{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
はじめに
PwC Japanグループは、2022年4月1日施行の「個人情報の保護に関する法律等の一部を改正する法律」(以下、「改正法」)への企業の対応状況について「2022年4月施行 改正個人情報保護法への企業の対応状況(第1回調査)」にて公表しました。この調査結果からは、パーソナルデータ*1の活用の複雑性が増す昨今、法令は遵守できていたとしてもプライバシー*2の侵害によりトラブルに発展するケースは増加していることが分かり、企業がプライバシー問題に対し取り組むべき事項は多角化・広範化していることがうかがえます。
経済産業省と総務省は、こうしたプライバシー問題へ企業が積極的に取り組むことは、コストではなく、商品やサービスの品質向上のためであり、経営戦略として捉え企業価値の向上につなげるべきだと考えており、その前提のもと、企業がプライバシーガバナンス構築のために取り組むべき事項を示した「DX時代における企業のプライバシーガバナンスガイドブックver.1.2」(以下、「ガイドブック」)*3を策定しました。
PwC Japanグループでは2022年2月、日本国内で事業を展開する企業に所属する方々を対象に、ガイドブックで要求されるプライバシーガバナンスへの企業の取り組み状況について、改めて調査を行いました。本稿では、ガイドブックの要求事項についての解説を交えながら、各企業のプライバシー保護への取り組み状況や課題点について考察します。
*1「パーソナルデータ」とは、個人の識別性の有無にかかわらず、個人に関する情報全般を指す。
*2「プライバシー」とは、”他人の干渉を許さない、各個人の私生活上の自由”(岩波書店「広辞苑」第六版)などを指し、改正法で保護される「個人情報」よりもより広い範囲を指す。
*3「DX時代における企業のプライバシーガバナンスガイドブックver1.0」(2022年8月)が「ver1.1」に改定され、さらに具体的な事例を充実させた「ver1.2」が2022年2月に公開された。
目的 |
企業による「DX時代における企業のプライバシーガバナンスガイドブックver1.2」の認知状況および企業のプライバシーガバナンス整備の現状を明らかにする。 |
調査方法 |
ウェブによるアンケート |
調査対象 |
日本で事業を行う企業において、以下の部門に所属する課長級以上の方々
|
調査期間 |
2022年2月 |
調査数 |
2,386名(有効回答者数 1,026名) |
ガイドブックの認知度
図1は、ガイドブックの認知度を示しています。「改正法対応に未着手」と答えた回答者の約7割がガイドブックの存在を「把握していない」と答えた一方、「改正法対応に着手済」と答えた回答者は、約7割が存在を「把握している」と回答しました。しかし、そのうち内容まで確認している回答者は3割強に留まる状況でした。
「ガイドブックの存在は知っているが、内容までは確認していない」原因の1つとして、調査時点(2022年2月)においては、改正法(2022年4月全面施行)への対応に追われていたことが考えられます。当該回答者の所属企業の中には、改正法対応の完了後にプライバシーガバナンスの取り組みを検討している企業も存在すると予測されることから、今後、取り組みを始める企業は徐々に増えていくと推察されます。
図1:プライバシーガバナンスガイドブックの認知度
プライバシーガバナンスの整備に向け経営者が取り組むべき3つの要件
ガイドブックでは、経営者がまず取り組むべきこととして「プライバシーガバナンスに係る姿勢の明文化」「プライバシー保護責任者の指名」「プライバシーへの取組に対するリソースの投入」の3点を挙げています。
図2:プライバシーガバナンスの整備に向け経営者が取り組むべき三要件
