2019年度 電子情報利活用研究部レポート


Society5.0に求められる
企業のプライバシーガバナンス


「DX時代における企業のプライバシーガバナンスガイドブックver1.0」の公表

JIPDEC 電子情報利活用研究部 主査  恩田 さくら

1.進むIoT・AI・ビッグデータの利活用

 IoT(Internet of Things)・ビッグデータ・AI(人工知能、Artificial Intelligence)等の技術発展により、従来の産業や社会構造が大きく変革する可能性が示唆されてきた。データを活用した新サービスが生まれる一方で、既存のサービスが急速に陳腐化する懸念がある。米国のIIC(Industrial Internet Consortium)やドイツにおけるIndustry4.0など、IoT時代に対応した官民を挙げた取組が各国で本格化しているのを受け、日本においては、「『日本再興戦略』改訂2015-未来への投資・生産性革命-」(2015年6月閣議決定)に基づき、2015年に「IoT推進コンソーシアム」が設立された。

 IoT・AI・ビッグデータを活用した未来の社会の姿として、2016年1月に政府が策定した第5期科学技術基本計画では、“Society5.0”が提唱された 。Society5.0とは、狩猟社会(Society1.0)、農耕社会(Society2.0)、工業社会(Society3.0)、情報社会(Society4.0)に続く新たな社会を指す。サイバー空間(仮想空間)とフィジカル空間(現実空間)を高度に融合させたシステムにより、経済発展と社会的課題の解決を両立する、人間中心の社会とされている。これまでの情報社会(Society4.0)では、サイバー空間に存在するクラウドサービス(データベース)にインターネットを経由してアクセスし、情報やデータを入手し、分析が行われてきた。一方、Society5.0では、フィジカル空間のセンサーからの膨大な情報がサイバー空間に集積され、サイバー空間においてビッグデータをAIが解析し、その結果がロボットなどを通じて人間にフィードバックされることが想定されている。この仕組みによって、新たな価値や産業が社会にもたらされることが期待されている。

図表1 Society5.0の仕組み

Society5.0の仕組み

(出典)内閣府「Society5.0とは」ページ

 このように、IoT・AIなどのデジタル技術の進展によるデータの利活用への期待が大きく膨らむ一方で、特にパーソナルデータの利活用にあたっては、プライバシーの観点から社会からの批判を避けきれず炎上したり、それにより企業がデータの利活用を躊躇するケースも見られるようになってきた。この悪循環が生じれば、Society5.0の実現は覚束ない。

 経済産業省・総務省は、2016年1月から検討を開始した「IoT推進コンソーシアム データ流通促進ワーキンググループ」と、その下部に設置されたサブワーキンググループや検討会を共同で運営し、データ利活用の際のプライバシーに関わる問題についてどのように取り組むべきか、検討を進めてきた。2020年8月28日には、この下部の検討会の1つである「企業のプライバシーガバナンスモデル検討会」にて取り纏められた「DX時代における企業のプライバシーガバナンスガイドブックver1.0」が公表された。このガイドブックは、パーソナルデータを利活用し消費者へサービスを提供する企業やその取引先であるベンダー企業全般を対象とし、経営者を頂点とする企業全体がプライバシーへ配慮する姿勢へ転換する必要があることを明確に位置づけたものである。本稿は、ガイドブック策定に至る、IoT推進コンソーシアムでの検討の経緯を概観し(2.及び3.)、その上で、今回公表されたガイドブックの意義と内容について解説する(4.及び5.)。

2.IoT推進コンソーシアム データ流通促進ワーキンググループでの検討の開始

 IoT推進コンソーシアムでは、IoT・AIなどデータの利活用が進む中、分野・産業の壁を越えてデータに関する取引を活性化させることを目的として、2016年1月に「データ流通促進ワーキンググループ」(座長:東京大学大学院教授 森川博之氏)を設置、データ流通において課題となる事象全般について、ユースケースに基づいて、学識経験者や弁護士など有識者による議論を重ねてきた。

