かつての個人情報、パーソナルデータの収集は、イベント開催を機とした参加者アンケートの回収など、「紙」主流で行われていました。しかし現在では、インターネットやスマートフォンなどの普及により、生活のあらゆる場面で企業に情報が提供されるようになっています。そこで注目を集め始めたのが、プライバシーガバナンスです。この言葉の意味するもの、それを企業経営に取り入れる必要性、得られるメリットなどについて、デロイト トーマツ ファイナンシャルアドバイザリーの有識者3名(法務経験者:石川仁史、弁護士:末石友香、個人情報漏えい調査対応経験者:上妻孝之)が語り合いました。(聞き手:村上尚矢)
石川仁史
デロイト トーマツ ファイナンシャルアドバイザリー合同会社
マネージングディレクター
グローバルゲームプラットフォーマー、総合電機メーカー、コンサルティングファームの法務部門にて、契約法務、機関法務(ガバナンス)、戦略法務に従事した後、DTFAに参画。個人情報管理支援(漏洩時対応含む)、プライバシー影響評価(PIA)支援、マイナンバー、ヘルスケアデータ利活用支援、データマネジメントプラットフォーム構築支援などに従事。
詳細はこちら
末石友香
デロイト トーマツ ファイナンシャルアドバイザリー合同会社
マネジャー
法律事務所、企業の法務部門にて、情報漏洩対応、情報管理体制構築業務に従事した後、DTFAに入社。大規模有事発生後の個人情報管理体制の再構築支援、海外子会社でのプライバシーデータ取り扱い方針策定支援、ヘルスケアデータ利活用支援などに従事。
上妻孝之
デロイト トーマツ ファイナンシャルアドバイザリー合同会社
マネジャー
2018年にDTFAに参画後、企業が危機に直面した際の危機管理・危機からの脱出を支援するクライシスマネジメントにおいて、不正調査、情報漏洩調査などにIT技術者、プロジェクトマネージャとして従事。近年では、個人情報漏洩事案における有事対応の知見をもとに、平時からの個人情報保護対策支援、プライバシーガバナンスの構築支援にも従事。
プライバシーガバナンスという概念はいつから広まり、その背景には何があるのでしょうか?
石川
近年のデータ処理技術の向上により、データそのものの扱いは簡単になりました。各種ツールも充実し、企業はそれらを駆使して収集した膨大なデータの適切管理、高速かつ詳細な分析を実現し、ひいては企業経営への利活用についてまで議論するステージに立つようになっています。実際、個人情報よりも広い概念であるパーソナルデータ(個人にまつわる多様な情報)を利用して、消費者の行動や嗜好に合わせたマーケティングの展開、個々のニーズに沿ったサービスや製品の提供を実践している企業は多数存在するといえるでしょう。
上妻
その一方で、個人情報漏えいやパーソナルデータの不正利用、プライバシー侵害などの事件が増え、頻繁に報道されるようになったことも大きな変化です。それにより、自身のパーソナルデータがどのように利用されているのかに不安を覚える、あるいは法令遵守にとどまらないプライバシーへの配慮を求める消費者が増加しています。加えて、今やソーシャルメディア全盛の時代です。情報は瞬時に広範囲に拡散されていくようになりました。もしも社会や消費者が企業に対して疑念を抱けば、SNSを通じて批判が集中し、いわゆる「炎上」が発生するリスクが高まりました。それを回避するとともに、プライバシー問題の適切なリスク管理と信頼の確保による企業価値の向上を目指し、組織的な取り組みを行う考え方、つまりプライバシーガバナンスが注目されるようになりました。
末石
名称はともかく、考え方そのものは以前から社会的に認識されていたといえますね。
上妻
そうですね。そのような背景のもと、2020年8月に経済産業省と総務省が『DX時代における企業のプライバシーガバナンスガイドブック』を策定し、そこでプライバシーガバナンスという名称が登場したことで、概念的に広く認識されるようになったと考えます。
末石
ちなみに個人情報保護法とプライバシーガバナンスの違いですが、簡単に言えば後者は個人情報保護法を内包しています。つまり法令で定められた個人情報は当然、個人の属性情報、移動・行動・購買履歴、ウェアラブル機器から収集された情報まで対象としているのがプライバシーガバナンスです。これは組織体制や企業風土の整備、消費者に対する発信にも重きを置くため、一個人を守るといった個別対応を行う個人情報保護法とはかなり異なっています。
プライバシーガバナンスの導入が企業にもたらすメリットと、軽視により生じるリスクとは何でしょうか?
