国立情報学研究所　教授　佐藤　一郎氏
PwC Japan有限責任監査法人　システム・プロセス・アシュアランス　パートナー　平岩　久人氏
一般財団法人日本情報経済社会推進協会　電子情報利活用研究部　主幹　恩田　さくら

• 「IT-Report2023 Winter」全文はこちらから

デジタル化の加速を背景に、パーソナルデータの利活用におけるプライバシーへの配慮はますます重要になってきています。経済産業省、総務省は、「企業のプライバシーガバナンスモデル検討会」での議論を通じて、企業が社会から信頼を獲得するためのプライバシーガバナンスの構築に向けて取り組むべきことを取りまとめた「DX時代における企業のプライバシーガバナンスガイドブック」（以下、ガイドブック）を2020年8月に発表し、その後も2023年4月に公表されたガイドブックver1.3に至るまで、改訂を重ねてきました。

企業のプライバシーガバナンスとは、プライバシー問題の適切なリスク管理と信頼の確保による企業価値向上に向けて、経営者が積極的にプライバシー問題への取組みにコミットし、組織全体でプライバシー問題に取り組むための体制を構築し、それを機能させることをいいます。ガイドブックでは、プライバシーガバナンスの構築のために、経営者が取り組むべき3要件及びプライバシーガバナンスの重要項目（5項目）が整理されています（図1参照）。

2021年7月に公表されたガイドブックver1.1や2022年2月に公表されたガイドブックver1.2では、具体的な事例の充実が図られました。そして、2023年4月に公表されたガイドブックver1.3では、ガイドブックの理解をさらに深めていただくことができるよう、ガイドブックに記載される概念整理が進められ、プライバシーガバナンスについてのフレームワークによる整理等が追加されました。またあわせて、海外への発信を見据えたガイドブックver1.3英訳版や、実務において参照できる具体的な情報を充実してほしいとのニーズを踏まえて、ガイドブックの要件、重要項目別に整理した、実践例集「企業のプライバシーガバナンスに関する実践例の整理」（以下、実践例の整理）が公表されました。

ガイドブックや実践例の整理の内容の詳細については、ぜひ本文や概要資料を参照ください¹。

2020年8月のガイドブックver1.0リリース後、3年が経過しました。今回は、ガイドブックを取りまとめた「企業のプライバシーガバナンスモデル検討会」座長　国立情報学研究所　佐藤一郎氏と、検討会に委員として参加されたPwC Japan有限責任監査法人 平岩久人氏に、今、改めてガイドブックをどのように捉えていらっしゃるか、企業の皆さまが自社の有するプライバシーリスクや組織構造の特性に応じてプライバシーガバナンスを実践される際のポイントやヒント、生成AIをはじめ高度なデータ利活用が進む現状を踏まえ、今後のプライバシーガバナンスをどう考えられるかについて、対談形式でお話を伺いました。

• 1-1　経済産業省「DX時代における企業のプライバシーガバナンスモデルガイドブックver1.3（令和5年4月25日改訂）」別ウインドウで開く
• 1-2　総務省「「DX時代における企業のプライバシーガバナンスガイドブックver1.3」を策定しました（令和5年4月25日）」別ウインドウで開く

• 2　OECDが1980年9月に採択した「プライバシー保護と個人データの国際流通についてのガイドラインに関する理事会勧告」に記述されている以下8つの原則。「目的明確化の原則」、「利用制限の原則」、「収集制限の原則」、「データ内容の原則」、「安全保護の原則」、「公開の原則」、「個人参加の原則」、「責任の原則」が定められている。

恩田：自社の有するプライバシーリスクや組織構造の特性にあわせた実践が強調されたところですが、実際にプライバシーガバナンスに取り組もうという企業においては、もう少し踏み込んだアドバイスやヒントをいただけたらありがたいという面もあるのではないかと思います。本年4月にガイドブックver.1.3にあわせて「実践例の整理」を公表していますが、これは実際に事業者の方から、実務で参照できる具体的な情報（プラクティス）を充実して欲しいという声を受けて整理されたものでした。

