デジタルトランスフォーメーション（DX）によりデータの利活用が推進され、その成否が企業の競争力を大きく左右する時代が到来しています。特に、人工知能（AI）をはじめとする技術の進展と普及に伴い、パーソナルデータの利活用による新たな価値の創造と恩恵の享受が期待されている一方、個人情報には該当しないもののプライバシーに関連し得る情報の範囲が拡大しています。

そのため、企業にはパーソナルデータの取り扱い方によってはプライバシーを侵害するリスクが新たに生じており、かかるリスクが顕在化した場合には損害賠償請求訴訟を提起されたり、事業の継続自体が困難になったりと、お客様や社会からの信頼を大きく損なうことになりかねません。そこで、パーソナルデータの利活用を成功裏に進めるためには「守り」が必要となり、「攻め」とのバランスを図りながら効果的な「守り」の施策を行うことが重要になります。

本コラムでは、この意味での「守り」の施策に焦点を当て、パーソナルデータの利活用におけるガバナンスとリスク管理の重要性について概説します。

「守り」の施策を進める際の悩み・課題

社内において「守り」の施策の重要性は理解されているものの、いざその取り組みを推進しようとした際には、次のような悩み・課題に直面するということをよく耳にします。

何から着手してどう進めればよいのか分からない。
どのシステムや業務においてパーソナルデータが利活用されているか分からない。
対策の必要性や効果およびコストが不明確で、決裁権限者の理解を得られない。
法務部門や情報システム部門など関係する部門が多く部門横断的な取り組みの推進が難しい。
個人情報保護法など関連法令を遵守しているので、それ以上の取り組みの必要性が分からない。
すでに必要な対策は行い運用されているので新たな取り組みは不要だと思っている。

これらの悩み・課題には効果的な施策があります。

悩み・課題（例）	施策（例）
何から着手してどう進めればよいのか分からない。どのシステムや業務においてパーソナルデータが利活用されているのか分からない。対策の必要性やその効果およびコストが不明確なので、決裁権限者の理解を得られない。	データマッピングとプライバシー影響評価（PIA）によるリスク評価
法務部門、情報システム部門、リスク管理部門など関係する所管部門が多く部門横断的な取り組みの推進が難しい。個人情報保護法などを遵守しているので、それ以上の取り組みの必要性が分からない。	プライバシーガバナンスの構築
すでに必要な対策は行い運用されているので新たな取り組みは不要だと思っている。	継続的な改善と高度化

以下ではこのような各施策例について解説します。

施策例

データマッピングとPIAによるリスク評価
プライバシーガバナンスの構築
継続的な改善と高度化

データマッピングとPIAによるリスク評価

自社において管理すべきパーソナルデータがどこにどれだけ存在するのかを正確かつ網羅的に把握できているでしょうか。例えば、社員の個人情報は人事部門のデータベースに保存されているかもしれませんし、お客様の連絡先情報は営業部門のCRMシステムに格納されていることが考えられます。また、パートナー企業との取引記録や契約書類には、個人名や連絡先が含まれていることもあります。さらに、マーケティング部門が収集したアンケート結果やウェブサイトのアクセスログなどもパーソナルデータに該当する場合があります。このように、パーソナルデータは企業内のさまざまな部門やシステムに分散して存在している可能性があります。

自信がない、不安が残るという場合には、自社が取り扱うパーソナルデータを整理し可視化する「データマッピング」や、パーソナルデータの利活用に伴い発生し得るプライバシーリスクについて事前に影響を評価する「PIA（プライバシー影響評価）」から始めるのが効果的です。自社が有するパーソナルデータの流れやその管理状況、利用目的などを明確にし、プライバシーを侵害するリスクが発生し得る場所およびその大きさを特定することができ、その対策を検討できるようになります。

詳細はこちら

プライバシーガバナンスの構築

守るべきパーソナルデータがどこにあり、どのようなリスクがあるかを把握しているものの、それらのリスクを企業としてどのように組織的に管理するか悩まれたことはないでしょうか。例えば、リスクは認識しているものの属人的な対応に終始し、企業として組織的・物理的・人的・技術的な対応はできていなかったり、対応に必要な人的リソースまたは予算が確保できなかったりといった場合です。

プライバシー問題に関わる適切なリスク管理と信頼の確保による企業価値の向上に向けて、経営者が積極的にプライバシー問題への取り組みにコミットし、組織全体でそうした取り組みを推進するための体制、すなわち「プライバシーガバナンス」が必要です。ガバナンスの形態は各社の文化や既存の組織体制などによりさまざまですが、何より大切なのはマネジメント層がプライバシー保護の必要性や自社のプライバシー問題に対する基本的な考え方を社内外に表明し、そのために必要となる経営資源（ヒト・モノ・カネ・情報）を割り当て、その効果を測定・評価し次の施策を打ち出すことができる体制とすることです。

詳細はこちら

継続的な改善と高度化

パーソナルデータの利活用を推進するにあたり、関連する法令対応やプライバシー保護の取り組みが行われたものの、プロジェクトが完了した後は見直しが行われておらず、当初想定した通りの運用ができているのか分からない、または運用されてはいるが徐々に形骸化しているということはないでしょうか。

また、技術の進展とそれに伴うパーソナルデータの利活用が進むことで、お客様や社会の受け止め方やリスクそのものも変化をしていくため、不断の改善を通じて環境の変化に対応し続けられる体制であることが求められます。

そこで、新しいリスクの識別と対策の見直しが可能になるようなガバナンスの見直しまたは高度化が必要です。特にプライバシーガバナンスの観点からは、次の点が重要です。これらの継続的な改善を行うことで、企業は新しいリスクに対応し、課題を克服しながら、信頼されるビジネスを実現できると考えられるからです。

プライバシーリスクの評価と管理：データの収集、処理、保管、共有および消去の各段階におけるリスクを定期的に評価し、対策を見直すことが必要です。また、サプライチェーン全体でのリスク管理も重要です。
技術進展に応じたガバナンスの高度化：AIやブロックチェーンなど新技術の影響を考慮し、データガバナンスとプライバシー保護を一体化することで、データの制御とその透明性を強化・確保します。
関連法令の遵守：欧州AI規制法など各国において新たに施行または改正される関連法令に対応するコンプライアンスプログラムを構築します。
従業員のリテラシー向上：全社員がプライバシー保護の重要性を理解し、適切な行動を取るための教育・啓発活動を実施し、データプライバシーの文化を組織全体に浸透させます。

詳細はこちら