石川
情報の提供については、消費者の意識、世間の見方も大きく変化しました。かつてはアプリ等の約款を読まず、機械的に同意ボタンを押していた人が多かったように思います。しかしここ数年の傾向を見るに、本当にそれでいいのか、自分が提供する予定の情報がどのように使われるのか、誰の手に渡る可能性があるのか、といったことをしっかり考える消費者が増えています。そのため、企業も法令遵守・コンプライアンスリスクだけでなく、レピュテーションリスクを意識せざるを得なくなっています。
https://www.jipdec.or.jp/news/pressrelease/m0p0h60000005qig-att/20240418_01.pdf 一般財団法人日本情報経済社会推進協会(参照2025年4月3日)
末石
一般財団法人日本情報経済社会推進協会が2024年に行った「デジタル社会における消費者意識調査2024」では、「Webサービスやアプリケーションを利用する際、個人情報の提供に不安を感じるか否か」という問いに対し、80%を超える人が不安を感じると回答しています。さらに35%を超える人がその際にサービスの利用をやめてしまう。もしくは直ちにサービス利用をやめなくとも、約款やプライバシーポリシーを確認する、サービス提供企業に問い合わせるという人を含めると50%を超えるとの結果が出ました。この状況から、企業がプライバシーガバナンスに取り組むメリットは大きく2つあると考えられます。1つは企業イメージの向上です。これは、プライバシーガバナンス構築により、対外的な信用を得られることが理由となります。もう1つは、従業員や経営者のプライバシー意識が高まることによる、プライバシーリスクの低減です。
1つ目の対外的な信用獲得、企業イメージの向上について付け加えると、前述した通り、消費者は企業に対して圧倒的に情報の漏えいや第三者提供の回避といったプライバシー保護を求めています。そのため、自社のプライバシーガバナンスへの取り組みを消費者に向けて地道かつ積極的に発信することで、信頼の獲得、サービスの利用度向上につながると考えられます。これは、長期的に見れば企業の競争優位性につながるでしょう。2つ目については、プライバシーガバナンスの取り組みでは個別のプライバシー情報の取り扱い対策よりも、組織体制の整備・企業風土の改善に力点が置かれます。取り組みが浸透すれば、自ずと経営者や従業員が日々の業務においてプライバシー情報の取り扱いに留意するようになるはずです。その結果、組織全体としてのプライバシーリスク低減が実現することになります。
上妻
今はECサイトなどの発達により、インターネットを使えばなんでも購入できますし、価格比較も容易です。これは企業側から見れば、他社との差別化が難しくなったことを示しています。この課題を解決するための手法は複数考えられますが、プライバシーガバナンスをしっかりと取り組んでいることが差別化を実現する要因になるといえます。
石川
また、企業のブランド戦略として、自社のファンを獲得するという方法もあります。仮に約款への同意を求める際、「預かったプライバシーデータはこのような形で社会的貢献に活用します」とのメッセージを出している企業があれば、理念に共感する消費者が顧客化するとも考えられますね。
末石
確かに、それらも大きなメリットになります。反対に取り組みを怠った場合のリスクですが、レピュテーションへの影響は見逃せない事項です。実は、過去の個人情報保護法に関する炎上事件の多くは、問題となった行為がなされた時点では、当時の法令に正面から違反していない、グレーゾーンにあるものでした。しかし消費者からの反発が強く、そのような世論に追随する形で個人情報保護法が改正され、規制が明確化しました。それにより、後から見ると法令に違反した状態になってしまったのです。こうなってしまうと、法令上直接的な違法行為はないとしてもレピュテーションに大きな傷がつくことは避けられません。プライバシー情報を多く取り扱う企業を筆頭に、各企業が徐々に体制を整備してきている中、不十分な体制しか持たないでいると、有事の際にビジネス自体が継続できなくなる可能性も十分に考えられます。また、消費者という名の世間、あるいは法律の改定を常に注視していなければ、企業そのものが時代の流れから大きく立ち遅れてしまうこともあり得ます。
<参考>
「デジタル社会における消費者意識調査2024」一般財団法人日本情報経済社会推進協会
https://www.jipdec.or.jp/news/pressrelease/m0p0h60000005qig-att/20240418_01.pdf
