プライバシーガバナンスブックとは?企業にとって大切なプライバシーとは
2022.10.14
2022.10.07
はじめに
DXの推進やIoTの促進、SNS、オンライン通販など、IT技術の向上によって様々なものがデジタル化された。
デジタル化によって、趣味趣向や広告効果、来店までの足取りなど、今まで計測できなかったあらゆるものがデータとして計測できるようになったことで、企業はそれらのデータを分析・活用し、社会・企業の課題解決に役立てている。
その一方で、深刻度が増しているのが「プライバシー問題」だ。今までは名前や住所、電話番号など、直接個人を特定できる個人データさえ保護しておけば問題はなかった。
しかし、データ量が膨大となった結果、直接個人が特定できるデータではなかったとしても複数のデータを掛け合わせて個人を特定したり、AIやIoTのデータ解析によって不当な差別的扱いを起こしたりといったリスクが増している。
そこで注目されているのが「プライバシーガバナンス」という新しい概念だ。
今回は、プライバシーガバナンスの定義や生まれた背景、プライバシーガバナンスガイドブックに押さえておくべきポイント、取り組む事例について解説していく。
プライバシーガバナンスの定義
総務省・経済産業省が2022年に公表した「DX 時代における企業のプライバシーガバナンスガイドブックver1.2」によれば、プライバシーガバナンスは以下のように定義されている。
プライバシー問題の最適なリスク管理と信頼の確保による企業価値の向上に向けて、経営者が積極的にプライバシー問題への取組にコミットし、組織全体でプライバシー問題に取り組むための体制を構築し、素手を機能させることが、基本的な考え方
引用:総務省及び経済産業省-DX時代における企業のプライバシーガバナンスガイドブック Ver.1.2
簡単にいえば、事業活動で収集したデータに対してプライバシー保護に配慮する体制を組織全体で構築・実践していくということだ。
プライバシーガバナンスが生まれた背景
プライバシーガバナンスが生まれた背景にあるのが、IT技術の向上だ。
IT技術が向上した現代では、オンライン通販で買い物したり、SNSなどで情報収集したり、スマホとスマートスピーカーの連携で外出先にいながら、家電の管理も行える。
また、デジタル化によって様々なものがデータ化されたことで、企業は膨大なデータを収集できるようになった。収集したデータは分析・活用し、社会・企業の課題解決に役立てている。
IT技術の向上によって、生活が便利となり、企業経営に大きな変化をもたらした一方、深刻さを増しているのが「プライバシーの問題」だ。
データ量が膨大となった結果、直接個人が特定できるデータではなかったとしても複数のデータを掛け合わせて個人を特定するリスクや、AIやIoTのデータ解析によって不当な差別的扱いを起こすリスクが高まっている。
また、オンライン通販の利用率増加によって企業は、名前や住所、クレジットカード番号など、漏洩すれば直接個人が特定されたり、不利益を被ったりする個人データを容易に取得できるようになってきている。
つまり、一歩間違えれば簡単にプライバシーを脅かす事態になりかねないというわけだ。
個人情報保護法の施行・改正で、厳格なデータ保護が企業に求められているものの、データの複雑化によってプライバシー保護の概念は多様化しており、個人情報保護法をただ守っているだけでは、十分なプライバシー保護が難しくなっているのが実情だ。
そこで誕生したのが「プライバシーガバナンス」という概念。
プライバシーガバナンスの誕生によって、法令の枠に囚われず、プライバシー保護問題に総合的に取り組む組織体制作りが企業に求められている。
プライバシーガバナンスガイドブックで理解しておくべき3項目
ここからは、プライバシーガバナンスに正しく取り組むために、プライバシーガバナンスガイドブックで理解しておくべき項目を解説する。
理解しておくべき項目は大きく分けて「経営者が取り組むべきプライバシーガバナンスの三要件」「プライバシーガバナンスを機能させるための5つの重要項目」「プライバシーリスク対応への考え方」の3つだ。
経営者が取り組むべきプライバシーガバナンスの三要件
プライバシーガバナンス推進にあたって経営者が取り組むべき要件は「プライバシーガバナンスに係る姿勢の明文化」「プライバシー保護責任者の指名」「プライバシーへの取組に対するリソース投入」の3つだ。
それぞれ詳しくみていこう。
プライバシーガバナンスに係る姿勢の明文化
「プライバシーガバナンスに係る姿勢の明文化」は、プライバシー保護の軸となる考え方や姿勢を明文化して、組織内外へ発信する旨に言及している。
ただし、組織内外に発信しただけでは意味がないため、プライバシーリスクに対する意識・姿勢をトップダウンで浸透させて、組織全体にプライバシー問題への認識を根付かせなければならない。
さらに経営者は明文化した内容を実施して、アカウンタビリティの確保も求められている。必要であれば、組織全体の行動原則などを策定するケースもあるようだ。
