「DX時代における企業のプライバシーガバナンスガイドブックver.1.2」のポイントを解説

2022年2月、経済産業省・総務省が「DX時代における企業のプライバシーガバナンスガイドブックver1.2」を策定、公表しました。社会でデジタル化が急速に進む中、ビジネスの場においてパーソナルデータへの適切な配慮の必要性が高まりつつあります。今回のガイドブックは、国からのガイドラインの提示という意味をもつといえるでしょう。

以下では、「DX時代における企業のプライバシーガバナンスガイドブックver.1.2」のポイントについて詳しく解説します。

「DX時代における企業のプライバシーガバナンスガイドブック」とは？

近年、日本社会においてDX（デジタルトランスフォーメーション）が進んでいます。DXの進展は、産業界におけるイノベーションの創出、社会課題の解決への取り組みを促進させる一方で、プライバシー保護の問題が深刻化する契機にもなりました。

プライバシーというと、かつては「私生活に関与されない権利」や「私生活を公開されない権利」として考えられるのが一般的でした。しかし、社会のデジタル化が進んだことにより、個人情報のコントロールという側面に問題の所在が拡大しています。

たとえば、収集された個人情報が、IoTやAIによるデータ解析の結果、不当な差別的扱いを引き起こすというケースがその一例です。最近だと、就活サイト運営会社が新卒予定者を学歴で差別するといった問題に注目が集まりました。他にも、公共交通機関に設置されている防犯カメラが、防犯目的の範囲を超えて利用されているのではないかとの疑義が社会に広まり、欧州では「ビデオ機器を通じた個人データ処理に関するガイドライン」案が2019年に策定されています。つまりプライバシー保護の概念が、単純な個人情報の保護から、収集された個人情報が適正に扱われているのかどうかなどへと拡大しつつあるわけです。

社会のDX化に伴ってプライバシー保護の概念が多様化・拡大化する中、その配慮の方法も複雑化しているといえます。特にビジネスの場では、複雑化したプライバシー保護について適切な知識・対応力をもつ人材がいるとは限らず、利益目的のために無配慮に個人情報が利用される危険性も否定できません。

そうした中、経済産業省、総務省は2020年8月、有識者を集めて「企業のプライバシーガバナンスモデル検討会」を開催し、企業がプライバシー保護を適切に行うための体制作りのあり方について検討を行いました。その結果として策定、公表されたのが「DX時代における企業のプライバシーガバナンスガイドブックver.1.0」です。その後2021年にその改定案であるver.1.1が作られ、2022年2月に2度目の改定案としてver.1.2が作成されました。

企業におけるプライバシーガバナンスとは

プライバシーガバナンスとは、事業活動において収集した個人情報に配慮できる組織体制を構築することです。

個人情報に配慮するという点では、各企業は第一に、コンプライアンス（法令順守）の点から、個人情報保護法に則った企業経営を行っているかどうかが問われます。

しかし近年、プライバシー保護の概念が多様化し、社会におけるプライバシーに対する意識も高まっているのが実情です。そのため、個人情報保護法を守る体制を作るだけでは十分とはいえません。

「収集した個人情報をどのように活用しているのか」「個人情報の活用を通して、社会的価値にどのような影響を与えているのか」という点にも配慮した取り組み、説明を行うことが、DX時代の企業には求められています。いわば、ただ法令を守るという枠組みを超えて、プライバシー問題を総合的に扱うための組織体制作りが求められているわけです。

一方で、企業にとっては自社価値を向上させる機会にもなり得ます。自社のビジネスで起こり得るプライバシーに関するリスクを評価し、対応できる体制を整え、そのことを社会・ステークホルダー（利害関係者）に発信すれば、一定の社会的信頼を得ることが可能です。消費者からの信頼を高めれば、商品・サービスの売り上げ向上にもつながります。

プライバシー保護をただのコンプライアンスとして扱うのではなく、新たな組織体制の構築とそれによる企業価値の向上につなげようとすることが、プライバシーガバナンスにおける重要ポイントといえます。

「DX時代における企業のプライバシーガバナンスガイドブックver.1.2」のポイント

「DX時代における企業のプライバシーガバナンスガイドブックver.1.2」には、大きく分けて「経営者が取り組むべき3要件」「プライバシーガバナンスの重要項目」「プライバシーガバナンスの取り組み事例」の3点が掲載されています。

経営者が取り組むべき3要件は、以下の通りです。

・プライバシーガバナンスに対する取り組み姿勢の明文化……プライバシー保護の姿勢を組織内外に知らしめる）

・プライバシー保護責任者を指名する責任者を任命して、権限と責任を与える。

・プライバシー保護への取り組みに経営資源を投入する……体制構築、人材の育成・確保・配置を行う

プライバシーガバナンスの重要項目については、以下の5点です。

・体制構築（内部統制、専門組織の設置、社外の有識者と連携）

・運用ルールの策定および周知

・企業内のプライバシーに対する企業文化の醸成

・消費者とのコミュニケーション

・その他のステークホルダーとのコミュニケーション（ビジネスパートナー、グループ企業、投資家、株主、業界団体、従業員、行政など）

プライバシーガバナンスの取り組み事例としては、「ver.1.0」ではプライバシーガバナンスに対する取り組み姿勢の明文化の事例、「ver.1.1」では体制構築の事例が掲載されていました。2022年2月に策定、公表された「ver.1.2」では、プライバシー保護責任者を任命した事例、第三者的組織を導入した事例、プライバシー影響評価を実践した事例が掲載されています。プライバシー影響評価はPIAとも呼ばれ、プライバシーに関わるリスクの分析、評価、対応を行う手法のことです。

まとめ

近年、情報技術が進展していく中、プライバシー保護に対する概念は複雑化し、ただ法令順守すればよいという範囲を超えつつあります。プライバシーガバナンスとは、コンプライアンスの枠を超えた総合的なプライバシー保護を行える企業内組織体制を整えることであり、それにより社会からの信頼性を高め、企業価値を高めることも可能です。

経済産業省・総務省が作成した「DX時代における企業のプライバシーガバナンスガイドブックver.1.2」は、そのような取り組みを企業が行うための指針を示したガイドラインといえます。プライバシー保護を受動的に行うのではなく、企業を成長させる経営戦略の一環として積極的に取り組むことが、これからの企業経営に求められています。