パーソナルデータの利活用におけるデジタル先進企業のプライバシーガバナンスの取組状況

1 プライバシーガバナンスの概要とその必要性

昨今のデジタル化の推進を背景としたパーソナルデータ^※1の利活用の進展により、消費者の個人情報保護に対する関心や、プライバシー^※2に対する配慮への要請がますます高まっています。

パーソナルデータの利活用が進む中で、企業にとって新たなビジネスチャンスが生まれる一方で、個人のプライバシーに対する影響が多様化しています。例えば、収集された行動履歴から健康状態や思想・信条といった機微な情報が推測されることは、個人のプライバシーに大きな影響を与える可能性があります。また、AIを活用したデータ分析の結果、機械学習のデータに偏りがある場合、不当な差別的扱いを受けるといった新たなプライバシー問題も顕在化しています。

これまで、プライバシーに関する問題は、主に個人情報保護法の遵守に焦点が当てられてきました。しかし、パーソナルデータを利活用する企業は、プライバシーの問題を法令の遵守にとどまらない、個人のプライバシー侵害や社会的な影響を含む広範なものとして捉え、それを企業活動に組み込み、適切に対応していくことが求められます。

プライバシーガバナンスとは、プライバシー問題に関するリスクを企業が適切に管理し、経営者が積極的にその問題に取り組む姿勢を示し、組織全体でプライバシー問題に取り組むための体制を整え、効果的に運用することを指します。これを適切に実行し、消費者やステークホルダーに対して責任を果たすことで、社会からの信頼を得るとともに、企業価値の向上に寄与します。

今回は、パーソナルデータの利活用における企業のプライバシーガバナンスへの取り組み状況として、2社の事例をご紹介します。

^{※1「パーソナルデータ」とは、個人の識別性の有無にかかわらず、個人に関する情報全般を指す。

※2「プライバシー」とは、“他人の干渉を許さない、各個人の私生活上の自由”（岩波書店「広辞苑」第六版）などを指し、改正法で保護される「個人情報」よりもより広い範囲を指す。

引用：DX時代における企業のプライバシーガバナンスガイドブックver1.3}

図表1

2 デジタル経済圏挑戦企業におけるプライバシーガバナンス実施事例

1つ目のプライバシーガバナンス実施事例として、コングロマリットなデータビジネスを展開し、さまざまなサービスにおける自社ポイントの活用による経済圏拡大を目指すグローバル企業A社をご紹介します。

A社では、海外支店や多種多様なグループ会社が存在するため、ホールディングスが広範な範囲にガバナンスを効かせる必要がありました。また、世界中の顧客を対象に多様なデータビジネスを展開しているため、各国の法規制の適用を受け得る膨大な個人情報を適切に取扱う必要がありました。

このような背景のもとA社では、ホールディングスにおいてグループ全体のプライバシーガバナンスの推進を担う組織を立ち上げました。このプライバシーガバナンス組織では、世界各国の個人情報保護関連規制に準拠するとともに、プライバシーリスクに対応するための仕組みとして①PIA（プライバシー影響評価：Privacy Impact Assessment）、②データマッピング、③海外拠点におけるプライバシーチェック、④プライバシーセンターの作成を実施しました。

① PIA（プライバシー影響評価：Privacy Impact Assessment）

A社では、世界中の顧客の個人情報を取扱う中で、プライバシーリスクを適切に評価・把握し、必要であれば改善に繋げていく、といった仕組みが不十分との課題を抱えていました。そこで、プライバシーリスクに適切に対応するために、プライバシー問題を経営課題として捉え、法令遵守およびプライバシーリスクの低減を目的にPIAプロセスを導入しました。プライバシー問題が顕在化した後の事後対応とならないよう、データ利活用の企画・設計段階から「提供するサービスなどが顧客のプライバシーに配慮したものか」を評価し、予防策を事前に組み込んでいます。
またこのPIAは、グループ各社が自律的に実施していく構想のもと、各社への周知・説明を複数回実施するとともに、プライバシーガバナンス組織も常に関与し、PIAの定着や効率化を図っています。

② データマッピング

A社では、個人情報をさまざまなサービスで取得し、複数システムで管理していることからその所在が広域となり、開示等請求などの顧客からの問い合わせに対して時間を要することがありました。また、データの適切な管理や法令の遵守状況が不明確になり得るとの課題を抱えていました。そこで、グループ全体で、どのような個人データを、どのような目的で、どの国、どこのシステムで管理しているかを確認・整理するデータマッピングを実施しています。

③ 海外拠点におけるプライバシーチェック

世界各国では日々新しい個人情報保護法令の施行や改定が行われています。A社では世界各国で顧客の個人情報を取り扱う中で、変化の早い法規制に対して適切に対応しなければならないという課題がありました。そこでA社では日本のホールディングスが主導しプライバシーチェックを実施。世界各国の拠点において、当該国の個人情報保護関連規制に準拠できているかを確認しています。社内規程の内容をベースとして、グループ全体で守るべき要件や、各拠点固有の要件を含んだチェックシートを作成し、ヒアリングなどを通じて運用状況の確認を行っています。