 この検討の中で、パーソナルデータを取り扱う新規事業を推進する担当者から、事業がプライバシーなどの観点から炎上するのではないかとの懸念が払拭しきれず、なかなか新しいことに踏み出せないとの相談がいくつか寄せられるようになった。通常、企業がプライバシーに関する問題を考える際には、コンプライアンス(=法令遵守)の観点から、「個人情報保護法を遵守しているか否か」が問われ、その点を中心に検討がなされることも多いが、ここで寄せられた相談は、法令遵守を当然の前提としながらも、その上で、本人に関する情報による差別・不利益・不安を本人にあたえないか(そして、それが「炎上」という形で現れ、事業の実施がとん挫しないか)という点についての懸念であった。

 具体的には、「位置情報サービスで取得する移動データから統計データを作成し、第三者へ提供する際に、個人情報保護法の遵守を前提としているが、これで炎上をしないか不安である」「交通関係の事業者が、従業員の健康データを取得し、健康管理アドバイスを提供するサービスで、個人情報保護法に基づいて本人同意を取得するが、従業員が不安を感じることはないだろうか。配慮すべき点はなにかあるか」などの相談が寄せられた。有識者からは、前者については、「PIA(プライバシー影響評価、Privacy Impact Assessment)を自ら実施し結果を公表することで、利用者の不安を払拭してはどうか」、後者については、「健康データが人事評価に利用されるのではないかとの懸念を持たれる可能性があるので、そのような利用があるのかどうかを事前に説明したり、そのサービスを利用するかどうかを従業員が選択できるようにしてはどうか」など、個別の事案に対して、法令遵守の範囲を超え、本人の不利益をいかに避け、本人の不安をいかに取り去るかについてアドバイスがなされた。このように、データ流通促進ワーキンググループで個別の事業に対してなされた助言は、「新たなデータ流通取引に関する検討事例集」として取り纏められている。ver1.0が2017年に公表され、2018年には、ver2.0へ改訂されている 。

図表2 プライバシー保護の観点で考慮すべき範囲

3.カメラ画像の利活用に特化した「カメラ画像利活用ガイドブック」の策定

 データ流通促進ワーキンググループでは、取り扱うデータや、技術を限定せずに、全般的に相談を受け付けていたが、2016年当時、IoTの進展と相まって、特にカメラ画像情報の利活用にあたり、プライバシーに係る懸念が原因で、企業が事業化を躊躇するケースが目立っていた。

 当時、カメラ画像は、防犯目的での利用だけでなく、例えば、店舗での人数カウント、来店客の性別・年代などの属性推定、リピーター判定といったスマートな店舗運営や購買体験を実現するという商用目的にも、公共空間での人流の把握、車載カメラ画像(個人の写り込み可能性のある画像)の分析による路面や構造物の状態分析などといった、スマートな街づくりを実現するという公共性の高い目的にも、幅広く貢献する可能性が見えてきていた。一方で、カメラ画像は、個人の顔・全身が映り込みうる情報であり、顔画像や識別に必要となる生体情報は、一度取得されると将来にわたる追跡が可能となることや、流出してしまうと消去が困難になるとの認識から、個人が嫌悪感や監視への恐怖感を抱くケースが少なくない。実際に、カメラ画像を活用して人流計測を行う実証実験が、「顔追跡『やめて』」「監視社会」などの文脈から批判的な報道等により、中断・縮小しての実施となるケースも見られた。

 そこで、データ流通促進ワーキンググループの下に、カメラ画像利活用に係るプライバシーの観点からの配慮事項について集中的に検討するため、2016年に「カメラ画像利活用サブワーキンググループ」(座長:明治大学教授 菊池浩明氏)が設置され、検討結果が「カメラ画像利活用ガイドブック」として取り纏められた。ver1.0が2017年に公表され、2018年にはver2.0へ改訂されている 。また、2019年には、ガイドブックを踏まえて実際に事前告知や通知が行われている事例を紹介する「カメラ画像利活用ガイドブック 事前告知・通知に関する参考事例集」が公表された 。

 カメラ画像利活用ガイドブックでは、個人情報保護法の遵守を前提としつつも、その上で、カメラ画像を商用目的で利活用する際に、プライバシーの観点で配慮すべきことが整理されている。この中では、特に、生活者と、カメラ画像利活用に係る適切なコミュニケーションを図り相互理解を構築することが重要とされている。企業は、個人情報保護法に定められるようにデータ取得時に利用目的等を通知するだけでなく、データ取得を開始するよりも前に、十分な期間を以て「事前告知」を行うことや、告知内容・告知方法については、生活者がその情報を得る機会が増すように、撮影場所などを総合的に考慮して、ポスター掲示など物理的な方法、Webサイトなど電子的な方法など、適切な方法を判断することなどとされている。また、告知内容については、生活者が特に不安に思うであろう、「抽出・生成したデータから個人が特定されうるのかどうか」「個人が映り込みうるカメラ画像情報そのものは、いつまで保存されるのか(すぐに破棄されるのか)」「そのデータが第三者へ提供されるのか」などの点について、企業が自ら積極的に公表すべきであるとされている。

