デロイト トーマツ ファイナンシャルアドバイザリーの石川仁史、末石友香、上妻孝之によって、「プライバシーガバナンスとは何か」「そこに取り組むことのメリットと、取り組まなかった場合のリスクとは」が語られた前編を受け、後編では「プライバシーガバナンスの取り組みとは、具体的に何をすればいいのか」を中心に議論がなされました。さらに、国内外におけるプライバシーガバナンスの今後の展望についても言及されています。プライバシーガバナンスは、さらなる企業成長の実現とは切り離せないともいえるとの考察は、3者共通のものでした。(聞き手:村上尚矢)
石川仁史
デロイト トーマツ ファイナンシャルアドバイザリー合同会社
マネージングディレクター
グローバルゲームプラットフォーマー、総合電機メーカー、コンサルティングファームの法務部門にて、契約法務、機関法務(ガバナンス)、戦略法務に従事した後、DTFAに参画。個人情報管理支援(漏洩時対応含む)、プライバシー影響評価(PIA)支援、マイナンバー、ヘルスケアデータ利活用支援、データマネジメントプラットフォーム構築支援などに従事。
詳細はこちら
末石友香
デロイト トーマツ ファイナンシャルアドバイザリー合同会社
マネジャー
法律事務所、企業の法務部門にて、情報漏洩対応、情報管理体制構築業務に従事した後、DTFAに入社。大規模有事発生後の個人情報管理体制の再構築支援、海外子会社でのプライバシーデータ取り扱い方針策定支援、ヘルスケアデータ利活用支援などに従事。
上妻孝之
デロイト トーマツ ファイナンシャルアドバイザリー合同会社
マネジャー
2018年にDTFAに参画後、企業が危機に直面した際の危機管理・危機からの脱出を支援するクライシスマネジメントにおいて、不正調査、情報漏洩調査などにIT技術者、プロジェクトマネージャとして従事。近年では、個人情報漏洩事案における有事対応の知見をもとに、平時からの個人情報保護対策支援、プライバシーガバナンスの構築支援にも従事。
ガイドブックを参考に最初の一歩を
上妻
はじめに注意していただきたいのですが、プライバシーガバナンスは法律上の定義が存在しません。個人情報保護法などの法令であれば、「してはいけないこと」「しなければならないこと」を定めているので、企業としてもアクションが取りやすいでしょう。しかしそのような明確な解がない中で、社会状況や消費者の価値観を考慮しながらプライバシーという考え方の原理原則に立ち返り、業務に落とし込んでいく必要があるのがプライバシーガバナンスの構築です。そのため、多くの企業が対応に苦慮している印象があります。また、現場レベルだけで保有する個人情報保護の対策を協議していると、論点が「法令上必要なのか?」になりがちで、プライバシーガバナンスの本質を見失うことが多々あります。
この状況を鑑みると、プライバシーガバナンス構築のために最初にやるべきことは、経営層の意識改革といえるでしょう。彼らがプライバシーガバナンスの構築に全社で取り組むと決断を下し、その意義と向き合う姿勢をトップダウンで発信することが必要になります。とりわけ従業員から発せられる「何のためにそれをやるのか」との問いに対しては、法令対応を基準としているわけではなく、それ以上の対応を求めていることを周知させるのが重要です。
その際参考となるのが、前編で紹介した経済産業省、総務省による『DX時代における企業のプライバシーガバナンスガイドブック』(*)です。その前半では、経営者が実施すべき3項目が挙げられています。「プライバシーガバナンスに関わる姿勢の明文化」「プライバシー保護責任者の指名」「プライバシーへの取組に対するリソース投入」がそれで、その他にも重要項目として「体制の構築」「運用ルールの策定と周知」「企業内のプライバシーに関わる文化の醸成」「消費者とのコミュニケーション」「その他のステークホルダーとのコミュニケーション」が示されました。
*
DX 時代における企業のプライバシーガバナンスガイドブック
石川
これらは体系的にまとめられているので、経営層の方にはぜひ目を通していただきたいところですね。
上妻
そのとおりです。加えて、忘れてはいけない重要事項として、会社が保有する個人情報の所在とライフサイクルを可視化するデータマッピングの作成が挙げられます。そこから、リスク評価まで行うことができていれば理想的です。それが実行できれば、企業のプライバシーガバナンス構築における行動指針、優先事項がスムーズに決定できます。
末石
