メルマガ登録
ベストなDXへの入り口が見つかるメディア
-
テーマから探す
-
技術から探す
-
業界・事例から探す
-
関連トレンドから探す
ベストなDXへの入り口が見つかるメディア
テーマから探す
技術から探す
業界・事例から探す
関連トレンドから探す
2020年8月に「DX時代における企業のプライバシーガバナンスガイドブックver1.0」が策定されました。さらに2021年7月にver1.1、2022年2月にはver1.2が策定されています。
ここでは2022年2月に策定されたver1.2について、ver1.1からの変更点を中心にまとめました。さらに2021年8月・9月に行われた同ガイドブックについてのアンケート結果もご紹介しています。
「DX時代における企業のプライバシーガバナンスガイドブックver1.2」について、アップデートの背景や変更点をご紹介します。
社会全体でのDX推進が進み、ビジネスモデルの変革や技術革新が起こることで、さまざまなリスクが生じています。そのため、企業はそれらのリスクの低減を図っていかなければなりません。
特に企業に対しては、プライバシー保護への要請も高まっています。プライバシーに関しては、従来はコンプライアンスの観点から「個人情報保護法を遵守しているか」という点が重視されていました。しかし、法令を遵守していても内容によってはインターネットや報道で炎上し、企業の存続に関わるような重要な問題となることもあり得ます。
そこで企業は、経営戦略の一環としてプライバシー問題についても考えていかなければなりません。プライバシー問題に対して積極的に対応し、消費者やステークホルダーに対する説明責任を果たしながら、社会的信頼や企業価値の向上につなげていくことが重要です。
「DX時代における企業のプライバシーガバナンスガイドブック」のver1.2への更新にあたっては、主に、企業がプライバシーガバナンスを構築する上で参考となる具体的な事例が追加されています。
欧州では基本的人権の観点から、米国では消費者保護の観点から、経営者がプライバシー問題を経営上の問題として取り扱うことが当然と認識されています。またニュースでプライバシーに言及されることも多く、社会的な関心は高まる一方です。
そこで、プライバシー問題に対して積極的に対応することで、社会的信頼を確立し企業価値を向上させている企業も増えています。代表的なものが「プライバシーテック」と呼ばれる企業への投資です。プライバシーテックとは、個人情報や利用者の同意の管理など、プライバシー問題に関わる管理を行う企業です。
またプライバシー問題から企業の対立や規制の強化が発生し、業績や事業展開への影響が生じることもあります。
日本でもグローバル展開を行う企業が増え、海外と同等の配慮が必要になっています。個人情報保護法など制度の改正を行うだけでなく、企業の行動により、他の企業や社会から信頼を得なければなりません。
また、プライバシーを保護するのはもちろん重要ですが、デジタル技術の活用という意味ではデータの利活用も欠かせません。プライバシー保護の強化とデータの適切な利活用を両立していく必要があります。
特にこの部分では民間主導の取り組みが必要です。例えば、個人データの取り扱いに関する責任者の設置やPIA(Privacy Impact Assessment、プライバシー影響評価)の実施などが求められています。
「DX時代における企業のプライバシーガバナンスガイドブックver1.2」から、プライバシーへの取り組み事例を10社ご紹介します。
ver1.2へのアップデートで追加された事例は、トヨタ自動車、ヤフー、セーフィー、NEC、資生堂、JCBの6つです。NTTドコモ、参天製薬、KDDI、日立製作所は、ver1.1から掲載されている事例です。
プライバシー保護実現のため、全社横断的なガバナンス体制を構築しています。同時にCPO(Chief Privacy Officer)を指名して、その下にプライバシーガバナンス推進部署を組織し、主要な業務分野ごとにプライバシー保護対応の責任者を指名しました。
さらにCPOを議長とするプライバシーガバナンス推進会議を設置し、定期的に各分野の対応や重要事項を共有しています。
重要事案が発生した際には、プライバシーガバナンス推進部署が把握して対応策を検討した上で、CPO および経営層への報告も必要です。さらに外部有識者による専門委員会である「アドバイザリーボード」からの助言も受けています。
コンプライアンスを遵守してプライバシーに配慮しながらデータの利活用を推進するため、CDO(Chief Data Officer、最高データ責任者)を指名しました。さらに、事業部門ごとに対応するDD(Data Director)とその会議体である DD 会、利用者や社会の視点から助言・監視・評価を行うDPO(Data Protection Officer、データ保護責任者)を任命しています。
事業部内でプライバシーに関する問題が発生した場合の対応については、事業部門の担当者から法務部門に相談が必要です。DPOは、その判断のプロセスと内容について適切かどうかを検討します。その中から全社的に影響を与えると考えられる事案については、DDがDD会で検討してCDOへ付議するとされています。
クラウド録画できる防犯カメラ・監視カメラのサービスを提供しているため、業務上、個人情報の含まれる膨大な映像データを保持しています。
そのため、プライバシー問題に関する外部有識者会議を年に数回開催しています。内容はデータ憲章の策定から技術開発やルールなどの継続的な改善、データ活用の際のプライバシー配慮などです。さらに、ユーザ企業に対する啓発活動などにも取り組んでいます。
