• Search in Protiviti.com

collaboration-forum-series3-wk2-hero

解説:経済産業省、総務省による 「DX時代における企業のプライバシーガバナンスガイドブックver1.0」と 企業のデータ・プライバシー対応のあるべき姿(第2回)

2020年8月28日、経済産業省と総務省が「DX時代における企業のプライバシーガバナンスガイドブックver1.0」を公表し、国内の日系企業の間でも大きな注目を集めています。本稿では、プライバシーガバナンスガイドブックの内容を俯瞰的に解説し、企業のデータ・プライバシー対応のあるべき姿を世界の動向と比較しながら見ていきましょう。

プライバシーガバナンスとは何か

欧州でGDPRが施行された2018年、シンガポール、フィリピン、香港の個人情報保護当局は相次いで「コンプライアンス」から「アカウンタビリティ」への移行の重要性を表明していました。データ・プライバシー関連法規制の要件に対してチェックリストを作成して対応できているかできていないかを確認するだけではなく、プライバシーリスクに対して組織としてどのように認識し、なぜ現在の対策をとっているのか説明可能となることが重要だ、という考え方です。

プライバシーガバナンスは、この考え方に符合しています。すなわち、プライバシーリスクを認識したうえで、企業としてアカウンタビリティを以て対応することがプライバシーガバナンスの基本的な考え方です。大切なのは、プライバシーリスクを認識し、評価していることであり、意思決定を評価に基づいて行っていることです。

企業はなぜプライバシーガバナンスに取り組む必要があるのか

プライバシーガバナンスの考え方の下では、企業の行動は全て企業による「意思決定」の結果とみなされます。そのため、企業のビジネス慣行が「不適切」と社会に断罪された際には、いわゆる「炎上」を招き、ユーザーによるサービスやプロダクトの拒絶といった企業にとって望ましくない結果を招くこととなってしまいます。

ピーター・ドラッカーがかつて著書「マネジメント」で書いたように、「企業は社会から存在を許されている存在」であり、「知りて悪を成すな」という指針に従うことが企業にとって合理的な選択肢となりつつある時代になったといってもよいでしょう。

今、企業には、社会的責任ある存在として信頼に足る行動をとることが求められています。

プライバシーリスクとは何か

ここまで、プライバシーリスクという言葉を何気なく使用してきましたが、プライバシーリスクとは何を意味するのでしょうか。

前提として理解しておきたいのは、個人情報保護とプライバシー保護の違いです。個人情報保護委員会のウェブサイトでは、「よくある質問(個人向け)Q1-4」で、個人情報保護法上の「個人情報」とプライバシーとの違いについて次のように説明しています。

「個人情報保護法上、プライバシーの保護や取扱いに関する規定はありませんが、個人情報保護法は、「個人情報」の適正な取扱いにより、プライバシーを含む個人の権利利益の保護を図るものです。

一方、プライバシーは「個人情報」の取扱いとの関連に留まらず、幅広い内容を含むと考えられます。そのようなプライバシーの侵害が発生した場合には、民法上の不法行為等として侵害に対する救済が図られることとなります。」

プライバシーガバナンスガイドブックでは、図表3でプライバシー保護の観点で考慮すべき範囲が個人情報保護で護られるべき範囲より広いことを示しています。そのうえで、考慮すべき事例の例として次のようなものを挙げています。

【プライバシー保護の観点で考慮すべきことの例】

  • カメラによって個人に不安や居心地が悪い感情を与える
  • データが勝手に個人に結び付けられてしまい、個人にとって害のある情報も収集されるのではないかという疑念
  • 目的外利用されてしまい、自分の情報が意図に反して利用されてしまうのではないかとの恐怖と不安が生まれる
  • 第三者への提供により、二次利用によってさらなるプライバシー問題が引き起こされるのではないかという不安が生まれる

注意したいことは、プライバシーについてのとらえ方は時代や文脈で変化するということです。たとえば連絡網や住所録の配布をひとつとっても、30年前ではどの小学校でも配布されていたものが現在は配布をしないというように変わっています。SNS上で公開している写真であっても、親しい人だけ公開する写真と、プラットフォーム上にいるすべての人が閲覧可能である写真を分けているものです。このように、私たちは、公にしたいもの、自分の近しい間柄だけにとどめておきたいものを使い分けながら暮らしている存在です。

プライバシーリスクを考慮する上では、組織の都合を超えたユーザー視点での検討が重要となります。

次回は、プライバシー保護の観点を考慮した事業運営を行うために何を行うべきかについてご紹介しましょう。

解説:経済産業省、総務省による 「DX時代における企業のプライバシーガバナンスガイドブックver1.0」と 企業のデータ・プライバシー対応のあるべき姿(第1回)はこちらから>
解説:経済産業省、総務省による 「DX時代における企業のプライバシーガバナンスガイドブックver1.0」と 企業のデータ・プライバシー対応のあるべき姿(第3回)はこちらから>

プロティビティのデータ・プライバシー対応サービス

プロティビティではお客様のデータ・プライバシー対応を包括的にサポートしています。2020年6月12日に公布された令和2年改正個人情報保護法への対応の他、世界各国の法規制へのデータ・プライバシー対応やプライバシーガバナンス体制の構築を支援しています。

(2021年4月)

Loading...