佐藤：確かに、急にプライバシーガバナンス、プライバシー保護をしてくださいと言っても、なかなかそういった経験がない企業からすると「どうやったらいいのか」と思うところです。ガイドブック中でも、「実践例の整理」でも、いろいろな企業の事例をご紹介しているので、それを見ていただくことは有益だと思います。ただ、平岩さんからも指摘があったように、プライバシー保護は企業のカルチャーに大きく依存しています。もう少し具体的なお話をすると、同じ情報でも、利活用する企業の業種によって、プライバシー的な懸念が起きる場合もあれば、起きない場合もあります。例えば、「人が在宅しているかどうか」という情報は、警備会社が持っていてもプライバシー的に問題とは言われないかもしれない（もちろん、言われる場合もあるかもしれませんが、気にしない人もいるかもしれない）。でも、それを家電メーカーが持っていたとしたら、プライバシーの観点からすると、変でしょう、という話になるかもしれない。このように、同じ情報であっても、利活用する企業の業種によって、消費者の捉え方は違ってくるし、また、同じ業種の中においてもどういうビジネスでその情報を利用するかによって、「ここまでは利用できる」という範囲は違ってくるところがあります。したがって、事例を参考にしていただくことは大切ですが、結局は、企業自身が考えなくてはいけない。実際にプライバシーを守るのは、組織だけでなく、従業員一人ひとりなので、一人ひとりがその企業でどういうプライバシーを守っていくのかという共通の認識を、きちんと作るということが大切だと思います。こういった取組みには、なかなか「銀の弾丸」はないと思いますが、ただ一方で、プライバシーの保護は、企業によっては自社の利益やビジネスと相反するところがあって、プライバシーを侵害してもいいので売上げを上げたいという誘惑に駆られることがあるかもしれません。それを避けるために、我々はちゃんとガバナンスを作ってくださいと申しているのと、企業の考え方と、消費者やそのほか多くの方々の考え方は違ってくる可能性があるので、消費者団体を含めた第三者の意見を聞いて、取り入れて、どういう情報をプライバシーとして守るべきなのか、またはその中でどのように利用すればプライバシーの問題が起きずに済むのかということを、よく理解して進めていただくことが大切だと思います。

平岩：ガイドブックver.1.3への改訂に当たって、概念整理を行い、フレームワークのイメージを具体的にすることができました（図3参照）。フレームワーク自体は非常に抽象度の高いものなのですが、それでもこのようなフレームワークがあれば、フレームワーク中のいくつかの機能は、自社の中で、既に確立した、あるいは類似した機能や組織、プロセスなどがあり、それらを活用してプライバシーガバナンス構築を検討する契機として役に立つのではないかと考えたからです。プライバシーガバナンス構築に当たり、どこから手を付けたらいいかわからないということがもしあれば、このフレームワークを自社のプライバシー保護活動に当てはめてみて、自社の取組みで既に実現できているところや、逆に足りないところはどこか、不足する点を実現するにはいつまでに何が必要か、そういった議論からはじめていただくのも、一つの進め方だと思います。

また、実際に取り扱うプライバシーに関する情報のリスクを検討するときには、第三者、外部の目線を入れ続けることができる体制・組織にすることが重要です。有識者の先生方からご意見を伺うことも一案ですし、プライバシーに関して問題になった事案を含む社会の動向や実際のお客様の声なども含めて、プライバシーに関する多様な考え方、感じ方、受止め方というものを、リスク管理のインプットとして確保できるような仕組みにしてもらえると良いのではないかと思います。

恩田：次に、プライバシーガバナンスをめぐる今後の動きについて、お話を伺います。目下、生成AIの利活用が急激に進んでおり、各社がガバナンスを効かせつつどう生成AIを活用していくか、悩まれている状況もあると思います。

佐藤：生成AIに関しては、ChatGPTが出てきたのが2022年11月30日で、比較的新しい話題です。生成AIについては、いろいろなリスクがある中に、プライバシーに関するリスクもありますが、必ずしもしっかりとした手当てがまだできていない、という状況だと思っています。実際、生成AIに関するプライバシーにかかわる問題はいくつかありますが、主なものは以下の4つと認識しています。

①プライバシーに関する情報が生成AIの学習対象、学習データに含まれてしまうという問題
②利用者が生成AIを利用するときに入力（プロンプト）に誰かのプライバシー情報を入れてしまうという問題
③生成AIの出力に個人のプライバシーに関する情報が出てくるという問題
④AIの生成物にプライバシーの情報が含まれているとして、それが正しくなかった場合の問題

