「DX時代における企業のプライバシーガバナンスモデルガイドブックver1.3」を公表

経済産業省から、「DX時代における企業のプライバシーガバナンスモデルガイドブックver1.3」が公表されました。このガイドブックは、パーソナルデータを利活用した製品・サービスを提供し、消費者のプライバシーへの配慮を迫られることが想定される企業や、そのような企業と取引をしているベンダー企業等における管理職等、責任者・担当者などを対象とするものです。

社会全体のデジタルトランスフォーメーション（DX）が進む中、イノベーションの創出による社会課題の解決とともに、プライバシー保護への要請も高まっています。今後、企業がプライバシーに関わる問題に能動的に取り組むことを、コストではなく、商品やサービスの品質向上のための経営戦略として捉えることで、消費者からの信頼の獲得、ひいては企業価値向上につながると考えられます。
こうした背景を踏まえ、経済産業省と総務省は、2020年8月「企業のプライバシーガバナンスモデル検討会」において、企業がプライバシーガバナンスの構築のために取り組むべきことを取りまとめた「DX時代における企業のプライバシーガバナンスガイドブックver1.0」を策定し、2021年7月に具体的な事例の充実を図ったver1.1を、また、2022年2月にはさらなる事例の追加や個人情報保護法改正に伴う更新等を行ったver1.2を策定しました。

その後、各方面から反響があるなかで、ガイドブックの理解をさらに深めるべく、2023年4月に「DX時代における企業のプライバシーガバナンスガイドブックver1.3」として、ガイドブックに記載される概念の整理や、諸外国の法令等に係る情報収集方法の追加等を行うとともに、海外への発信を見据え、英訳版を策定しました。また、実務において参照できる具体的な情報を充実してほしいというニーズを踏まえ、ガイドブックの要件・重要項目別に整理した実践例集「企業のプライバシーガバナンスに関する実践例の整理」も併せて策定しました。今後も社会の動向を適切に踏まえながら、本ガイドブックの更新を行っていく予定とのことです。

■DX時代における企業のプライバシーガバナンスガイドブックver1.3の背景

＜国際動向（EU･米国の動き）：プライバシーの企業価値への影響の高まり＞
⚫EUではGDPRにより基本的人権の観点から、米国ではFTC法（第5条）により消費者保護の観点から、多額の罰金や制裁金の執行がなされ、経営者がプライバシー問題を経営上の問題として取り扱うことが認識されている。また、GDPRでは、独立したDPO（Data Protection Officer）の設置や、DPIA（Data Privacy Impact Assessment）の実施など、企業に求められる体制・取組も位置づけられている。

⚫そのような環境下で、プライバシーを経営戦略の一環として捉え、プライバシー問題を能動的に対応することで、社会的に信頼を得て、企業価値向上につなげている企業も現れている。

⚫例えば、個人情報の特定やマッピング、利用者の同意の管理、データ要求の履行などを手掛ける「プライバシーテック」と呼ばれる企業への出資は拡大している。また、プライバシーを巡って、巨大テックの対立や規制強化、これによる企業の業績や事業展開への影響といった状況も生じている。

＜国内動向：グローバルで活躍する国内企業の動き、個人情報保護法制度改正等への対応＞
⚫国際的なデータ流通により経済成長を目指すDFFTを実現する観点からも、セキュリティやプライバシーの確保を通じた、人々や企業間の信頼が必要とされている。海外で求められるレベルへの目配せが国内企業にも必要となってきている。

⚫個人情報保護法改正を受けて、プライバシー保護を強化しつつ適切な利活用を進める動き。また、特にデジタル技術を活用した分野においては、民間主導の取組の更なる推進が必要とされ、個人データの取扱いに関する責任者の設置やPIAの実施などの自主的取組が推奨されている。

・昨今ビジネスモデルの変革や技術革新が著しく、イノベーションの中心的役割を担うDX企業は、イノベーションから生じる様々なリスクの低減を、自ら図っていかなければならない。

・プライバシーに関する問題について、個人情報保護法を遵守しているか否か（コンプライアンス）の点を中心に検討されることが多かった。しかし法令を遵守していても、本人への差別、不利益、不安を与えるとの点から、批判を避けきれず炎上し、企業の存続に関わるような問題として顕在化するケースも見られる。