4.企業が組織全体としてプライバシー配慮へ取り組む必要性

 IoTだけでなくAIやビッグデータなどの技術が進展するに伴い、プライバシーに関わる影響はさらに多様化している。法令を遵守していても、本人への差別、不利益、不安を与えるとの点から、個人や社会からの批判を避けきれずに炎上し、さらにそれが、当該事業にとどまらずに、企業全体の存続に関わる問題として顕在化するケースも、近年見られるようになってきた。2.や3.で紹介してきたような、IoT推進コンソーシアムでの検討は、プライバシーに関する問題について、個別の事業や領域に対して具体的な取組を示すものであったが、経営者を頂点とする企業全体がプライバシーに配慮する姿勢へ転換するための、普遍的な内容は、これまで示されてこなかった。このため、2019年10月、データ流通促進WGの下に「企業のプライバシーガバナンスモデル検討会」(座長:国立情報学研究所 佐藤一郎氏)を設置し、企業がプライバシーガバナンスの構築に向けて、検討が開始された。

 プライバシーガバナンスという観点では、EUではGDPR(一般データ保護規則、General Data Protection Regulation)により基本的人権の観点から、米国ではFTC法(Federal Trade Commission Act)(第5条)により消費者保護の観点から、多額の罰金や制裁金の執行がなされ、経営者がプライバシーに関する問題を経営上の問題として取り扱うことが認識されている。GDPRにおいては、経営から独立したDPO(データ保護責任者、Data Protection Officer)の設置など、企業に求める体制も規定されている。このような状況下で、プライバシーを経営戦略の一環として捉え、プライバシーに関する問題に適切に対応することで、社会的に信頼を得、企業価値向上につなげている企業も現れている。

 日本においても、2019年12月に出された個人情報保護法の制度改正大綱で、特にデジタル技術を活用した分野では、ビジネスモデルの変革や技術革新が著しく、民間主導の取組の更なる推進が必要とされている。その一環で、個人データの取扱いに関する責任者の設置やPIAの実施などの自主的な取組が推奨されている。

 このような状況を背景として、企業のプライバシーガバナンスモデル検討会では、企業が組織全体としてどのようにプライバシーに関わる問題に取り組むべきなのか、プライバシーガバナンス構築のため経営者が取り組むべき要件、体制構築や対外的なコミュニケーションの在り方などプライバシーガバナンスに重要となる事項を取り纏め、2020年8月28日に「DX*時代における企業のプライバシーガバナンスガイドブックver1.0」として公表した。

*DX(デジタルトランスフォーメーション、Digital Transformation)とは、例えば企業においては、ビジネス環境の激しい変化に対応し、データとデジタル技術を活用して、顧客や社会のニーズを基に、製品やサービス、ビジネスモデルを変革するとともに、業務そのものや、組織、プロセス、企業文化・風土を変革し、競争上の優位性を確立することを指す。

図表3 DX時代における企業のプライバシーガバナンスガイドブックver1.0の概要

DX時代における企業のプライバシーガバナンスガイドブックver1.0の概要

5.DX時代における企業のプライバシーガバナンスガイドブックver1.0の概要

5.1.ガイドブックの前提

 ガイドブックでは第2章に、ガイドブックの前提として、Soiety5.0を見据えて、企業が、組織全体としてプライバシーに関わる問題(プライバシー問題)にどのように向き合うべきかが、記載されている。

 IoTやAIの技術進展に伴って、データ解析の結果、機械的に不当な差別的扱いを受ける可能性や、個人の政治的選択に対して介入される可能性など、プライバシー問題は多様化している*。企業には、Society5.0に向けては、イノベーション推進の中心的存在として、積極的に経済的価値・社会的価値を創造する取組を推進すると同時に、プライバシーに関わる問題をはじめとする、イノベーション自体がもたらすリスクの低減を図っていくことが求められる。企業は、サイバー空間を介していても、取り扱うのは単なるデータではなく、フィジカル空間の生身の人間と向き合っていることを改めて認識し、個人の基本的な人権や社会的価値を損なうことのないよう、真剣に考えを尽くすことが必要とされる。

