総務省・経済産業省作成の「DX時代における企業のプライバシーガバナンスガイドブックver1.1」は、企業による顧客のプライバシー保護の重要性を説いたものですが、内容の難解さゆえに目を通せていない方も多いでしょう。そこで本記事では、本ガイドブックの概要や経営者が取り組むべき要件、ver1.0との違いを解説します。
総務省が「DX時代における企業のプライバシーガバナンスガイドブック」を作成
経済産業省と総務省が作成した「DX時代における企業のプライバシーガバナンスガイドブック」は、企業が顧客のプライバシー保護に向けて積極的に取り組むことで、顧客・社会からの信頼を得て、企業価値の向上につなげるための指針を示したガイドブックです。2020年8月に策定されたver1.0への反響を受け、より実践的な企業の具体例を充実させたものとして、このたび2021年7月、新たにver1.1が策定されました。
本ガイドブックが策定された背景には、デジタル技術の発展と、それに伴うパーソナルデータの取り扱いに関する問題があります。近年、社会のいたるところで、さまざまなモノをインターネットにつなげるIoT(Internet of Things)・AI(人工知能)・クラウドなどが活用されています。商品・サービスの提供においても、顧客の膨大なパーソナルデータを集約し、把握・解析することで、より的確なアプローチが可能になりました。
しかし、そこで重要になるのがプライバシー保護の問題です。AIやIoTなどで得られたパーソナルデータには、その人の名前・住所・クレジットカード情報をはじめ、行動履歴や思想、趣味、嗜好、バックグラウンド、健康状態などあらゆる情報が含まれているため、個人のプライバシーの権利を大きく損なう可能性があります。
また、AIの学習モデルに使われるデータに偏りがあった場合などは、差別・偏見を助長することにもリスクがあります。実際、AIが黒人の画像データに対し、非常に偏見に満ちたラベル付けを行ったこともありました。
社会全体でデータの利活用への不信感が高まれば、政府が推進する「Society5.0」や、企業のイノベーションの実現も危うくなるでしょう。本ガイドブックでは誤ったパーソナルデータの利活用が、民主主義そのものを脅かす可能性にまで言及しています。
このように、パーソナルデータの取り扱いは多くの問題をはらんでいますが、日本企業は特にプライバシー保護などの社会的課題・ニーズへの対応をコストとして認識しがちで、積極的には行ってきませんでした。しかし、その見方を改めなければ、企業に社会的責任を求める現在の消費志向に対して大きなズレが生じ、結果として企業価値が大きく損なわれる可能性もあります。
このほか、政府が推進しているDX(デジタルトランスフォーメーション)の実現にも、パーソナルデータの取り扱いは不可欠といえます。こうした事情を受け、日本企業が企業価値を維持・向上させるために、本ガイドブックが採択されたのです。
本ガイドブックは、個人のパーソナルデータの利活用に携わる企業や、そういった企業と取引している企業を想定して作られています。特に、組織全体でプライバシー保護の体制を構築・機能させる、「プライバシーガバナンス」に携わるポジションの人は必読といっても過言ではないでしょう。
経営者が取り組むべき三つの要件とは? 事例も紹介
続いては、本ガイドブックで示されている経営者が取り組むべき三要件を解説します。
プライバシーガバナンスに係る姿勢の明文化
まずは、プライバシー保護に能動的に取り組むという、企業としてのスタンスを明文化することが大切です。企業価値を高めるための経営上の重要事項として、企業全体にプライバシー保護の重要性をしっかりと浸透させてください。また消費者や顧客、取引先、株主などにも公表し、実行に移すことが信頼の獲得につながります。
プライバシー保護責任者の指名
本ガイドブックでは、明文化したプライバシー保護への対策を具体的に行うために、組織全体のプライバシー問題の責任者(プライバシー保護責任者)を経営者が指名することが推奨されています。
その際は、プライバシー保護責任者の権限と責任範囲を明確にして、プライバシー保護の取り組みを担うチームを効果的に機能させ、企業としてプライバシー保護へ一貫した対応をとることが求められます。経営者はプライバシー保護責任者からの報告を受け、適切なフィードバックを行ってください。
プライバシーへの取組に対するリソースの投入
プライバシー保護の体制を構築・運営するため、継続的に十分なリソースを投入することも求められています。
プライバシーに関する問題は、いつでも発生する可能性があります。たとえば2021年3月には、国内で圧倒的シェアを誇る「LINE」のアプリ上のやり取りに関する一部データが、ユーザーへの十分な説明なく韓国のデータセンターで保管されていることが発覚し、問題となりました。
このような例もあるため、企業は事業を展開する前に、プライバシー保護に関して予想される問題を想定し、戦略・事業・システム・サービス・アフターフォローなどにも中心的に組み込む必要があります。
プライバシーガバナンスにおける重要な五項目とは?
続いて、プライバシーガバナンスにおける重要な五項目についてご説明します。
体制の構築
プライバシーの保護を適切に行うためには、情報資産の機密性などを確保する従来の情報セキュリティ対策だけでは足りません。そのため、個人情報保護法で守られるべき範囲に加えて、プライバシー保護責任者を中心に、企業に「プライバシー保護組織」を設けて適切に管理することが大切です。
プライバシー保護のための体制を構築し、プライバシーに関するリスクを漏れなく発見するだけでなく、万一プライバシー問題が発生した場合の対応と、原因の解析・改善を行うまでのフローもあらかじめ決めておく必要があります。社内でナレッジを蓄積するのはもちろん、社外の弁護士や消費者団体などにもアドバイスをもらいながら、多角的に検討してください。
運用ルールの策定と周知
プライバシー保護の体制を有効に機能させるためには、ルールの策定および全社的な周知が欠かせません。ただし、社会から求められるプライバシー保護の範囲・手段などは、技術の向上といった要因で変化するため、画一的な対応で済ませるのは避けるべきでしょう。したがって、継続的にルールの見直し・改善を行うようにしてください。
企業内のプライバシーに係る文化の醸成
企業が首尾一貫したプライバシー保護の対策を続けるためには、そこで働く社員一人ひとりがプライバシー保護に関する理解を深め、問題意識を持つことが大切です。プライバシー保護の研修を行うことに加え、最新の事象をプライバシー保護組織が分析し、定期的に共有するのも有効です。
消費者とのコミュニケーション
パーソナルデータの取り扱いに関する透明性を高めるため、企業のプライバシー保護に対する取り組みを積極的に社外へ公表することも大切です。それをコーポレートサイトやSNSなどでわかりやすく説明すれば、ユーザーの安心感につながるでしょう。
もしもプライバシー問題が起きた場合、かたちだけの謝罪をするのではなく、セキュリティの専門家と相談のうえ、原因の究明と問題への対応、二次被害を回避するための措置を迅速に行う必要があります。
その他のステークホルダーとのコミュニケーション
プライバシーを保護するためのスタンス・仕組みは、すべての関係者に関わることゆえ、株主や投資家、取引先、委託先、グループ企業などにも、プライバシー保護の対策について積極的に発信する必要があります。企業が積極的にプライバシー保護の問題に取り組んでいる姿勢を明示することで、信頼性の向上につながるでしょう。
また、求職者・社員のデータを利活用する際も、ユーザーと同じようにプライバシーデータの取り扱いに注意しなければいけません。
まとめ
ver1.0よりも具体的な例が示されているのが、プライバシー保護の重要性を説く「DX時代における企業のプライバシーガバナンスガイドブックver1.1」です。従来のセキュリティ対策ではパーナルデータを保護しきれないので、今回ご紹介した三要件などを守り、適切なデータ管理体制を構築してください。