・企業は、プライバシーに関する問題について能動的に対応し、消費者やステークホルダーに対して、積極的に説明責任を果たし、社会からの信頼を獲得することが必要である。経営者は、プライバシー問題の向き合い方について、経営戦略として捉えることで、企業価値向上につながるといえる。
企業が社会からの信頼の獲得するためのプライバシーガバナンスの構築に向けて、まず取り組むべきことをガイドブックとして取りまとめた

■DX時代における企業のプライバシーガバナンスガイドブックver1.3の概要

【対象読者】
パーソナルデータを利活用した製品・サービスを提供し、消費者のプライバシーへの配慮を迫られることが想定される企業や、そのような企業と取引をしているベンダー企業等であって、
①企業の経営陣または経営者へ提案できるポジションにいる管理職等
②データの利活用や保護に係る事柄を総合的に管理する部門の責任者・担当者など

【経営者が取り組むべき3要件】
要件１：プライバシーガバナンスに係る姿勢の明文化
経営戦略上の重要課題として、プライバシーに係る基本的考え方や姿勢を明文化し、組織内外へ知らしめる。経営者には、明文化した内容に基づいた実施についてアカウンタビリティを確保することが求められる。

要件２：プライバシー保護責任者の指名
組織全体のプライバシーに関する取組の責任者を指名し、権限と責任の両方を与える。

要件３：プライバシーへの取組に対するリソースの投入
必要十分な経営資源（ヒト・モノ・カネ）を漸次投入し、体制の構築、人材の配置・育成・確保等を行う。

【プライバシーガバナンスの重要項目】
１.体制の構築（内部統制、プライバシー保護組織の設置、社外有識者との連携）

２.運用ルールの策定と周知（運用を徹底するためのルールを策定、組織内への周知）

３.企業内のプライバシーに係る文化の醸成（個々の従業員がプライバシー意識を持つよう企業文化を醸成）

４.消費者とのコミュニケーション（組織の取組について普及・広報、消費者と継続的にコミュニケーション）

５.その他のステークホルダーとのコミュニケーション
（ビジネスパートナー、グループ企業等、投資家・株主、行政機関、業界団体、従業員等とのコミュニケーション）

■ガイドブックver1.3における主要な更新内容

1.ガイドブック記載内容の概念整理
ガイドブックの理解を深めるための概念整理を実施。主要な内容は以下の通り。

・DXを推進し競争力向上を志向する企業が参照できる一般的モデルを参照し、プライバシーガバナンスについて一般的なフレームワークによる整理を追加。

・人権やESGの文脈からも、統合報告書等による情報の開示やマーケットとの対話を通じて、プライバシー問題へ対応について投資家や社会からの評価を得ることが重要となってきていることを加筆。

・「情報セキュリティ対策とプライバシー保護」について、両者は概念として異なるものであることをコラムとして追記。

・プライバシー保護責任者について、経営者は自社の有するプライバシーリスクや組織構造の特性を踏まえ、円滑な業務運営等も考慮して適切な立場の者を指名することが望ましい旨を明記。

2.「6.（参考）諸外国の法令等に係る情報収集方法」の追加
企業が諸外国の法令等について自ら情報収集をする際に参照できる情報発信元（規制当局、議会等）等、基本的な情報収集方法について加筆した。
（参考）プライバシー・バイ・デザイン、プライバシー影響評価（PIA）

・基本的なプライバシー保護の考え方として、参照できるグローバルスタンダードの1つに、プライバシー・バイ・デザインというコンセプトがある。これは、ビジネスや組織の中でプライバシー問題が発生する都度、対処療法的に対応を考えるのではなく、あらかじめプライバシーを保護する仕組みをビジネスモデルや技術、組織の構築の最初の段階で組み込むべきであるという考え方である。

・プライバシー影響評価（PIA）とは、個人情報及びプライバシーに係るリスク分析、評価、対応検討を行う手法である。なおISO/IEC29134:2017では、PIAの実施プロセス及びPIA報告書の構成と内容についてのガイドラインを提供している。今般、2021年1月にJIS規格が発行された（JISX9251:2021)。ただし、PIAは全てのサービスに適用するものではなく、あくまで事業者の自主的な取組を促すものである。

・個人情報保護法改正大綱でも「民間の自主的な取組を促進するため、委員会としても、PIAに関する事例集の作成や表彰制度の創設など、今後、その方策を検討していくこととする」と記載があり、2021年7月には個人情報保護委員会よりPIAの取組に関するレポートも公開されている。