図3は、プライバシーガバナンスの整備に向け、経営者が取り組むべき三要件への取り組み状況を示しており、改正法対応に着手済の企業の方が圧倒的に三要件に対しての取り組みが進んでいることが分かります。「改正法対応に着手済」と答えた回答者のうち、3割以上が「プライバシー保護責任者の指名」や「プライバシーガバナンスに係る姿勢の明文化」に取り組んでいると回答しました。「プライバシーの取組に対するリソースの投入」に取り組んでいるという回答は3割にわずかに届かない結果となりましたが、これは経営層からの理解が十分に得られておらず、実効的な体制を築けていないことが背景にあると推測されます。
「法令やガイドラインで示されているから」「認証を取得したいから」といった消極的な理由で、形だけの方針・体制を義務的に作るのではなく、経営層がその必要性を理解した上で、トップダウンで十分なリソースを投入し、プライバシー保護に必要な仕組みを構築することが求められています。経営層がいかにリーダーシップを発揮し、組織内の必要な関連部門や機能の巻き込み、「プライバシー保護が必要である」という意識を組織に浸透させられるかが、プライバシーガバナンス整備の鍵と言えるでしょう。
図3:経営者が取り組むべき三要件の取り組み状況
プライバシーリスク対応の考え方
プライバシーに関する問題が顕在化するリスク(以下、「プライバシーリスク」)に企業が対応するためには、プライバシーを主管する組織の担当者が「プライバシー問題とは何なのか」を十分に理解する必要があります。
ガイドブックによると、プライバシーとは従来、「私生活をみだりに公開されない」「放っておいてもらう権利」として考えられていましたが、情報通信技術の発展により「自己情報のコントロール」などに発展しました。さらに近年はAIによるデータ解析が進んだことなどから、「機械的に不当な差別を受ける」、あるいは「政治的選択に対し介入される」などの新たなプライバシー問題も顕在化しているとのことです。
図4:プライバシー問題の例
問題の類型 |
詳細 |
|
|---|---|---|
1. データ収集 |
監視 |
継続的なモニタリングにより、個人に対して不安や居心地が悪い感情を与えてないか。 |
尋問 |
個人に圧力をかけて情報を詮索してないか、深く探るような質問で個人が強制を感じ、不安になってないか。 |
|
2. データ処理 |
集約 |
ある個人の情報の断片を集め、それにより、個人が想像しなかった新しい事実が明らかになることにより、個人の期待を裏切ってないか。 |
同定 |
あらゆるデータを個人に結び付けることで、個人にとって害のある情報も結び付けられてしまい、個人に不安、不満を与えてないか。 |
|
非セキュリティ |
パーソナルデータを不適切に保護し、個人に対して不利益を被るようなことが起こってないか。 |
|
目的外利用 |
個人の同意なしに当初の目的とは違うデータ利用を実施し、個人を裏切るような行為になってないか。 |
|
排除 |
個人のデータの開示・訂正の権利を与えないなど、重要な意思決定に対して個人のコントロールが効かないようになっていないか。 |
|
3. データ拡散 |
守秘義務関係破壊 |
特定の関係における信頼関係により取得した個人のデータを、他社に開示するなどで個人へ裏切りの感情を与えてないか。 |
開示 |
個人のデータを第三者へ開示されることで、二次利用先で更なるプライバシー問題が生じていないか。 |
|
暴露 |
継続的なモニタリングにより、個人に対して不安や居心地が悪い感情を与えてないか。 |
|
| アクセス可能性の増大 | 個人に圧力をかけて情報を詮索してないか、深く探るような質問で個人が強制を感じ、不安になってないか。 | |
| 脅迫 | パーソナルデータの暴露、他者への開示などを条件に、脅迫者と非脅迫者に強力な権力関係を作り出し、支配され、コントロールされる事態になっていないか。 | |
| 盗用 | 他者のアイデンティティやパーソナリティを誰かの目的のために用い、個人が自分自身を社会に対してどのように掲示するのかについてコントロールを失わせ、自由と自己開発へ介入することになっていないか。 | |