プライバシー保護責任者の指名
「プライバシー保護責任者の指名」は、組織全体のプライバシー問題に対応する責任者を指名し、責任・権限を与える旨に言及している。
プライバシーガバナンスを実現するためには、上記の明文化した内容を組織がしっかりと実践していくことが欠かせない。したがって、経営者はプライバシー問題に対応する責任者を指名して責任を与え、明文化した内容を実践するようにする必要がある。
また、責任を与える際は責任の範囲を明確にしたうえで、プライバシー問題の発生を抑止するための必要な対応を遂行できるように権限も与えなければならない。
プライバシーへの取組に対するリソース投入
「プライバシーへの取組に対するリソース投入」とは、簡単にいえば人やもの、金といった経営資源を投入し、プライバシー問題に対応するための体制整備と実施を促進するという意味だ。
ただし、ここで注意しなければならないのは、プライバシー保護に係る取り組みはプライバシー問題発生後ではなく、発生する前に実施されるべきものであるということだ。
また、プライバシーリスクは経営状況などに関わらず、いつでも発生する可能性があるため、プライバシーへの取組に対するリソースの投入などは継続的に行わなければならない。
プライバシーガバナンスを機能させるための5つの重要項目
プライバシーガバナンスを正常に機能させていくためには、「体制構築」「運用ルールの策定・周知」「企業内のプライバシーに係る文化の醸成」「消費者とのコミュニケーション」「その他ステークホルダーとのコミュニケーション」の5つを押さえておく必要がある。
それぞれ詳しくみていこう。
体制構築
組織全体でプライバシー保護を実現するには、各部門の情報を収集したうえでプライバシー問題を把握し、対応策を多角的に検討しなければならない。
したがって、プライバシー保護責任者を中心に、各部門の情報を収集し対応策を分析する「プライバシー保護組織」の立ち上げが求められている。
プライバシー保護組織を設ければ、日々拡大しているプライバシー保護範囲や消費者意識を多角的に捉えて、状況に応じたプライバシー保護体制の構築が可能だ。
運用ルールの策定・周知
「運用ルールの策定・周知」も重要な項目の1つだ。どれだけ素晴らしい体制が構築できても、プライバシーリスクのあるサービスが開発・提供されてしまっては意味がない。
したがって、サービスの開発・提供前にプライバシー保護責任者やプライバシー保護組織が把握し、適切な検討を行う必要がある。
上記のような運用が適切に行われるためには、運用ルールを策定し、周知していく必要があるというわけだ。
企業内のプライバシーに係る文化の醸成
運用体制をしっかりと機能させるためには、経営者の姿勢を明文化した内容を組織全体に浸透させて、従業員一人ひとりがプライバシーへの問題意識を持ち、プライバシーリスクに対応できるよう企業文化を醸成させる必要がある。
したがって、経営者やプライバシー保護責任者が中心となって、プライバシー保護意識の重要性を発信し続けなければならない。
ただし、プライバシー保護の範囲・概念は、法令や事業内容に合わせて変化するため、研修やハンドブック、教育サポートなどを定期的に行っていくとよいだろう。
また、定期的な配置転換の対象部署に、プライバシー保護組織を組み込むのもおすすめだ。
消費者とのコミュニケーション
プライバシーガバナンスを的確に推進していくためには、消費者の意識や不安を理解するとともに、プライバシー保護に関して社会がどのように考えているのか変化を常に把握しなければならない。
また、該当データを収集する意図やプライバシーリスクへの対策に対して、分かりやすい説明を積極的に行っていく必要もある。
これらをしっかりと理解してもらい、消費者との信頼関係を構築するためには、継続的なコミュニケーションが必要不可欠だといえるだろう。
また、プライバシー問題が発生した際は、迅速に問題の内容を把握し対応する必要がある。
したがって、問題発生時にどのような対応を行い、どのように消費者とコミュニケーションを取るのか、あらかじめ検討しておくとよいだろう。
その他ステークホルダーとのコミュニケーション
プライバシー問題は消費者だけではない。
取引先・業務委託先といったビジネスパートナーをはじめ、グループ企業や投資家・株主、業界団体、従業員と多岐に渡る。
したがって、継続的にコミュニケーションを行い、プライバシーリスクマネジメントへの取り組みについて、積極的に説明していかなければならない。
さらに個人情報保護員会などの相談窓口を確認し、プライバシーリスクが高い事業を開始する際は関係行政機関へ事前相談するとよい。
プライバシーは日々変化するため、業界団体との情報交換などを行うとともに、可能であれば有識者をアドバイザーとして招いたり、プライバシー問題に詳しい弁護士などから意見をもらったりするのも効果的だ。
このように各方面とのコミュニケーション強化もプライバシーガバナンス推進には欠かせない。
プライバシーリスク対応への考え方
