{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
図表1は、業界別の改正法対応への着手状況を示しています。金融(着手済 79%)、医療(同 56%)など、センシティブかつ大量の個人情報を取り扱う業界は対応も進んでいることが分かりました。
一方、製造(着手済 40%)や運輸/物流(同 36%)などの業界は、他の業界に後れを取っているようです。BtoB企業が大半を占める製造業界では、一般消費者の個人情報を取得していないなどの理由で、改正法への対応が劣後している可能性があります。しかし、BtoB企業であっても、従業員や採用予定者、取引先企業の担当者の氏名など、個人を識別可能な情報は全て「個人情報」に該当するため、BtoC企業と同様に改正法への対応が求められます。
全体でも改正法への対応を開始しているとの回答は約半数にとどまり、多くの企業がコンプライアンスリスクを抱えている実情が見て取れます。
図表2は、改正法への分野別の対応状況を示しています。社内規程の見直しについては70%が着手済と回答しており、ルールの見直しから改正法対応を開始している企業が多いと推測されます。
続いて多かったのはプライバシーポリシーや各種通知文書の見直し(着手済 67%)、本人請求への対応(同 65%)で、本人との接点となる事項から優先して対応を進めている状況がうかがえます。顧客や一般消費者ら組織の外部からでも対応の有無が明白になるこうした事項は、法令違反となるリスクだけでなく、顧客や消費者の期待値を下回る対応を行うことで社会からの信用の失墜・顧客離反にもつながる恐れがあるため、先行して対応が進められていると考えられます。
個人関連情報への対応の見直しは、着手済という回答が半数にも満たない結果となっています。個人関連情報への対応では、取得時において個人情報に該当しないCookie情報や位置情報の利用状況の把握が必要になります。改正法ではこれらのデータが第三者に提供されることで個人情報になる場合、本人からの同意取得などが必要になるためです。しかし、本調査の回答者が所属する企業の法務担当部門の半数以上では、マーケティング部門などで個人関連情報をどのように取り扱っているかを把握しきれず、対応が遅れている可能性があるということです。改正法対応の見落としがないよう、法務部門やコンプライアンス部門などの、法的判断機能を持つ部門を中心とした従来の体制では把握しきれていなかったデータの管理が求められます。
PwCが企業の改正法対応を支援している中で、改正法対応の阻害要因として、「専任部門がない」「人員や予算の不足」という傾向が多くみられます。今回のアンケート結果からも、「人員や予算の不足」は阻害要因として多く挙げられました。その理由として、「経営層の理解が不十分なため」との回答もありました。一方、改正法への対応が進んでいる企業には、いくつかの特徴が見られました。
対応が進んでいる企業では、経営層を巻き込んだ体制づくりができていることが分かりました。図表4は、データ保護責任者の設置状況を示しています。法改正の対応に着手済と回答した95%が社内にデータ保護責任者を置いているとした一方、未着手の回答者では75%にとどまっています。また、着手済回答者の66%は、経営層がデータ保護責任者を担当しています。対応が進んでいる企業は、経営層を巻き込み責任者を明確にすることで、適切なリソースを割り当て、経営層のリーダーシップのもとで組織的な対応を進めていると推測できます。
人員の不足に対して、テクノロジーを活用することも有効な手段の一つと考えられます。図表6は、個人情報保護対応のためのシステム(プライバシーテック)の導入状況です。海外では、データマッピングシステムをはじめとしたプライバシーテックの活用が主流になりつつありますが、国内においても改正法への対応が進んでいる企業では、データマッピングシステムや同意管理システムなどのプライバシーテックの活用を積極的に進めていることが分かりました。こうしたプライバシーテックの活用は、個人情報保護対応にかかる工数の削減や、正確かつ迅速な社内情報の管理・連携につながります。
身に覚えのない企業から突然DMが届いたり、あるアプリケーションに入力した自分の情報がいつの間にか別のアプリケーションと連携されていたりするなど、消費者がプライバシーに不安を抱く場面が昨今増加しています。企業のサービスやプロダクトの利便性が高まる一方で、自分自身の情報がどのように取り扱われているのかを把握しきれないことも消費者の不安の一因でしょう。
こうした消費者の不安に対し、改正法対応が進んでいる企業は、プライバシーポリシーを絵や漫画、動画などでより分かりやすく伝える工夫をしたり、ウェブサイトやアプリケーションのUI・UXを工夫したりするなどの取り組みを進めています。先進的な企業は、今回の改正法対応を機に、より社会や消費者・ユーザーの目線に立った具体的な対応を、顧客へのサービス提供やステークホルダーコミュニケーションに含める形で実現しようとしています。顧客ロイヤリティやブランドイメージ向上の観点から今回の改正法対応を捉え、顧客接点となるデジタル部門からコンプライアンス部門を巻き込んだ対応が進んでいると考えられます。
本調査を通して、企業の間でも、組織で取り扱う個人情報から生じるリスク認識に差異があることが浮き彫りになりました。多くの企業において、認知すらできていない法的要求事項とのギャップや、消費者心理を損なう危険性が多数潜在しているように見受けられました。改正法の罰金額は最大1億円まで引き上げられ、制裁リスクが高いという点からはもちろん、プライバシーに対する社会的な目が年々厳しくなっており、レピュテーションリスクの観点でも、対応は必須といえるでしょう。
個人情報保護対応を進める上では、適切なガバナンス体制を構築することが最も重要です。従来のような法的判断機能を持つ部門のみの体制では、自社内で複雑化するパーソナルデータや個人情報の利活用に追い付くことが困難な状況にあるからです。プライバシー保護の観点から現行の体制が本当に適切か、企業は改めて見直す必要があるといえます。法令やIT、セキュリティ、DX、リスク管理などの複数の領域をカバーする体制や機能を設け、自社内におけるパーソナルデータの取り扱いの適切性を精査すべき時期に来ています。
DXによるパーソナルデータの利活用自体は決して悪いことではありません。今後も、より便利なサービスやプロダクトを提供するために利活用を推進していくべきです。一方で、透明性を高めて情報を開示し、「サービス利用やデータ利用方法について消費者自身に選択肢がある」と明示することを決して忘れてはなりません。企業の経営層は、攻守のバランスの取れたリソース配分を行い、消費者の期待値に見合った形でパーソナルデータを適切に取り扱うことにより、社会的信用を担保する必要があります。企業や組織、個人が安心できるデジタル社会実現するためには、いかなる業態の企業にとっても、改正法対応は必要最低限のベースラインとなることを踏まえ、ステークホルダーの期待を満たすあり方を検討すべきと考えます。