原案作成者にきく「DX企業のプライバシーガバナンスガイドブック」の注目点
2020年8月11日
毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。
- 配信日:2020年7月30日
- タイトル:原案作成者にきく「DX企業のプライバシーガバナンスガイドブック」の注目点
- 発表者:
ひかり総合法律事務所 弁護士 板倉 陽一郎氏
日本総合研究所 上席主任研究員 若目田光生氏
「企業のプライバシーガバナンスモデル検討会」の成果
経済産業省と総務省では、分野・産業の壁を超えてデータに関する取引を活性化させることを目的とした「IoT推進コンソーシアム データ流通促進ワーキンググループ」のもとに、「企業のプライバシーガバナンスモデル検討会」を設置しています。
この検討会では、Society5.0の時代におけるDX企業の役割、プライバシーの考え方、企業のプライバシーガバナンスの重要性を前提として「経営者が取り組むべき三要件」や「プライバシーガバナンスの重要事項」に関する議論を重ねてきました。その成果が「DX企業のプライバシーガバナンスガイドブックver1.0(案)」にまとめられ、2020年7月29日から8月12日にかけてパブリックコメントを募集しています。
ランチタイムトークには、検討会のメンバーである、ひかり総合法律事務所の板倉陽一郎氏と、日本総合研究所の若目田光生氏がオンラインで参加し、ガイドブックに関するコメントをいただきました。
なお、検討会メンバーの1人である三浦法律事務所の日置巴美氏は、データサインの社外取締役を務めています。
個人情報保護法を守れば、それでヨイのか?
本ガイドの対象読者となる企業は、パーソナルデータを利活用する製品・サービスを提供し、消費者のプライバシーへの配慮が想定される企業、および取引先とうたわれています。
この定義を当てはめると、規模を問わず多くの企業が対象となります。しかし、プライバシーガバナンスを機能させるには、専門組織の立ち上げなど企業の負担も大きくなるので、まずは大企業を念頭にして議論が進んだそうです。
プライバシーについては、ガイドブックの「2.2.プライバシーの考え方」によると、情報通信技術の発展に伴い、情報プライバシーという概念が生まれるとともにその概念や定義が大きく変化しているとあります。つまり「個人的な感じ方の相違、社会受容性が、コンテキストや時間の経過によって変わり得るなど、プライバシーの概念を固定して考えられない点に、対応の難しさがあ」ります。
これについて板倉氏は、プライバシー保護の観点で考慮すべき範囲は、個人情報保護法により守られるべき範囲より広く、かつそれが拡大している、と指摘します。
「個人情報保護法は、利用目的を事前に定め、その範囲の中で第三者の同意を取れば情報提供が許されます。しかし、本ガイドブックでいうプライバシー保護は消費者の権利に対する『実質的な判断』が含まれるので留意が必要です。適切な対応を講じられるように、企業には体制の構築が求められます」(板倉)
ただ、GDPR(一般データ保護規則)におけるDPO(Data Protection Officer)のような形態に限定せず、委員会制など設置の仕方や役割にはある程度の幅を認めているようです。
ステーホルダーとの積極的なコミュニケーションや体制づくり
本ガイドブックでは、経営者が取り組むべき三要件として、前述の「プライバシー保護責任者の指名」以外に、「プライバシーガバナンスに係る姿勢の明文化」「プライバシーへの取組に対するリソースの投入」が挙げられています。
特に「プライバシーガバナンスに係る姿勢の明文化」では、組織内外にプライバシーに係る基本的な考え方や姿勢を明文化して知らせることが求められています。その例として、NTTドコモが公表するプライバシー憲章や、LINEが発表する透明性レポート(Transparency Report)が挙げられています。
また、ランチタイムトークでは、三井住友フィナンシャルグループの個人データ適正利用経営宣言への言及もあり、企業が自ら進んで消費者を含むステークホルダーに情報を発信していくことの重要性が指摘されました。会員顧客向けのポイントサービスを提供する際に集める個人情報がどのように使われているのか、わかりやすくサイトに記す、といったことも含まれます。
若目田氏は、「情報公開の仕方は特定のステークホルダーだけでなく、消費者はもちろんのこと、データをやりとりする取引先などを含めたバリューチェーン全体に対して情報を発信し、コミュニケーションを図ることが重要です。ある一社だけがプライバシーに配慮してもプライバシーガバナンスは向上しません。このガイドブックがそうした配慮へのきっかけになれば」と述べました。
新型コロナウイルス感染症への対策にあたっては、各国において、パーソナルデータの活用のニーズが急速に高まりました。感染症対策がどの程度実行されているかを可視化し、行動変容を促す観点から、混雑状況に関するデータの利用なども行われています。
本ガイドブックには、日本政府からの要請に対してデータ提供を行ったヤフー株式会社が、同社のプライバシー有識者会議のアドバイスを基に、厚生労働省と、新型コロナ感染症のクラスター対策に資する情報提供 に係る協定を結び、社会問題の解決支援とプライバシーリスクの低減を両立した事例が記されています。
プライバシーへの対処は、形だけの取り組み、ではありません。適切に対処する企業は社会から高い信頼を得て、それがビジネスの優位性にもつながるため、平時より体制を整えておくことが必要でしょう。
関連記事