【要点抽出】DX時代における企業のプライバシーガバナンスガイドブックver1.3

ニキヌス

セキュリティとプライバシー保護は何が違うの?が気になり読みました。

https://www.soumu.go.jp/menu_kyotsuu/important/kinkyu02_000513.html

何の本?

最近AIとかクラウドを使ってパーソナルデータを活用する事例が増えてるけど、プライバシーもしっかり考えようね!プライバシーを守るためのガバナンス構築について指南しますという本です。
なお、パーソナルデータとは、個人情報保護法で定められる個人情報に留まらない「個人に関連するあらゆる情報」だそうです。広い概念ですね。

構成は?

1章 前書き
2章 ガイドブックの前提(基本的な考え方)
3章 経営者が取り組むべき三要件
4章 プライバシーガバナンスの重要項目
5~7章 参考情報
今回は4章までをまとめます。

2章 ガイドブックの前提

IoTやセンサー類の発達により、あらゆる個人に関する情報が収集できるようになりました(例えば街中の防犯カメラ、スマホの位置情報、Webの閲覧履歴、学歴、職務経歴、IoT機器から集められる生活に関する情報 etc)。
これは、私達の一挙手一投足がデータとして集められることを意味します。

それらのデータはうまく活用できれば、個人に最適化されたサービス提供など実社会に新たな価値をもたらす(Society5.0)可能性があります。
他方、こうしたデータを扱う際にプライバシー保護をおろそかにすると、個人に対する人権侵害や個人の思想を踏まえた投票活動の誘導行為につながる可能性があります。企業にとってはプライバシー問題で炎上し信頼を損ねるリスクもあります。
また、プライバシー関連でややこしいのは侵害の概念が時や人により変わること、つまり「社会受容性」の観点であり、これを見誤ると法的には問題なくても炎上してしまうことになります。

そうしたリスクを恐れてパーソナルデータ活用が委縮するよりも、各企業が正しくプライバシー保護に取り組んで健全に使っていこうよ。という考えが背景にあります。だから
「プライバシーへの取り組みはコストではなく品質向上。ゼロサムではなくポジティブサム」
「プライバシーの取り組みは単なるコンプライアンスではない、重要な経営戦略の一環」
と主張しています。
そのためにやるべきことは以下であり、詳細を3~4章で説明しています。

消費者、その他ステークホルダーとの対話に基づいて、自らが果たすべき行為(行動規範)を定め、誠実に遵守(コンプライ)しつつ、社会に対して積極的にそれを開示して説明(エクスプレイン)し、消費者やステークホルダーとの対話を通じて、信頼を獲得していく、コンプライ・アンド・エクスプレイン型への組織的な転換

図表 4 プライバシーガバナンスのフレームワーク(イメージ)

また、情報セキュリティとプライバシー保護の違いは以下です。
両者は重なり合う存在だが目的が異なります。特にプライバシーは想定されるリスクがつかみづらいために消費者とのコミュニケーションが必須です。

  • 情報セキュリティ:情報の機密性・完全性・可用性を守ることが目的

  • プライバシー保護:本人のプライバシー(基本的な権利)を守ることが目的

3章 経営者が取り組むべき三要件

要件1:プライバシーガバナンスに係る姿勢の明文化
プライバシーに関する取り組みは経営者の責任であることを踏まえ、取り組む姿勢を明文化し、組織内にトップダウンで浸透させ、組織外にも公表することを求めています。
一例として、NTTドコモのパーソナルデータ憲章が紹介されています。

要件2:プライバシー保護責任者の指名
責任範囲と権限を決めた上で責任者を決めることを求めています。
一例として、トヨタのCPOの事例や、ヤフーのCDO・CPOの事例が紹介されています。

要件3:プライバシーへの取組に対するリソース投入
プライバシーは事後的な取り組みではなくプライバシー・バイ・デザインの考え方で備えるもの。そのために必要なヒトモノカネを割り当てる