*ガイドブックでは、データを解析した予測結果が企業に利活用され採用プロセスに影響を与えた可能性が取り沙汰される例や、海外においては、SNSの個人情報から心理プロファイリングを行った結果がSNSを通じて投票行動へ影響を与えたのではないかとされる例が記載されている。

 一方、企業がプライバシー問題を考える際には、個人情報保護法が主な規範として位置づいており、コンプライアンス=法令等遵守の観点から、個人情報保護法を遵守しているかどうかを中心に検討することで事業が行われることが多かった。そのため、法令等遵守が中心に位置づけられる中で、「遵守」という言葉の通り、受動的に、法令を守る対応が主眼となってしまい、本質的な目的、すなわち、プライバシー問題の発生をどう抑止するかという点に対する意識が希薄化したり、プライバシー問題への対応自体が、企業としてコンプライアンスコストとして捉えられ、法令等遵守ができる範囲においてできる限り対応を合理化しようとした結果、法令は守っていたのに炎上するという事態も見られるようになった。このことから、ガイドブックでは、企業に対して、プライバシー問題への対応を単なる「コンプライアンス」とみなさず、法令等遵守(コンプライ)を当然の前提としながらも、能動的にプライバシー問題へ取り組み、社会に取組を積極的に開示して説明(エクスプレイン)し、対話を通じて消費者や社会からの信頼を獲得していく、コンプライ・アンド・エクスプレイン型への、組織的な転換を求めている。

5.2. 経営者が取り組むべき要件

 企業の経営者が、プライバシーに関わる取組について、どのように向き合うべきかが、ガイドブックの第3章に記載されている。まず、経営者には、企業はイノベーションの担い手であるから、プライバシー保護をデータ利活用と二項対立として捉えるのでなく、データ利活用のメリットをプライバシーに配慮しながら最大化するという視点でとらえることが必要だとされている。そして、企業が、一貫した姿勢でプライバシーを守っていくことは、消費者や社会からの信頼獲得につながり、企業のビジネスにおける優位性や企業価値向上につながることから、プライバシーに関わる取組を、経営戦略として捉え、プライバシーを競争力の要素として検討することが重要であるとされる。また、もちろん、プライバシーリスクに配慮できず、プライバシー問題が個人や社会に発現する場合には、社会からの信頼が揺らぎ、企業の存続や事業の継続に懸念が生じるという面からも、企業全体としての取組の必要があることが記載されている。

 これを踏まえて、企業が、5.1に記載の組織的な転換を行うために、経営者がまず取り組むべき要件として、3点が整理されている。

 1つ目は、企業のプライバシーガバナンスに係る姿勢の明文化である。経営者は、経営戦略上の重要課題としてプライバシーを位置づけ、組織の一貫した対応を可能とするプライバシー保護に係る基本的な考え方や、プライバシーリスクに能動的に対応していく姿勢を明文化し、組織内外へ知らしめることが重要であるとされる。そして経営者には、明文化した内容に基づいた取組の実施について、アカウンタビリティを確保することが求められる。アカウンタビリティは、説明責任にとどまらず、最終的な、包括的な責任を果たすことができる状態を指す。

 2つ目は、プライバシーガバナンスの実現には、経営者による関与と、上記明文化された内容の具体的実践が不可欠であることから、経営者は組織全体のプライバシー問題への対応の責任者(プライバシー保護責任者)を指名し、権限と責任の両方を与えることである。

 3つ目は、プライバシーへの取組に対して、リソースを投入することである。経営者は、十分な経営資源(ヒト・モノ・カネ)を漸次投入し、体制の構築、人材の配置・育成・確保等を行う。プライバシーに係る対応は事後的に追加するものではなく、事前に検討され、戦略、事業、システムへ組み込まれるべきものであり、プライバシー問題も経営状況や外部環境に依存せずに常時発生しうるものであるから、プライバシーへの取組に関するリソースは継続的に投入され、取組自体の継続性を高めることが期待されている。