プライバシーリスク対応の参考となる考え方として、プライバシーガバナンスガイドブックで提示されているのは以下のとおりだ。
- 関係者と取り扱うパーソナルデータの特定とライフサイクルの整理
- プライバシー問題の洗い出し(プライバシーリスクの特定)
- PIA(プライバシー影響評価)
細かい解説はここでは割愛するが、それぞれの考え方のメリット・デメリットを把握したうえで、上手く活用していくとよいだろう。
また、プライバシー保護のグローバルスタンダードに「プライバシー・バイ・デザイン」という概念がある。こちらは別記事で詳しく解説しているため、ぜひ参照してほしい。
プライバシーガバナンスガイドラインの内容を理解している方は少ない
PwC Japanグループが行った2022年2月に行った「企業におけるDX時代における企業のプライバシーガバナンスガイドブックver1.2に沿った取り組み状況」の調査結果によると、改正法対応に未着手と答えた回答者のうち「ガイドラインの存在を把握していない」と回答したのは67%だった。
一方、改正法対応に着手済みと答えた回答者のうち「ガイドラインの存在を把握していない」と回答したのは31%だったものの、「ガイドラインの存在を認識しているものの、内容を確認していない」と回答したのは34%にも上る。
以上の結果から、プライバシーガバナンスの内容を理解している方は少ないといえるだろう。
ただし、調査が行われた2022年2月は2022年4月の改正法対応に追われていた時期だ。
したがって、改正法対応に追われていたことも、理解している方が少ない原因の1つであり、改正法対応が完了すれば、ガイドラインを理解している方は増え、プライバシーガバナンスに取り組み企業も増えていくだろという見解をPwC Japanグループは示している。
プライバシーガバナンスガイドブックの活用事例
ここでは、プライバシーガバナンスガイドブックに実際に記載されている企業の活用事例についてみていく。
プライバシーガバナンスの取り組みを検討している企業はぜひ参考にしてほしい。
NTT ドコモ
NTTドコモはプライバシーガバナンスに係る姿勢の明文化として、「パーソナルデータ憲章」を作成・公表している。
パーソナル憲章はNTTドコモが掲げる「新しいコミュニケーション文化の世界の創造」という企業理念を軸に、大きく6つの行動原則で構成されており、パーソナルデータ活用時の法令順守をはじめ、ユーザーのプライバシー保護・配慮も使命であることなどを宣言している。
また、消費者との継続的なコミュニケーションとして、 ユーザー自身のデータ提供先とデータ取扱いにかかわる同時確認などの機能が備わったパーソナルデータダッシュボードの提供も行っている。
トヨタ自動車株式会社
トヨタ自動車は「プライバシー保護責任者の指名」として、CPO(Chief Privacy Officer)を指名し、全社横断的なガバナンス体制の構築を行った。
CPOの下、プライバシーリスクに応じて業務分野の特定、各分野にプライバシー保護対応の責任者を新設・指名している。
また、CPOを議長としたプライバシーガバナンス推進会議を設置して、定期的に会議を行い、各分野のプライバシー保護対応やプライバシーにおける全社の課題などを共有し検討を行っているようだ。
プライバシー問題が発生した場合は、CPOとプライバシーガバナンス推進会議が中心となって具体的な対応を行える仕組みも構築している。
日本電気株式会社(NEC)
日本電気株式会社(NEC)は、「デジタルトラスト諮問会議」の設置による体制構築を行っている。
デジタルトラスト諮問会議とは、外部有識者から様々な意見を取り入れ、施策立案などに活かすために設置され、年2回開催されている会議だ。
法学者や消費者団体代表、法律家などの5名でメンバー構成されており、専門的な知見はもちろん、生活者の意見も取り入れることができる。
デジタルトラスト諮問会議を機能させることで、プライバシーに関する国内外の動向を正確に捉え、規制や取り組むべき内容などについて議論しているそうだ。
まとめ
- プライバシーガバナンスとは、簡単にいえば「事業活動で収集したデータに対してプライバシー保護に配慮する体制を組織全体で構築・実践していくという」概念
- インターネット普及やDX推進によるデジタル化によってデータが膨大化かつ多様化し、個人情報保護法をはじめとする法令をただ守っているだけではプライバシー保護が難しくなってきたため、プライバシーガバナンスという概念が生まれた
- プライバシーガバナンスを正しく推進していくためには「DX時代における企業のプライバシーガバナンスガイドブック」の内容を理解する必要がある
- 日本ではまだ普及が進んでいないプライバシーガバナンスだが、NTTドコモやトヨタ、日本電気株式会社(NEC)といった大手企業では既に取り組まれている
参考文献
DX 時代における企業のプライバシーガバナンスガイドブックver1.2
「DX時代における企業のプライバシーガバナンスガイドブックver.1.2」のポイントを解説