④ プライバシーセンターの作成

A社では、プライバシーに関する取り組みの透明性を確保するために、コーポレートサイトでの基本方針・行動原則・取り組みの公表、プライバシーポリシーの掲示などを実施しています。さらには、顧客とのコミュニケーションの観点から、よりわかりやすくプライバシー保護の取り組みを説明するプライバシーセンターをその中に開設しました。プライバシーセンターでは、基本的な疑問に対する解説や、顧客個人情報の取扱い方針、顧客本人による個人情報の管理方法などを、イラストや平易な言葉で説明しています。

これらの取り組みにより、グループ全体としてのプライバシーガバナンス力の向上を図り、顧客のプライバシー保護と、A社の経済圏の拡大を両立すべく、日々改善に努めているところです。

図表2

3 アドテク領域で急成長している企業におけるプライバシーガバナンス実施事例

2つ目のプライバシーガバナンス実施事例として、自社データを活用して広告配信事業を展開するB社をご紹介します。

B社は近年、急成長を続けている企業で、データ利活用を含む新たな企画が次々と生まれています。現場重視かつスピード優先の企業文化は、ビジネスの成長を後押ししていますが、一方でガバナンスが十分に機能していないという課題を抱えています。同社では、自社でのデータ収集や広告主をはじめとした多様なステークホルダーとのデータ連携、データを活用したサービス提供など、さまざまな場面でプライバシーへの影響を考慮する必要があります。

B社はデータ活用を今後さらに推進し、企業成長を加速させるため、以下のプライバシーガバナンス強化に向けた取り組みを進めています。

① プライバシーガバナンス責任者および組織の設置

B社は、プライバシーを企業における重要課題として位置づけ、データを扱う企業としての責任を対外的に明確にするため、プライバシー責任者を新たに設置しました。また、プライバシーガバナンスを担当する組織も設け、プライバシーに関する施策の立案および推進に取り組んでいます。

② リスク評価プロセスの導入

B社では、各部門から次々と新しい企画が生まれる一方で、プライバシーを含むリスクの検証が十分に行われないまま、それらの企画が進行してしまうという課題がありました。この問題に対応するため、特に個人に関わる情報の取扱いを含む場合は、企画段階でプライバシーリスクの懸念がないかを評価する仕組みを整備しました。B社の事業特性とリスクの重要性を踏まえ、外部ステークホルダーとのデータ授受に重点を置いた評価プロセスが導入されています。

図表3：B社におけるプライバシーリスク評価観点（例）

カテゴリ	評価観点（例）
コンプライアンス	個人情報保護法やその他の規範、社内ルールなどに適切に従っているか
プライバシー	ビジネス推進を優先するあまり、本人に不利益をもたらすデータ利用を行っていないかデータ提供先における利用目的が、本人が予期し得るものになっているか本人に対して、データ提供の可否を選択できる機会や手段が十分に提供されているか

③ プライバシー関連規程の見直し

B社では、個人情報保護に関する規程は整備されているものの、可読性や実効性などの問題から、形骸化しているという課題がありました。また、従来の規程は法令遵守や個人情報保護に焦点を当てたものが中心でした。プライバシーガバナンス強化の取り組みを契機に、各規程の想定読者にとっての可読性や、各ルールの実効性、さらに法令などの枠組みを超えたプライバシー保護に関するルールの必要性といった観点から、プライバシー関連規程の見直しを進めています。

④ 教育・啓発の強化

これまでB社では、個人情報保護法やセキュリティに関する教育は行われていましたが、近年の社会全体でのプライバシー意識の高まりや、B社のビジネスにおけるプライバシーへの影響を踏まえ、従業員一人ひとりがプライバシー保護の重要性と責任を理解する必要がでてきました。そこでB社では、プライバシーリスク評価などの取り組みと平行して、プライバシーに関する教育も強化を進めています。実際の炎上事案などを取り入れ、プライバシー問題が個人や企業にどのような影響を与えるか、また実務において何に注意すべきかを具体的に伝え、従業員が自分ごととして理解できるような工夫を行っています。

B社はこれらの施策を推進することで、プライバシーガバナンスの基盤を強化するとともに、プライバシーテックの導入やデータクリーンルームの活用といったより高度なプライバシーガバナンスやデータ利活用の展開を見据えています。

4 「個人情報保護法いわゆる3年ごと見直し」に向けて今できること

日本の個人情報保護法は、いわゆる３年ごと見直しに向けての検討が進んでいます^※3。
他方、多くの企業のデータビジネスは日々進化し続けています。
3年見直しへの備えは必要ですが、現時点においても、データビジネスの進化に合わせて、個人の権利利益の実質的な保護のあり方を改善し続けることが企業にとっては重要です。
その一環として、前述のデジタル推進企業の取り組みを参照し、自社のプライバシー保護プロセスに組み込み、個々の従業員のプライバシー意識をより高めるような文化醸成が不可欠と言えます。

^{※3 PwC：「個人情報保護法いわゆる3年ごと見直しに係る検討の中間整理」から見る規制強化のポイントと企業が留意すべき事項}