プライバシー対策は「コスト」。
そう捉える企業は多いのではないだろうか。
しかし、DXの成否が競争力の源泉になる時代にその認識は古いのかもしれない。
これからデータ活用においてプライバシー対策は必須となっていく。
そこでひとつの文書を紹介したい。
それが、経済産業省と総務省が2020年8月28日に公表した『DX時代における企業のプライバシーガバナンスガイドブックver1.0』だ。
企業がDXを推進する際に必要となる「これからのプライバシー対策」が示されている。
新総裁が決まり、デジタル庁などのデジタル政策に注目が集まる中で、DX時代に必須のプライバシー対策を俯瞰していこう。
ガイドブック策定の背景
同ガイドブックは、政府の「企業のプライバシーガバナンスモデル検討会」の意見募集の内容を反映し、公開された。
「企業のプライバシーガバナンス」とは、経営者がプライバシー問題にコミットし、全社の組織体制を構築して、それを機能させて企業価値を向上することを目的にした一連の取組を指す。
具体的な対象者は、パーソナルデータを用いる企業の経営陣や経営者へ提案できるポジションにいる管理職、データ管理部門の責任者などだ。
「プライバシー対策は、DX時代における経営課題のひとつ」ということだ。
つまり、DXをする上で避けられない「プライバシー対策」を経営者がどのように旗を振り、組織にどうインストールすべきかということが、このガイドブックには示されている。
同ガイドブック策定の背景には、世界のプライバシー保護の流れがある。
EUではGDPR(EU一般データ保護規則)により基本的人権の観点から、米国ではFTC法(第5条)により消費者保護の観点から、罰金や制裁金というペナルティも課されている。
プライバシーが経営上の問題と認識される中、欧米ではプライバシーを経営戦略の一環として捉え、社会的信頼を得て企業価値向上につなげている企業も現れている。
このような世界の動向を受けて、日本でも国内で活動するグローバル企業への対応が必要になってきた。
政府機関の事業でもグローバル企業への対策は、大きな課題だ。
政府機関、中国製ドローン新規購入を排除 情報漏えい・乗っ取り防止を義務化(毎日新聞)
なにより、消費者の意識も変わってきている。
日立製作所と博報堂が実施した調査によると、消費者の過半数はパーソナルデータの利活用に不安を感じている。
また、「第三者提供の制限」や「収集制限」などの措置を講じると不安が軽減されるという意見が6割にのぼり、国内消費者のパーソナルデータへの関心の高さや懸念材料を伺える。
経営者が取り組むべき3要件とは
ガイドブックでは「経営者が取り組むべき3要件」は以下としている。
「要件1:プライバシーガバナンスに係る姿勢の明文化」は、組織のプライバシー保護への基本的な考え方を明文化し、組織内外に知らしめることで、組織内部のプライバシー保護意識の醸成や消費者やステークホルダーから信頼が得られるとした。
ガイドブックでは、その事例としてNTTドコモの「パーソナルデータ憲章」を引用している。
この憲章では、パーソナルデータの活用の際は法令順守を徹底すること、消費者のプライバシーを保護し、配慮を実践することなどを宣言し、行動原則として 6 つの原則を提示している。
「要件2:プライバシー保護責任者の指名」は、明文化したプライバシーガバナンスの姿勢を実践するために必要な要件だ。経営者は、プライバシー保護責任者から報告を求め、評価をすることで、組織の内部統制をより効果的に機能させる。
「要件3:プライバシーへの取組に対するリソースの投入」は、明文化した内容を実践するためには、必要十分な経営資源(ヒト・モノ・カネ)を投入することが必要だとする。プライバシー問題は常時発生する可能性があることから、リソースが継続的に投入され、取組自体の継続性を高める必要がある。
では、より具体的に何に取り組むべきなのか。
参考となるLINEの事例とともに触れていこう。
プライバシーガバナンスの重要項目とは
同ガイドブックでは、プライバシーガバナンスの重要事項を5つ挙げている。