4つとも、個人情報保護法だけで守れるかというと、そうではなさそうです。

①は、学習モデルと特定の個人との対応関係が排斥されている場合には、学習モデルは個人情報ではないとされていますが³、そもそも統計データについては利用目的の特定が不要とされています。このことから、個人情報ではない学習モデルについて、利用目的規制との関係でどのような解釈をするのかが不明瞭との指摘もあります。

②は、入力（プロンプト）が利用目的の範囲内であることを十分に確認するよう注意喚起されていますが（入力に対する応答結果の出力以外の目的で取り扱われる場合（生成AIを提供する事業者の側で学習データとして利用されることが予定されている場合）には、個人情報保護法の規定（利用者が入力した情報が個人データであれば第三者提供に当たるため本人同意が必要となる等の規定等）に違反することとなる可能性がある等）⁴、やはりそもそもプロンプトとしてプライバシーに関する情報を入力するのは、学習モデルに反映されていなくても生成AIの事業者のログには残るので、プライバシーの観点では配慮がいるのではないかと思います。

③は、個人情報保護法では、出力を規律するのは、個人データの第三者提供に係るものであり、体系化されていない状態の個人情報やプライバシー情報については規律が十分にできない可能性があります。

④に関しては、個人情報保護法の場合、開示請求をすることができるのは保有個人データ（個人データであって、事業者が修正や訂正ができる場合）となるため、やはりこの条件に当てはまらなければ、開示請求への対応が法的には求めきれない可能性があります。個人情報保護法で十分に保護しきれないと思われるところは、現状は、企業が、個人情報に限らずプライバシーに関しても配慮いただきながら、自主的に保護していただかなければならない状況なのではないか、と思います。

平岩：生成AIを利用していきたいと考えている企業が多くある一方で、今ご指摘のあったようなリスクや懸念事項も、多く挙げられています。まずは自社で規定やルールを整備したいというご相談をいただくことが多いです。生成AIのユーザー側においては、個人情報やプライバシーに関する情報は入力しない、生成AIを利用して出力されたものは人がチェックするということが多いようですが、現状は、企業がそれぞれ自主防衛的、保守的に対応せざるを得ない状況ではないかと思います。

恩田：ありがとうございます。他方、データ流通や連携の基盤の整備が進むなど、複数社の間でデータを流通・連携させて、新たな価値を生んでいく取組みも進んでいます。プライバシーガバナンスとの関連で、将来像や、今後検討が必要となること等があれば、お聞かせください。

佐藤：1社ではなく複数社におけるプライバシーガバナンスは、なかなか難しい問題です。コーポレートガバナンスは、基本的には個社単位の考え方なので、まずは個社でガバナンスを作っていただくことが先で、その上で、複数社間で、何らかのプライバシーに関するルールや、考え方を作っていくということかと思います。

データの流通の観点では、日本ではDFFT（Data Free Flow with Trust：信頼性のある自由なデータ流通）といった考え方も非常に強いですが、なかなか進んでいないところもあります。それは、一つはデータの取得経緯が見えないと分析が難しいことです。例えば、スーパーの購買履歴であれば、スーパーがある商品を安売りしていた時のデータなのかどうかで、分析が全く違ってくるというように、データの取得経緯がわからないと、分析はできないという点が挙げられます。さらに、プライバシーや法的な問題がでてきたときには、そのデータが、適切な同意なり手順に則って取得されたものなのかどうかが、わからないと、使えないわけです。こういったことに対して、プライバシーガバナンスをしっかり構築していただくことによって、他社のデータでも取得経緯、同意及びそのときの説明内容がある程度見えてくることで、データの利用が広がる可能性はあると思います。

平岩：佐藤先生の仰るように、まずは各社で個々にガバナンスを構築してもらうことが大前提であると思います。その上で初めて、データ流通させたとき、あるいは共通のデータ流通の基盤を複数社で利用するようなとき、責任分界点はどこで、どの企業が何をやるべきなのかという話ができるのだろうと思います。利活用の仕方のモデルやアーキテクチャにも依存しますが、各社の責任範囲として行うべき領域がある一方で、共通的な基盤として、どこの会社がやってもいいが、どこもあまりやりたがらないような領域も、おそらく出てくるのではないでしょうか。この点、公的な機関か業界団体等が担うのかわかりませんが、いずれにせよ各個社のガバナンスでは拾いきれないところを誰がどのようにサポートできるかが、データ流通が進展するかどうかの一つの鍵ではないかと思います。