プライバシーガバナンスという概念自体、固定できない「ふわっとした」感覚があるものですが、その構築によって自浄作用が働くようになり、自ずとプライバシーリスクが低減していきます。規制など外的要因だけが働く場合とは異なり従業員の意識が高まるため、リスクを見極める自己判断が可能になるからです。結果、消費者からの信用も高まると期待できます。そのためにも、まずは基盤となる組織体制とルールの整備、その周知・浸透により、内部でPDCAサイクルが回るようにすることが優先的な課題になるでしょう。
プライバシーガバナンスに留意する有用性
石川
その課題を比較的解決しているのが、金融機関やコンシューマー情報を取り扱う企業ですね。いずれの企業群は、個人情報だけでなく、それに紐づく重要情報を多く抱えていることも要因となって、非常に高い意識を持たれています。また、グローバル企業もプライバシーガバナンスの広がりを敏感に感じ取り、対応を行っています。
上妻
とはいえ、現状はまだ道半ばという感じは否めません。保有している大量のパーソナルデータをもとに、プロファイリングやマーケティングに活用している企業がありますが、それらの企業が消費者に向けて十分な情報発信をしているのか、社内の管理体制を整えているのかについては、疑問が残ります。一方で、その業界のモデルとなるようなリーディングカンパニーが生まれ始めているのは心強いですね。
石川
視線を日本国内だけに向ければ、個人情報保護法だけに留意すればいいという人もいるでしょう。ただ、日本に本社を置きつつ欧米中心でビジネスを行っている企業は少なくありませんし、グローバル展開を考えている企業も多いでしょう。日本の個人情報保護委員会も、各国のデータ保護当局と連携して、国際的なデータ利活用と保護との枠組みを強化してくると予測されます。その他の海外においても、国際的なデータ移転に関する標準化や協力が進むと予想されますし、データの匿名化や暗号化、差分プライバシーなどの技術を活用したプライバシー保護強化が加速するでしょう。あとはAIとプライバシーとの関係です。AI技術の進展に伴い、AIが収集・処理するデータのプライバシー保護が重要な課題となります。その際には、AI利用に係る説明責任(アカウンタビリティー)が求められるでしょう。
末石
日本の動向としては、個人情報保護法は3年ごとに見直され、どんどん厳しいものとなっています。令和4年改正では各種違反行為への罰則が強化され、EUの制定した個人データの保護に関する法令、GDPR(一般データ保護規則)に寄せる形で課徴金制度の導入も令和7年改正に向けた中間試案では検討されています。このように、今後も規制は強化されていくと予測できます。また、自分がある企業に提供したデータを他の企業に移す権利、データポータビリティが日本に導入されるのも時間の問題といえるでしょう。それにより、個人が信用できると考えた企業にデータを集約するようになりますから、プライバシーガバナンスによって信用性を蓄積していくことで、個人情報を多く取り扱えるようになるといった優位性の確保にもつながってくると考えられます。
「今」動くことに価値がある
石川
プライバシーガバナンス構築にはコストがかかると思われる経営層は多いと思いますが、時代の流れには逆らえません。いつ始めるのかと問われれば、「今です」と答えるしかないでしょう。この新しい考え方の導入により「やるべきことが増える」と捉えるのではなく、常に先手でやることにより逆に効率化が進む可能性が大いにあることを理解し、まずはスモールスタートで動き出すことが肝心です。大風呂敷を広げなくても取り組めるのですから。
上妻
日本企業の多くは、何事においても他社に追随する傾向にあります。しかし、だからこそトップを走ることに大きな意義があるともいえます。今の時期は企業にとってピンチでもありますが、同時にプレゼンスやレピュテーションを向上させるチャンスでもある。それを意識して、各種情報発信を積極的に行ってほしいと考えます。
末石
プライバシーガバナンスの構築は、確かにコスト面で多少の痛みを伴うかもしれません。ですが、一度手掛けてしまえばPDCAが回り出します。実現すれば、法律が変わってもそれに怯えることはないでしょう。そういった大きな安心と今後の自浄作用に期待を込めて、できるだけ早くプライバシーガバナンスに取り組んでいただきたい。そうすればプライバシーについて、企業としても堂々とした宣言ができます。それは結果的に、企業の初期投資としては安いものと判断できると考えます。