| 歪曲 | 個人が他者に知覚され判断される仕方を操作し、虚偽であり、誤解させることで、恥辱やスティグマ、評判上の危害に帰結することはないか。自分自身についての情報をコントロールする能力と、社会にとって自分がどのようにみられるかを限定的にしないすることになっていないか。自己アイデンティティと公共的生活に従事する能力に不可欠な評判や性格を捻じ曲げることになっていないか。社会的関係の恣意的かつ不相応な歪曲が行われる恐れはないか。 | |
| 4. 個人への直接的な介入 | 侵入 | 必要以上の個人へのアプローチ(メールや電話など)により、個人の日常の習慣が妨げられ、居心地が悪く不安な感情を引き起こされてないか。 |
| 意思決定への介入 | 個人の生活において重要な意思決定に対してAIを用いている場合などにおいて、決定方法が不透明で、個人に萎縮効果が働いてないか。 | |
ガイドブックではプライバシーリスクへの対応として、「1.関係者と取り扱うパーソナルデータの特定とライフサイクルの整理」「2.プライバシーリスクの特定」「3.プライバシー影響評価(PIA)」の流れで、プライバシーリスクを特定・評価する仕組みを導入することの重要性が言及されています。
パーソナルデータの取得から、利用、廃棄までの一連のライフサイクルを通じて、「個人に不快感を与えていないか」「不用意に私的な領域や個人の意思決定に介入していないか」などの多角的観点からプライバシーリスクを特定し、対応しなければいけません。そのため、プライバシー保護を主管する組織には一定の専門性が求められます。
図5は、ガイドブックで言及されているプライバシーリスク対応への取り組み状況を示しています。「改正法対応に着手済」と答えた回答者は、「改正法対応に未着手」の回答者と比較し、これらの取り組みを積極的に進めていることが分かりました。ただし、プライバシーリスク対応に取り組んでいる企業の割合は全体的に低く、十分に普及していないことが分かります。前述の通り、この取り組みを進めるにはプライバシーに関する専門的知見が必要とされるなど一定のハードルがあることや、プライバシーリスクの重要性の認識自体が各企業においてなされていないことなどが、その要因であると推察されます。
図5:プライバシーリスクへの対応状況
本調査から得られた示唆
本調査を通して、国内企業におけるプライバシーガバナンスの整備状況は途上段階であり、多くの企業においては対応の重要性すら十分に認識されていないという実態が明らかになりました。プライバシーリスクは、その特性上識別が難しく、リスクの定義や社会への影響も可変的であることから、多くの企業がそもそもプライバシーリスクを正確に理解できておらず、法規制対応という観点において必要であるという意識に留まっていることが原因として考えられます。
プライバシーの問題は非常に複雑なもののように捉えられるかもしれませんが、その基本を「本人が嫌な思いをしてないか」とシンプルに考えるならば、企業が顧客満足度やサービス・プロダクトの品質を向上させる上で考慮すべき、ごく当たり前の事項です。これまでの国内のトラブル事例の多くは、根本原因として企業が自社の利益追及に走ってしまい、顧客の意見に十分に耳を傾けることができていなかった点が挙げられます。顧客を含むステークホルダーの意見を定期的に収集しながら、組織の体制・仕組みを見直し改善していくことが、プライバシーガバナンスにおいて非常に重要です。
これまで多くの日本企業が”個人情報”を対象として個人情報保護方針を策定し、個人情報保護責任者を設置するなどしてきましたが、企業の経営者は、DXを推進するこのタイミングで改めて保護すべき情報の範囲や考慮事項を再定義する必要があります。そして、顧客を含めたさまざまなステークホルダーの意見や、企業の経営戦略などに合わせて、プライバシー問題へ柔軟に対処できる体制へと移行することが重要です。
企業の経営者には、プライバシー問題への対応をコストやDX推進の足かせとして捉えるのではなく、他社との差別化要因、企業価値を向上させるための投資と捉え、ポジティブな姿勢でプライバシー問題に取り組むことが求められています。
{{filterContent.facetedTitle}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
