DX推進に必要となる「プライバシーガバナンス」の意義と取り組み内容

プライバシーガバナンスの必要性と概要

DXの実現には、顧客情報を含めた大量のデータを活用することが欠かせません。データを効果的に活用する際に、プライバシー保護という「守り」を固めることも必要不可欠となります。まずはプライバシーガバナンスの概要についてご説明します。

DXで重要性の増すプライバシー保護

プライバシー保護はDXによって、単なるサイバーセキュリティ上の課題からより広い経営課題として捉えられることが増えてきています。

個人情報を含めたパーソナルデータを収集・分析することで、個人の嗜好やニーズへより的確にアプローチできる環境が整い、きめ細やかなマーケティング施策を展開することが可能となりました。顧客データが資産となり、自社のサービス・製品開発の源泉に据えた企業価値の向上に深く関わるようになってきました。

その一方で、個人の行動履歴や思想・信条、趣味嗜好などを詳細に把握することさえ可能であるために、プライバシーへの影響が問題視されるようになりました。EUではGDPR（General Data Protection Regulation：一般データ保護規則）によって基本的人権の観点から、アメリカではFTC（Federal Trade Commission：連邦取引委員会）法によって消費者保護の観点から、プライバシー保護の問題を経営上の問題として取り扱うようになりました。

日本でも、プライバシー保護の考え方を推し進めた個人情報保護法の改正法が2020年6月に成立しました。DX推進が経営者の重要課題となるとともに、プライバシー保護も全社的に取り組むべき経営課題となりつつあります。

プライバシーガバナンスで企業価値向上へ

プライバシーの問題は、近年法令遵守の範囲にとどまらない形で認識されつつあります。かつてはプライバシー保護＝コンプライアンス＝法令等遵守の観点から、「個人情報保護法を遵守しているか否か」だけが問われてきました。

しかし、企業によるデータ活用の拡大や社会的なプライバシー意識の高まりといった状況変化の中で、企業が強い批判を浴びる事例も増えてきたとされています。ただ法律を守ればよいだけでは済まなくなり、企業がブランド価値の維持のためにこの問題に取り組む必要があるわけです。

消極的に「法律だから守らなければ」という姿勢でプライバシー保護に取り組むのではなく、「顧客や消費者の信頼を得るために守る」と積極的に取り組むことで、企業価値の向上に役立つとも考えられます。ガイドブックでは、あくまでプライバシー保護をコストでなく商品・サービスの品質向上のきっかけとして捉えなおすべきとしています。

プライバシーガバナンスで取り組むべき3つの要件

プライバシーガバナンスは経営課題であり、問題が発生した場合には企業や経営者自身にも批判が集まることもあり得るため、経営者自身もリーダーシップを発揮して取り組むべき課題でもあります。ここでは、ガイドブックに記載された3つの要件について説明します。

プライバシーガバナンスに関わる姿勢の明文化

第一に、経営者がプライバシーガバナンスを経営課題の一つであると認識し、プライバシー保護に関する基本的な考え方を明文化して、組織の内外へ発信することが求められています。社内へ考え方をトップダウンの形で浸透させるとともに、社外からの信頼を獲得するきっかけにもなるでしょう。

具体的な方法としては、宣言の形をとったプライバシーステートメントや、組織全体による行動原則などが考えられます。

プライバシー保護責任者の指名

明文化した考え方を踏まえて、組織全体のプライバシー問題へ対応する責任者を担当幹部として指名するとともに、必要な権限を付与します。この際、担当幹部の責任範囲を明確にすることが重要です。

プライバシーへの取り組みに対するリソースの投入

明文化した考え方を実行へ移すためには、必要なリソース（ヒト・モノ・カネ）を投入することが求められます。責任者を指名するだけにとどまらず、プライバシー問題に対応するための部署・チームを設置して十分な人員を配置するとともに、人材の育成・確保に取り組みます。

ガイドブックでは、プライバシー問題を「経営状況や外部環境に必ずしも依存せず、常時発生する可能性がある」としています。いつでも発生しうる問題であるからこそ、専任のチームを設けて継続的にリソースを投入し、取り組み自体も継続的に行われなければなりません。

プライバシーガバナンスの重要5項目

プライバシーガバナンスガイドブックでは、プライバシーガバナンスを5つの重要項目に分けて説明しています。最後に、組織規模の大小や業種・業界を問わず取り組むべき各項目についてお伝えします。

