザリー・リーダー
本書は一般的な参考情報の提供のみを目的に作成さ
グローバル・リスク・リーダー
れており、会計、税務およびその他の専門的なアドバ
Paul van Kessel
イスを行うものではありません。新日本有限責任監
査法人および他の EY メンバーファームは、皆様が本
Americas
ても、一切の責任を負いません。具体的なアドバイス
Amy Brachio
本書は EYG no. 01206-163GBL の翻訳版です。
ED None
[email protected]
+1 612 371 8537
[email protected]
+971 4 312 9921
[email protected]
+61 8 9429 2486
[email protected]
+81 3 3503 1100
[email protected]
地域リスク・リーダー
書を利用したことにより被ったいかなる損害につい
が必要な場合は、個別に専門家にご相談ください。
+31 88 40 71271
EMEIA
Jonathan Blackmore Asia-Pacific
Iain Burnet
日本
東 義弘
サイバーセキュリティ・リーダー
グローバル・サイバーセキュリティ・リーダー
Ken Allan +44 20 795 15769
[email protected]
地域サイバーセキュリティ・リーダー
Americas
Bob Sydow
+1 513 612 1591
[email protected]
+44 207 951 6930
[email protected]
+65 8691 8635
paul.o’[email protected]
+81 3 3503 1100
[email protected]
EMEIA
Scott Gelber
Asia-Pacific
Paul O’Rourke
日本
東 義弘
グローバル・プライバシー・リーダー
Sagi Leizerov
+1 703 747 0899
[email protected]