「DX時代における企業のプライバシーガバナンス」について

経済産業省 商務情報政策局情報経済課
デジタル取引環境整備室 室長補佐(総括)
村瀬 光氏

 本日は、企業がPIAを実施する必要性と背景、プライバシー問題に能動的に取り組む重要性のほか、昨年公表した「DX時代における企業のプライバシーガバナンスガイドブック」の概要をご紹介します。

企業によるプライバシーへの対応が求められる背景

国際的(EU・米国)な動向

 海外では、プライバシー問題への取組みが企業価値に与える影響が高まっています。プライバシーテックと呼ばれるベンチャー企業への投資や、プライバシーをめぐって巨大テックが対立するニュースが流れるなど、社会全体のプライバシーに対する関心が高まっており、金融市場、投資家が取組みを評価する時代になりました。

 EUではGDPR(General Data Protection Regulation)により基本的人権の観点から、また、米国においてはFTC法(米国連邦取引委員会法)第5条によって消費者保護の観点から、すでに企業に対して多額の罰金や制裁金の執行がなされており、プライバシー問題は、単なるコンプライアンス対応ではなく、経営上の問題として認識されています。

 また、EUのGDPRでは独立したDPO(Data Protection Officer)の設置や、 DPIA(Data Privacy Impact Assessment)の実施などが求められており、企業の体制・取組みも強化され始めています。

国内動向

 国内企業においても、国際的なデータ流通により経済成長を目指すDFFT(Data Free Flow with Trust)を実現する観点から、セキュリティやプライバシーの確保を通して、企業が信頼を獲得しようとする動きがみられるようになりました。その際には、海外(活動をする国)で求められるレベルへの目配せも必要です。

 また、個人情報保護法制度改正大綱の中でも、民間主導の取組みの更なる推進が必要と示され、個人データの取扱いに関する責任者の設置やPIAの実施など自主的な取組みが重要であると記述されました。

プライバシー対応に関する企業内ガバナンスの必要性

 従来、プライバシー問題に対する取組みは、個人情報保護法の順守が基本でした。しかし、(図1)「プライバシー保護の観点で考慮すべき範囲と体制構築」で示している通り、企業に配慮が求められる範囲は徐々に広がりつつあり、実際、世間の批判を避けきれずに炎上し、事業の存続に関わる問題に発展してしまうケースもみられます。

 企業がしっかりとプライバシーガバナンスを構築し、消費者やステークホルダーに対して説明責任を果たすことが社会の信頼を得ることにつながります。経営者の皆さまには、この問題を経営課題として捉え企業価値向上に努めていただきたいと思っています。

図1.プライバシー対応に関する企業内ガバナンスの必要性

図1.プライバシー対応に関する企業内ガバナンスの必要性

「DX時代における企業のプライバシーガバナンスガイドブックver1.0」の概要

 上記のような背景から、経済産業省および総務省、委員等で結成された検討会において、企業のプライバシーガバナンスについて検討を進め、昨年8月に「DX時代における企業のプライバシーガバナンスガイドブックver1.0」を公表しました。

 対象としては、消費者のプライバシーへの配慮が必要とされる企業やそのベンダー等の、経営層、管理職、パーソナルデータを利活用する部署に所属する方などを想定しており、主に「経営者が取り組むべき3要件」と「プライバシーガバナンスの重要項目」の2つの要素で構成されています。(図2)

経営者が取り組むべき3要件

  • 要件1:プライバシーガバナンスに係る姿勢の明文化
  • 要件2:プライバシー保護責任者の指名
  • 要件3:プライバシーへの取組に対するリソースの投入

 企業が経営戦略としてプライバシーガバナンスにどう取り組んでいくのかを明文化し、組織内外に知らしめることが重要です。そのためには、専任のプライバシー保護責任者を指名し権限と責任を与える事に加え、十分な経営資源(ヒト・モノ・カネ)の投入が必須となります。

プライバシーガバナンスの重要項目

1.体制の構築
2.運用ルールの策定と周知
3.企業内のプライバシーに係る文化の醸成
4.消費者とのコミュニケーション
5.その他のステークホルダーとのコミュニケーション

 実際に企業が活動を行っていく中では、事業部門とプライバシー保護組織や経営者の橋渡し役を行う専任者・部門を置くなど体制の構築が不可欠です。策定された運用ルールに則って実施している取組みを従業員はもちろん、消費者や全ステークホルダーなど組織内外に継続的に普及・広報しコミュニケーションをとることが重要となります。

 上記2つの要素に注力して取り組むことによって、社会からの信頼を得、企業価値の向上、またビジネス上の優位性を獲得することができると考えています。

 民間企業における公開されている取組みに関しても、ぜひご参考になさってください。
【参考事例】
1)プライバシーガバナンスに係る姿勢の明文化
NTTドコモ パーソナルデータ憲章の公表 出典:NTTドコモ
2) 消費者とのコミュニケーション(組織の取組の公表、広報)
LINE TRANSPARENCY REPORTの公表 出典:LINE
3) 消費者とのコミュニケーション
NTTドコモ パーソナルデータダッシュボードの提供 出典:NTT ドコモ
日立製作所・博報堂 生活者情報に関する意識調査の実施 出典:日立製作所

図2.「DX時代における企業のプライバシーガバナンスガイドブックver1.0」の概要

図2.「DX時代における企業のプライバシーガバナンスガイドブックver1.0」の概要

プライバシー・バイ・デザイン、プライバシー影響評価(PIA)

 プライバシー保護の基本的な考え方として、プライバシー・バイ・デザインというコンセプトがグローバルスタンダードになっています。問題が発生した都度対処するのではなく、あらかじめ自社のビジネスモデルや技術の制度設計の段階でプライバシー保護の仕組みを組み込んでいく考え方です。

 そこでPIAの手法が推奨されています。新規ビジネス導入時や新組織の構築時にあらかじめプライバシーリスクを洗い出し、評価した上で最適な対応策を考え実施することで、ビジネスを円滑に進めることができるようになります。今後、PIAが企業内に設置されたプライバシー保護組織と事業部が連携して進められるような取組み、ツールとなって活用されていくことが期待されます。

以上


経済産業省 商務情報政策局情報経済課
デジタル取引環境整備室 室長補佐(総括)  村瀬 光氏


2020年7月より現職。デジタル市場の健全な発展をミッションとして、同年国会で成立したデジタルプラットフォーマー取引透明化法の施行に向けた準備や、デジタル広告をはじめとするデジタル市場分野に関する調査・政策企画立案を担当。同年10月より、企業によるデータ利活用を促進するためのプライバシー関連政策についても担当。
2019年5月より個人情報保護委員会事務局に出向。個人情報保護法の改正作業を担当。
2017年7月より米国留学。データ・サイエンスを専攻。
2017年5月には、経済産業政策局産業資金課において、FinTechに関する初めての総合的な報告・提言である「FinTechビジョン」を策定。デジタル時代におけるイノベーション親和的な規制の在り方等について提言。