「DX時代における企業のプライバシーガバナンスガイドブックver1.1」が策定されました

経済産業省、総務省は、「DX時代における企業のプライバシーガバナンスガイドブックver1.1」を策定したとの公表がありました。デジタル化の加速により、パーソナルデータの利活用において、プライバシーへの配慮はますます重要になってきており、プライバシーガバナンスの構築は不可欠です。その実践にあたって、参考となる具体的事例を更新しています。

■背景・経緯・更新ポイント

社会全体のデジタルトランスフォーメーション（DX）が進む中、イノベーションの創出による社会課題の解決とともに、プライバシー保護への要請も高まっています。今後、企業にとってプライバシーに関わる問題に能動的に取り組むことは、コストではなく、商品やサービスの品質向上のためであり、経営戦略として捉えることで、消費者からの信頼の獲得につながり、企業価値向上につながると考えられます。

こうした背景を踏まえ、経済産業省と総務省は、昨年8月「企業のプライバシーガバナンスモデル検討会」において、企業がプライバシーガバナンスの構築のために取り組むべきことを取りまとめた「DX時代における企業のプライバシーガバナンスガイドブックver1.0」を策定しました。

その後、各方面から反響があるなかで、より実践的な企業の具体例を充実させて欲しいという声を受け、今回、「DX時代における企業のプライバシーガバナンスガイドブックver1.1」では、企業がプライバシーガバナンスを構築する上で参考となる具体的な事例が更新されました。
なお、参考文献等でアップデートがあったものは、情報を更新、今後も社会の動向を適切に踏まえながら、本ガイドブックの更新を行っていく予定とのことです。

＜国際動向（EU･米国の動き）：プライバシーの企業価値への影響の高まり＞
・EUではGDPRにより基本的人権の観点から、米国ではFTC法（第5条）により消費者保護の観点から、多額の罰金や制裁金の執行がなされ、経営者がプライバシー問題を経営上の問題として取り扱うことが認識されている。

・GDPRにおいては、独立したDPO（Data Protection Officer）の設置など、企業に求められる体制も位置づけられている。

・そのような環境下で、プライバシーを経営戦略の一環として捉え、プライバシー問題に適切に対応することで、社会的に信頼を得て、企業価値向上につなげている企業も現れている。

＜国内動向：グローバルで活躍する国内企業の動き、個人情報保護法制度改正大綱への対応＞
・国際的なデータ流通により経済成長を目指すDFFT（※）を実現する観点からも、セキュリティやプライバシーの確保を通じた、人々や企業間の信頼が必要とされている。海外で求められるレベルへの目配せが国内企業にも必要となってきている。
※DFFT：信頼性のある自由なデータ流通（Data Free Flow with Trust）とは、プライバシーやセキュリティ・知的財産権に関する信頼を確保しながら、ビジネスや社会課題の解決に有益なデータが国境を意識することなく自由に行き来する、国際的に自由なデータ流通の促進を目指す、というコンセプト。 ＤＦＦＴ（信頼性のある自由なデータ流通）のコンセプトに基づく「国際データ流通網」を広げていくことを目的として、より多くの国との間で、デジタル貿易ルールの形成等を促進することが求められる。

・個人情報保護法制度改正大綱でも、特にデジタル技術を活用した分野においては、民間主導の取組の更なる推進が必要としている。その一環で、個人データの取扱いに関する責任者の設置やPIA（※）の実施などの自主的取組が推奨されている。
※PIA：プライバシー影響評価（Privacy Impact Assessment）とは、個人情報の収集を伴う情報システムの企画、構築、改修にあたり、情報提供者のプライバシーへの影響を「事前」に評価し、情報システムの構築・運用を適正に行うことを促す一連のプロセスをいう。設計段階からプライバシー保護策を織り込むことにより、「公共の利益」と「個人の権利」を両立させることを目的に実施される。また、PIAを実施することにより、情報システム稼働後のプライバシーリスクを最小限に抑えることができ、改修とそれに伴う追加費用の発生の予防にもなる。

・昨今ビジネスモデルの変革や技術革新が著しく、イノベーションの中心的役割を担うDX企業は、イノベーションから生じる様々なリスクの低減を、自ら図っていかなければならない。

・プライバシーに関する問題について、個人情報保護法を遵守しているか否か（コンプライアンス）の点を中心に検討されることが多かった。しかし法令を遵守していても、本人への差別、不利益、不安を与えるとの点から、批判を避けきれず炎上し、企業の存続に関わるような問題として顕在化するケースも見られる。

・企業は、プライバシーに関する問題について能動的に対応し、消費者やステークホルダーに対して、積極的に説明責任を果たし、社会からの信頼を獲得することが必要である。経営者は、プライバシー問題の向き合い方について、経営戦略として捉えることで、企業価値向上につながるといえる。

【DX時代における企業のプライバシーガバナンスガイドブックver1.1の概要】
【対象読者】パーソナルデータを利活用した製品・サービスを提供し、消費者のプライバシーへの配慮を迫られることが想定される企業や、そのような企業と取引をしているベンダー企業等であって、
①企業の経営陣または経営者へ提案できるポジションにいる管理職等
②データの利活用や保護に係る事柄を総合的に管理する部門の責任者・担当者など

■経営者が取り組むべき3要件

要件１：プライバシーガバナンスに係る姿勢の明文化
経営戦略上の重要課題として、プライバシーに係る基本的考え方や姿勢を明文化し、組織内外へ知らしめる。経営者には、明文化した内容に基づいた実施についてアカウンタビリティを確保することが求められる。

要件２：プライバシー保護責任者の指名
組織全体のプライバシー問題への対応の責任者を指名し、権限と責任の両方を与える。

要件３：プライバシーへの取組に対するリソースの投入
必要十分な経営資源（ヒト・モノ・カネ）を漸次投入し、体制の構築、人材の配置・育成・確保等を行う。

■プライバシーガバナンスの重要項目

１体制の構築（内部統制、プライバシー保護組織の設置、社外有識者との連携
２運用ルールの策定と周知（運用を徹底するためのルールを策定、組織内への周知
３企業内のプライバシーに係る文化の醸成（個々の従業員がプライバシー意識を持つよう企業文化を醸成
４消費者とのコミュニケーション（組織の取組について普及・広報、消費者と継続的にコミュニケーション
５その他のステークホルダーとのコミュニケーション
（ビジネスパートナー、グループ企業等、投資家・株主、行政機関、業界団体、従業員等とのコミュニケーション