解説:経済産業省、総務省による 「DX時代における企業のプライバシーガバナンスガイドブックver1.0」と 企業のデータ・プライバシー対応のあるべき姿(第3回) 2020年8月28日、経済産業省と総務省が「DX時代における企業のプライバシーガバナンスガイドブックver1.0」を公表し、国内の日系企業の間でも大きな注目を集めています。本稿では、プライバシーガバナンスガイドブックの内容を俯瞰的に解説し、企業のデータ・プライバシー対応のあるべき姿を世界の動向と比較しながら見ていきましょう。 Topics サイバーセキュリティ/プライバシー プライバシーガバナンスの実現のために取り組むべき要件 私たちが生きている時代は、データの時代です。イノベーションが急速に進み、より多くのデータが日々取得され、共有されている時代といってよいでしょう。テクノロジーとデータの利活用方法がますます高度化するにつれ、プライバシーリスクに起因する組織のリスクは複雑さを増しています。世界では、消費者保護の観点から、最重要課題の一つとして急速に注目を集めるようになりました。 プライバシーガバナンスガイドブックは、このような時代背景の下、プライバシー保護とデータ利活用の両立をするために、経営者が次の3つのことがらに取り組むことが必要としています。 プライバシーガバナンスにかかる姿勢の明文化 プライバシー保護責任者の指名 プライバシーへの取り組みに対するリソースの投入 一つ目の「姿勢の明文化」では、経営戦略上の重要課題として、プライバシーにかかる基本的考え方や姿勢を明文化し、組織内外に知らしめる他、明文化した内容に基づいた運用の実施についてアカウンタビリティを確保しなければならないとしています。経営者のリーダーシップがあって初めて組織的な取り組みが実現します。 二つ目の「プライバシー保護責任者の指名」では、欧州のGDPRでいうDPOのような独立性は求めないまでも、組織全体のプライバシー問題への対応を行う責任者を指名し、権限と責任の両方を与える必要性を指摘しています。実際、欧米ではCPO(チーフ・プライバシー・オフィサー)を設置する例も増えてきています。とはいえデータ・プライバシーに精通した人材の育成には時間がかかるため、体制を整えたとしても適切な人材が組織内にも市場にもいないという状況が生じているというのが実情です。 三つ目の「リソース」の投入については、必要十分な経営資源(ヒト・モノ・カネ)を漸次投入し、体制構築、人材配置、育成確保等を行うことを行わなければならないとしています。この点については比較的データ・プライバシー対応が進んでいるとみなされている欧米であっても、2人か3人のスタッフでやりくりしているという調査結果がある等、なかなか実施は難しい部分もあるようです。 プライバシーガバナンスの重要項目 一方、プライバシーガバナンスガイドブックでは、プライバシーガバナンスを実施するための重点取り組み項目として次の五つのものを挙げています。これらは、「消費者とのコミュニケーション」を除いては情報セキュリティガバナンスと重複しているため、大きな違和感はないのではないでしょうか。 体制の構築 (内部統制、プライバシー保護組織の設置、社外有識者との連携) 運用ルールの策定と周知 (運用を徹底するためのルールを策定、組織内への周知) 企業内のプライバシーに係る文化の醸成 (個々の従業員がプライバシー意識を持つよう企業文化を醸成) 消費者とのコミュニケーション (組織の取り組みについて普及・広報を実施、消費者と継続的にコミュニケーションをとる) その他のステークホルダーとのコミュニケーション (ビジネスパートナー、グループ企業等、投資家・株主、行政機関、業界団体、従業員等とのコミュニケーション) プライバシーは取扱う情報や技術、取り巻く環境、時代によって変化するため、特に重要なのは「企業内のプライバシーに係る文化の醸成」となります。従業員がプライバシー意識を持つように企業文化を醸成するということの裏には、従業員のプライバシーを尊重するよう組織内部からの要求も拡大するという側面もある点も認識しておくとよいでしょう。 プライバシー・バイ・デザインとプライバシー影響評価 最後に、プライバシー保護のベースとなる考え方としてプライバシーガバナンスガイドブックで紹介されている二つの考え方に触れておきましょう。 