佐藤：複数社のアライアンスに入りさえすればよいと考える企業が出てくると思うので、複数社でデータを利活用するような将来においても、各社が責任をもって個社のガバナンスをするという線は、押さえておいた方がいいと思います。

平岩：確かに、そのようなケースも考えられますので、各社が責任をもって個社のガバナンスをすべきであることは、前提として確認しておきたいですね。

• 3　「個人情報の保護に関する法律についてのガイドライン」に関するQA1-8別ウインドウで開く
• 4-1　「生成AIサービスの利用に関する注意喚起等について」個人情報保護委員会、2023年6月別ウインドウで開く
• 4-2 リーフレット「生成AIサービスの利用に関する注意喚起」個人情報保護委員会別ウインドウで開く

恩田：それでは最後に企業の皆さまへのメッセージをお願いします。

佐藤：はじめの方で申し上げた通り、プライバシーの観点で配慮すべき範囲と、個人情報保護法により守られる範囲は、同じではないということを認識していただきたいです。プライバシーに関しては、利用の仕方や企業の業種であったり企業の特性によって、プライバシーの侵害が起きる場合があったり、起きない場合もあって、企業自身が考えていかなければいけないところです。それを考えるための枠組みや、実現するための方法論、考え方が、ガイドブックにまとめてあるのでぜひ参考にしていただきたいと思います。企業自身で考えて、そこで働いている一人ひとりがその考え方を共有することが、大切だということを再度強調したいと思います。

2点目としては、ややアカデミックな観点ですが、現状、プライバシーについて、主に2つの考え方があると思っています。一つは、憲法13条に基づく、いわゆる「自己コントロール権」説、もう一つは、「適正な取扱いを受ける権利」説です。自己コントロール権は、自己に関する情報の開示範囲や利用について自分自身で決められるという考え方です。同意するか否かが重要となってきます。一方、適正な取扱いを受ける権利は、同意やオプトアウトは、自己の情報が適正に扱われる手段にすぎないので、適正に扱われることを担保できさえすればいいのではないか、という考え方です。ガイドブックは、一見、後者として読めてしまうかもしれませんが、例えば、企業が個人に対して同意を求めたり、オプトアプトを提供することによってプライバシーの侵害を未然に防ぐという、前者となる自己コントロール的なやり方を積極的に使っていくことを否定していません。なお、現状は、後者、つまり「適正な取扱いを受ける権利」説の場合、適正な取扱いはなにかというところは不明確なところもあり、また、同意やオプトアウトをさぼってもよいという理由付けに利用されてしまう恐れもあるところには注意が必要だと感じています。

恩田：ガイドブックでは、第5章でDANIEL J. SOLOVEの「A Taxonomy of Privacy」を参照して「プライバシー問題の例」が掲載されています。プライバシー問題を提起する特定の諸活動に焦点を当て、類型論として整理されたものと理解しています。プライバシーの捉え方には様々な考え方、アプローチがありますが、ガイドブック記載の内容が、企業の皆様の検討のお役に立てばと思います。

平岩：プライバシーガバナンスは、プライバシーという可変的なものを対象としなければならない以上、社内規程や組織、プロセスを一回作って終わり、というものではないということを、改めて強調しておきたいと思います。これからプライバシーガバナンスの構築に取り組まれようとされる企業の皆さんには、このガイドブックが、基本的なところから解きほぐして、本質的なところをすべてカバーしていると思いますので、まずご一読いただければと思います。その上で、具体的にどうしたらいいかわからないときには、「実践例の整理」を見ていただければと思います。そこで試行錯誤をしながら、取り組み続けることが何よりも大事だと思います。その先にあるのは、プライバシーを保護する企業風土や文化だと思いますので、そこに向けて、地道な取組みかもしれませんが、懲りずにやり続けていただくことが一番重要かなと思います。

恩田：本日は貴重なお話を伺わせていただき、ありがとうございました。