体制の構築

前述の通り、組織と人員を設けてプライバシー問題に対応する体制を構築することが必要です。プライバシー保護責任者を指名するのに加えて、プライバシー保護組織を企業内に設けるのが望ましいとされています。

プライバシー保護組織は、まず各部門から新規事業やサービス内容についての情報を収集し、プライバシー問題につながりそうなリスクの芽を見つけることから始めます。事業部門から相談を受けたり、能動的に問題意識の共有を働きかけたりするなど、日頃から各部門と接点を持つよう心がけます。

さらに、プライバシーガバナンスが機能していることを発信する根拠として、内部監査部門やアドバイザリーボードなどといった第三者機関を設けることも考えられます。

運用ルールの策定と周知

プライバシーガバナンスに関わる運用ルールを、プライバシー保護責任者の責任のもとで策定しておくことが必要です。具体的には、プライバシー保護のための対策、プライバシーリスクを評価するタイミングや担当者・担当チームなどをルール化することが挙げられます。

こうしたルールは、プライバシー保護の責任者やチームだけではなく、組織全体に周知することが重要です。

文化の醸成

経営者がプライバシーガバナンスについてのメッセージを発信して組織全体へ浸透させ、プライバシーリスクへ適切に対応できるような組織文化を醸成することも求められています。担当チームだけではなく、全従業員がプライバシーへの問題意識を持たなければならないためです。

具体的な方法としては、以下が挙げられています。

・定期的な e-learning や研修教育
・社員必携の冊子などの中でプライバシー問題に対する姿勢に言及
・プライバシー問題に対する方針と連動したハンドブック等の配布
・プライバシー保護責任者の活動を社内広報する等の啓発活動
・パーソナルデータを取り扱う部署に対し、教育を集中的に実施
・新入社員配属時、部署移動時のタイミングでの教育サポート
・定期的な配置転換（ジョブローテーション）の対象組織として、プライバシー保護組織を入れる

消費者とのコミュニケーション

プライバシーに関する姿勢を消費者に対して継続的に発信していくことで信頼獲得につながります。組織の取り組みをWebサイトやプッシュ通知などの手段で公表するとともに、問題が発生した際には迅速かつ正確に（謝罪とともに）消費者へ伝える必要があります。

また、プライバシーは変化しうるために、消費者意識について継続的に意識調査などを実施して、結果を自社の取り組みへフィードバックさせることもよいでしょう。

その他ステークホルダーとのコミュニケーション

消費者だけではなく、株主・投資家、取引先、グループ会社を含めたパートナー、業界団体など、各種ステークホルダーとの関係構築が欠かせません。たとえば、パートナーと協働で事業を実施しているケースもありますから、プライバシーガバナンスについても協働で取り組まなければ機能しません。また、株主や投資家については、消費者と同じようにプライバシー問題への取り組みを分かりやすく発信する必要があります。

まとめ

ガイドブックでは、プライバシー保護に携わる責任者や組織をわざわざ設けている企業が現段階では少数であることを指摘しています。しかし、デジタル技術がビジネス戦略の根幹に関わるケースが増えていることを考慮すると、プライバシーガバナンスを単なるITの問題や法令遵守上の課題として捉えるだけでは不十分であると考えられます。

プライバシーガバナンスを改めて経営課題として捉えなおし、経営者のリーダーシップのもとで必要な施策を実行していくことが企業には求められています。これは「炎上回避」のための消極的な取り組みではなく、ブランド価値向上に向けて積極的に取り組むべき課題なのです。

【ガバナンス関連記事はこちらもおすすめです】
データガバナンスとは？データ管理体制の重要性

「プライバシーガバナンスガイドブックver.1.2」～更新の背景と理由、追加された事例とは
連載：DXにおけるDevSecOpsとは？「米・国防総省はどのようにしてKubernetesとIstioへの移行を果たしたか？」「DevSecOps Days Tokyo」レポート①
DX時代に求められるサイバーセキュリティの体制構築＆人材確保の方法とは？

（参考）
総務省・経済産業省「DX 時代における企業のプライバシーガバナンスガイドブックver1.0」
個人情報保護委員会「令和2年 改正個人情報保護法について」