一つ目はプライバシー・バイ・デザインです。 プライバシー・バイ・デザインはカナダのオンタリオ州で情報プライバシー委員長を務めていたAnn Cavoukian博士が1990年代に提唱した考え方です。データ・プライバシーに配慮した処理活動やシステム設計を行う上での基本として定着しており、欧州GDPRでは第25条でData Protection by Design and by Defaultとして要件の一つに追加されています。 プライバシー・バイ・デザインには次に挙げる7つの原則があります。パーソナルデータを取扱う企業はこれらの原理原則を念頭にサービスやプロダクトを設計するとよいでしょう。 反応的(Reactive)ではなく予防的(Proactive)であること 初期設定はプライバシーがもっとも保護されるものとすること 設計段階でプライバシーを織り込んでおくこと 必要な機能はすべて備えること:ゼロ・サム(Zero-sum)ではなく、ポジティブ・サム(Positive-sum)で設計 End-to-Endで安全性を担保すること:個人データのライフサイクルを通じて保護する 可視性(Visibility)と透明性(Transparency)を重視すること ユーザーのプライバシーを尊重すること:ユーザーを中心に!(User-centric) ポイントは、対処療法的にプライバシー保護対応を考えるのではなく、あらかじめプライバシー保護が可能な仕組みをビジネスモデルや技術、組織構築の最初の段階で組み込むべきであるという考え方です。製品設計でいうFMEAやソフトウェア開発のDevSecOpeの考え方にも符合しますので、違和感なく取り組むことができるのではないかと思います。 プライバシーガバナンスガイドブックで触れられているもう一つの考え方は、プライバシー影響評価(Privacy Impact Assessment, PIA)です。 プライバシー影響評価とは、個人情報やプライバシーに関するリスク分析、評価、対応検討を行う手法を言います。国外ではISO/IEC 29134:2017としてガイドラインが提供されていましたが、JISとしても、今年1月JIS X 9251:2021が発行されました。PIAの実施プロセス及びPIA報告書の構成と内容について知ることができるので、ぜひ一読していただければと思います。 個人情報保護法改正大綱でプライバシー影響評価が言及されていたという背景もあり、JIS X 9251:2021についてはJIPDECが経産省や個人情報保護委員会と合同でセミナーを開催する等、国内でも注目を集めています。 国外では欧州GDPRでDPIAとして法律に導入されている他、2021年3月2日に米国で成立したバージニア州消費者データ保護法でも法律の要件として規定されている、というように法的要件の一つとして定着しつつある印象があります。グローバルに事業展開をされている場合は、プライバシー影響評価の実施を積極的に導入することが望まれます。 ところで、プライバシー影響評価については、プライバシーに関連してリスクアセスメントを実施し、リスク対応を行いますが、ガイドラインではその結果を「公表」することまで推奨しています。民間企業においては実務上プライバシー影響評価を公表することは営業秘密等の理由から困難なケースが大半でしょうが、アカウンタビリティの観点からは少なくとも実施記録と報告書の保管はしておきたいところです。 解説:経済産業省、総務省による 「DX時代における企業のプライバシーガバナンスガイドブックver1.0」と 企業のデータ・プライバシー対応のあるべき姿(第1回)はこちらから> 解説:経済産業省、総務省による 「DX時代における企業のプライバシーガバナンスガイドブックver1.0」と 企業のデータ・プライバシー対応のあるべき姿(第2回)はこちらから> プロティビティのデータ・プライバシー対応サービス プロティビティではお客様のデータ・プライバシー対応を包括的にサポートしています。2020年6月12日に公布された令和2年改正個人情報保護法への対応の他、世界各国の法規制へのデータ・プライバシー対応やプライバシーガバナンス体制の構築を支援しています。 (2021年5月)