まず第一にプライバシーガバナンスを機能させるためには、プライバシー問題を横断的に取り扱う組織が必要だ。
プライバシー保護責任者を中心として、中核となる組織を企業内に設けることが望ましいとされている。
また、消費者との継続的なコミュニケーションが必要だ。データの利活用が進む度に新しいプライバシーリスクが発生する。
消費者の懸念を解消するためには、取組の情報を定期的に発信することで、企業と消費者の信頼感を構築することができる。
例えば、LINE 株式会社の「TRANSPARENCY REPORT」では、消費者から得たデータの活用方法を定期的に報告し、プラットフォーム運営に当たっての考え方をまとめている。
デジタルガバナンスを機能させるためには、消費者だけではなくその他のステークホルダーとのコミュニケーションも重要だ。
ビジネスパートナー間ではプライバシー保護に対応ができる技術や説明のやりとりをすることが必要だと示されている。また、投資家も社会的責任などの観点から、企業のリスク管理体制の強化を評価するようになってきたとし、株主や投資家に対してもプライバシー問題への対応を明確に説明するべきだとした。
このように、同ガイドブックで示された「プライバシーガバナンスの重要事項」は、企業を取り巻く様々な関係者とのプライバシーに関する適切なやり取りを示している。
こうした取組をする上では、いままで挙げられた内容を基にしたロードマップやストラクチャーを予め定めておくことが肝要だ。
ここで考え方のひとつを紹介しよう。
プライバシー保護における考え方
プライバシー保護において参考になる考え方として、「プライバシー・バイ・デザイン」や「プライバシー影響評価(PIA)」がある。
プライバシー・バイ・デザインとは、プライバシー問題を対処療法的に対応するのではなく、あらかじめ仕組みを構築しておくべきであるという考え方で、7つの原則を示している。
また、プライバシー影響評価(PIA)は、プライバシーに係るリスク分析や評価を行う手法
で、「PIAの必要性の決定」「PIA の実行」「PIA のフォローアップ」の 3つの実施プロセスを経て評価される。
プライバシー評価はどのタイミングで、誰が評価するかがポイントとなる。例えば、製品をリリースするプロセスでは、発案初期段階やリリース前に経営者とのプライバシーリスクを評価することができる。
プライバシーリスクを最小限にするためには、先に触れたプライバシー責任者や経営者と連携し、重要なタイミングで都度プライバシー評価を行う体制を構築することが求めらる。
プライバシー保護が「コスト」から「価値」にかわる
デジタルトランスフォーメーションを推進するには、企業が社会の様々な人々とどのように信頼関係を構築していくか考える必要がある。
パーソナルデータはビジネスにますます必要になってくる一方で、プライバシー保護という課題を企業に突き付けている。
政府自体もDXに大きな課題意識を持っており、現在新内閣の体制でデジタル改革担当大臣である平井卓也氏もデジタル庁の立上げに奔走。
今後、デジタル政策が進んでいくことに期待が寄せられている。
これまで、プライバシー保護は企業にとって単なるコストとして認識されることが多かった。
しかし、海外のプライバシー保護の動向やグローバル企業の取組は、プライバシー保護を「コスト」から信頼をえるための「価値」に転換した。
今回のガイドブックも、プライバシー保護が企業の商品やサービスの品質向上、信頼関係の醸成に向けたポジティブな側面を持つことを強調している。
DX時代のプライバシーガバナンスは、このプライバシー保護への認識の転換が求められてると言えよう。
■DX時代における企業のプライバシーガバナンスガイドブックver1.0の原文はこちら
(記事制作:江連 良介、編集:深山 周作)
現在、ソーシャル政策メディアPublingualの公開記念として全オリジナル記事を1カ月間全ユーザーに公開しています。コメントやPickUP機能が利用できるようになるため、まずは無料の会員登録よろしくお願いします。