外部有識者による「デジタルトラスト諮問会議」を年2回開催しています。内容はプライバシーに関する国内外の動向を踏まえ、今後の動向や取り組みを強化すべき内容などです。諮問会議では法学者、法律家などの専門的な知見だけでなく、生活者の立場からも意見を取り入れています。
情報セキュリティ部が業務の一環としてPIA(プライバシー影響評価)を行っています。
内部統制と同じ評価方法を用いて個人データの取り扱い方を可視化し、リスクの特定や軽減を促すものです。
プライバシーを含めてさまざまなリスクを評価するプロセスとしてSCM(Service Control Meeting)を運用しています。年間数百件程度のリスクの共有や洗い出し、リスク評価を行うものです。プライバシーに関するリスクは、情報セキュリティリスクの一部として扱われます。
経営者や決裁者に回される案件については、適正な判断をサポートするため、SCMが文書を添付するのもポイントです。
さらに社内ルールとして「パーソナルデータ管理細則」を定め、準拠状況を「パーソナルデータ利活用チェックリスト」で確認しています。
業務上多くの個人情報を取り扱うため、顧客に「パーソナルデータダッシュボード」を提供しています。これは、顧客が自分でデータの提供先と種類の確認・変更、データの取り扱いに関わる同意事項の確認ができるものです。
また「パーソナルデータ憲章―イノベーション創出に向けた行動原則―」を作成・公表し、パーソナルデータの活用時には法令を順守し、プライバシーを保護することを宣言しています。
パーソナルデータの取り扱いについては、日本だけでなくグローバルな体制を構築しています。2020年4月にはグローバルポリシーを制定し、プライバシーに関する基本事項を定めました。
2020年度、個人データ利活用に向けて全体的な整備・運用を行うデータガバンス室を設立しました。データガバナンス室は、社長を議長とするデータガバナンスボードを組織し、データ利活用・ガバナンス戦略立案などを行います。
株式会社博報堂とともに、継続的に「ビッグデータで取り扱う生活者情報に関する意識調査」を実施しています。目的は、個人の意識の変化を定量的に把握することです。
経済産業省と総務省が企業および消費者向けに行った、プライバシーガバナンスに関するアンケートの結果です。消費者向けアンケートは、2021年8月、企業向けは同9月に、インターネット経由で行われました。調査は一般財団法人日本情報経済社会推進協会(略称:JIPDEC)に委託されています。
全体の有効回答数は314名です。全体的に、プライバシー保護に対して非常に敏感、かつ慎重であるといえます。
消費者の73.6%は、プライバシー保護に関して非常に関心がある・やや関心があるとしています。
また、消費者の70.4%は、個人に関する情報の提供に関して慎重です。具体的には、以下のような結果になっています。
さらに、類似商品の選択の際に提供企業の「プライバシーへの取り組み」を考慮するという消費者は88.5%です。これは、特に29歳以下の若者層では94.9%と大変高い数字になっています。
全体の有効回答数は291社です。全体的に、プライバシーへの取り組みは企業の利益につながると考えている企業が多いようです。
企業の58.7%は「プライバシーへの取組を発信することで消費者の消費行動に影響を与えることができる」と考えています。
企業がプライバシーへの取り組みを始めたきっかけとして、プライバシーへの取り組みは「企業のブランド戦略の一環として信頼される企業イメージ向上のため」という回答が36.1%ありました。これにより、プライバシーへの取り組みが他社との差別化につながると考えている企業が多いことが分かります。
また「プライバシー侵害で問題となった企業の報道」や「サイバー攻撃」により、プライバシーへの取り組みで失敗すると企業にマイナスイメージがつくと考えているようです。さらに、最近は「プライバシー性のある情報の取り扱い機会・取扱量の増加」が見られることもプライバシーへの取り組みに注意している要因となっています。
例えば、次のような項目については、現在、約半数の企業が取り組んでいます。
どちらの点でも、海外売上のある企業や大企業のほうが、より取り組みが進んでいます。
企業の取り組みについて、消費者はどの項目においても過半数が「評価できる」と回答しています。「評価できない」という回答は、10%前後と少数派です。
しかし、プライバシーへの取り組みにおいて、企業と消費者とのコミュニケーションはまだまだ足りないと考えられます。
アンケートのきっかけとなった「DX時代における企業のプライバシーガバナンスガイドブック」の認知度については、企業と消費者でばらつきが見られます。
企業の55.3%はガイドブックの存在を知っていますが、そのうち内容まで知っている企業は27.1%です。また消費者の70.4%はガイドブックの存在を知らず、ガイドブックの存在と内容を知っている消費者は7.0%しかありませんでした。
「DX時代における企業のプライバシーガバナンスガイドブックver.1.2」では、同ガイドラインのver.1.0が策定された当時に比べ、多くの企業がプライバシー問題の重要性を理解して、さまざまな取り組みを進めています。日本にもグローバル展開している企業が多く、海外と同じレベルの対応が必要となっているのも原因です。実際に、プライバシー問題に積極的に対応している事例もたくさん追加されています。
また消費者の側でもプライバシー問題に敏感になり、消費行動にもその意識が反映されています。企業としては、DXを推進していくことも重要ですが、経営戦略としてプライバシー保護も強化していかなくてはなりません。そのためにはプライバシー保護を強化しながら、データをうまく利活用していく必要があります。
▼DXの定義や意味をより深く知りたい方はこちらもご覧ください
「DX=IT活用」ではない!正しく理解したいDX(デジタル・トランスフォーメーション)とは?意義と推進のポイント