5.3. プライバシーガバナンスの重要項目

 企業におけるプライバシーガバナンスを実質的に機能させるために、ガイドブックではさらに、体制の構築、運用ルールの策定と周知、企業内のプライバシーに係る文化の醸成、消費者やステークホルダーとのコミュニケーションについて、重要項目として整理されている。本稿では、そのうち一部のみ紹介する。

i)体制の構築
 ガイドブックでは、プライバシーガバナンスを機能させるため、体制構築の面では、プライバシー保護責任者の下に、プライバシー問題に対応する中核となる組織(プライバシー保護組織)を設けることが有効であるとされている。プライバシー保護組織には、プライバシー問題が消費者や社会に発現するリスクを漏れなくみつけ、ゼロサムでなくポジティブサム*の視点に立ってポジティブな改善案の提案を含めて、多角的に対応策を検討することが求められている。必要な際には、社内の他部門と円滑に連携したり、国内外のプライバシー動向や法制度面などに詳しい学識経験者、弁護士、コンサルタント等の社外の有識者との関係性を構築し、相談しながら進めることも重要である。新規事業部門が悩みを抱えこまないような配慮も、プライバシー保護組織には重要であるとされている。もしも、プライバシー保護組織に、専門的な知見を有する専任者を確保することが困難な場合には、人材育成に計画的に取り組みつつも、兼務の従業員のみで保護組織を構築するなど、自社のリソースに合わせて実効性のあるところから、まずは一歩踏み出すことが大切であるとされている。

*プライバシー・バイ・デザインの7つの原則においては、プライバシー保護の仕組みを設けることによって、利便性を損なうなどのトレードオフの関係を作ってしまうゼロサムアプローチではなく、全ての機能に対して正当な利益及び目標を収めるポジティブサムアプローチを目指すこととされている。企業にとって、プライバシーを尊重することで様々な形のインセンティブ(例えば、顧客満足度の向上、よりよい評判、商業的な利益など)が考えられる。

ii)消費者やその他ステークホルダーとのコミュニケーション
 ガイドブックでは消費者をはじめとするステークホルダーとのコミュニケーションが重要であると位置づけられている。本稿の2.や3.でも触れたように、これまでの検討においても、パーソナルデータを利活用した新規プロジェクトにおいては実施内容を事前に社会に公表してコメントを受け付けて対応するなど、消費者との丁寧なコミュニケーションと相互理解構築が重要であるとされてきた。企業全体の取組としても、プライバシー問題への企業の取組について、消費者に分かりやすく積極的に説明をしていくことが、信頼獲得の基本となる。消費者が特に懸念を示すだろう内容についてその懸念を解消できるよう定期的に透明性レポートを公表する例や、ダッシュボードなどを通じて機能追加や利用規約改定など適切なタイミングで迅速にお知らせする例もあげられている。

 また、複数の企業と協働で事業を実施する場合などは、自社だけでなく、ビジネスパートナーなどのステークホルダーとのコミュニケーションを円滑にとり、プライバシー問題に適切に対応することが欠かせない。特に技術革新に伴い、新たなプライバシー問題が発生していることから、ベンダー等システム関係の取引先とは密なコミュニケーションが求められる。また、その他、企業がコミュニケーションをとるべきステークホルダーとして見逃されがちであるのが、従業員等である。企業は、従業員へのプライバシーの配慮が必要であり、対話・説明などが必要となる。その際に、求職者、退職者、取引先の従業員等に対しても、十分な配慮を行うことが求められる。

 以上、本稿で解説したように、「DX時代における企業のプライバシーガバナンスガイドブックver1.0」が、企業が組織全体としてプライバシーに配慮する姿勢へ転換する必要性を明確に打ち出したことは画期的である。今後、企業は、プライバシーに関わる問題について考えをつくし、能動的にリスク管理や社会の信頼獲得に取り組んでいくことが必要であり、それがひいては企業価値向上につながっていく。新型コロナ感染症への対応もあり、各企業においてはDXも一層推進されることが見込まれる。IT企業に限らず、あらゆる産業において、パーソナルデータを利活用する局面に向き合う機会が増えるだろう。ガイドブックは、多くの企業の経営者の方や、データ利活用やデータ保護に携わる担当者の方に、参考となるではないかと考える。詳細は、ぜひガイドブック本文を参照いただきたい。