4章 プライバシーガバナンスの重要項目

体制の構築

まずはプライバシーリスク管理ができる体制を作る必要があります。
要はセキュリティにおける3線モデルと同等と理解しました。

  • プライバシー保護責任者は、プライバシーリスクマネジメントができる体制を作り、方針を決めたり経営者に報告を行う。

  • 事業部門(1線)は、プライバシーリスクを扱う当事者として、保護組織と連携してリスクマネジメントを行う。

  • プライバシー保護組織(2線)は、プライバシー保護責任者のもとで

    1. 企業内の新規サービスや事業の情報を集め、プライバシーリスクを見つけ、改善に向けて働きかける。

    2. プライバシー問題に関する世間の動向の情報を集める。

    3. プライバシー問題が発生した後の対応や改善対応を事業部門と連携して進める。

  • 内部監査部門など第三者的組織(3線)は、プライバシーリスクマネジメントができていることを独立した立場から評価する。

運用ルールの策定と周知

プライバシー保護責任者の責任でルールを策定します。
例えば、いつ・誰がプライバシーリスクを特定、分析、評価(プライバシーリスク評価:PIA)するか等を決めます。

企業内のプライバシーに係る文化の醸成

教育や啓発を通じて、従業員ひとりひとりがプライバシー問題について当事者意識を持つよう働きかけます。

消費者とのコミュニケーション

パーソナルデータの持ち主の不安を払拭できるよう、継続的な情報開示とコミュニケーションが必要と強調しています。以下が取り組みの例です。

  • プライバシー保護の考え方やリスク評価の取り組み方を公表する。
    (好事例:パーソナルデータを活用するプロジェクトの内容や目的について情報発信し、また消費者からのフィードバックを得て改善する)

  • サービスの機能改定などのタイミングでプライバシーに関する変更点の情報を発信する。
    (好事例:消費者自身がデータの取り扱いをON/OFFできるコントロールパネルの提供)

  • プライバシーに関する消費者の意識調査を定期的に行う。

  • プライバシー問題が起こった後の対応体制を準備する。
    基本的にはセキュリティ事案が起こった後の公表と同じ。消費者に対する謝罪と分かりやすい説明、二次被害防止のための案内など。

その他のステークホルダーとのコミュニケーションとして以下が挙げられています。

  • 取引先や業務委託先、グループ会社はしっかり巻き込む。

  • 投資家向けにはプライバシーへの取り組みを先行投資として捉えてもらえるよう情報発信する。

  • 個人情報保護委員会などの行政機関や業界団体とも新たな事業を開始する際などに適宜連携する。

  • 従業員もプライバシーを配慮すべき対象としてコミュニケーションをとる。

5章~7章

5.章以降は参考情報なので割愛しますが、以下が役立ちそうでした。

図表 12 プライバシー問題を作り出す諸活動の類型

また、長いので載せませんが図表12の各プライバシー問題を詳述した図表13も見ておきたいです。
あわせて、7章の「プライバシー・バイ・デザイン」の考え方は読んでおくと良さそうです。

感想

一通り読んでみて「セキュリティとプライバシー保護の取り組み方はかなり似ている」と改めて思いました。実際に書かれていることはサイバーセキュリティ経営ガイドライン v3.0と似ています。

ただ、プライバシーのほうが取り扱うべきデータの範囲が広いというか抽象的であり、データの持ち主(個人)の感性によってゴールポストが動く点が特徴だと思います。だからこそ消費者やステークホルダーとのコミュニケーションを欠かさず続けていないと、突然批判されてしまうことがありえるのだと思います。

私の所属企業でもDXやデータ活用は盛んに取り組んでいますが、今後相談を受ける時はセキュリティだけでなくプライバシー目線でも注意してみようと思いました。

***はじめての方へ***
これは何のnoteだ?と思われた方はこちらをご覧ください。
これまでにまとめたガイドライン類の一覧はこちら

この記事が気に入ったらサポートをしてみませんか?