経産省、「プライバシーガバナンス」の構築に向けてガイドブック案の意見募集を開始
――経営者が取り組むべき要件、体制構築・運用ルール策定のポイントなど――
経済産業省は7月29日、総務省および「企業のプライバシーガバナンスモデル検討会」(座長・佐藤一郎国立情報学研究所教授)と連名で編まれた「DX企業のプライバシーガバナンスガイドブックver1.0(案)」を経産省ウェブサイトで公表した。8月12日まで意見募集を行う。
「企業のプライバシーガバナンスモデル検討会」は、産学官が参画・連携してIoT技術の開発・実証・標準化等の推進、IoTに関する各種プロジェクトの創出、当該プロジェクトの実施に必要となる規制改革の提言等を推進する「IoT推進コンソーシアム」を構成するワーキンググループの一つ「データ流通促進WG」(座長:森川博之東京大学大学院教授)の下に設置された検討会。同WGとしては、これまでに「データの利用権限に関する契約ガイドラインVer1.0」(2017年)、「カメラ画像利活用ガイドブックver2.0」(2018年)などを策定・公表してきた。
今般公表されたプライバシーガバナンスに関するガイドブック案は、上記検討会における2019年度から2020年度にかけての検討結果が取りまとめられたもので、「Society5.0の時代におけるDX企業の役割、プライバシーの考え方、企業のプライバシーガバナンスの重要性を前提に、『経営者が取り組むべき三要件』や『プライバシーガバナンスの重要事項』について議論を行」った。パーソナルデータの利活用に当たってはプライバシー保護への要請が高まっている状況があるが、本ガイドブックにより「新たな事業にチャレンジしようとする企業が、プライバシーに関わる問題について能動的に取組み、ひいては新たな事業の円滑な実施に不可欠である信頼の獲得に繋がるプライバシーガバナンスの構築に向けて、まず取り組むべきこと」を明らかにする。ガイドブックの名称中「ver1.0」は新規に作成されたガイドブックであることを意味している。
取組の前提となる「企業のプライバシーガバナンス(の重要性)」についてガイドブック案は、「プライバシー問題の適切なリスク管理と信頼の確保による企業価値の向上に向け、経営者が積極的にプライバシー問題への取組にコミットし、組織全体でプライバシー問題に取り組むための体制を構築し、それを機能させることが、基本的な考え方となる」と示す。
そのうえで掲げられる「経営者が取り組むべき三要件」とは、次のとおりである。要件1:プライバシーガバナンスに係る姿勢の明文化、要件2:プライバシー保護責任者の指名、要件3:プライバシーへの取組に対するリソース投入。
要件1については、その具体的な例として「宣言の形をとったプライバシーステートメント」や「組織全体での行動原則などを策定するケース」を示しつつ、「プライバシーポリシー」とは「性質が異なることに注意が必要である」とした。要件2にいう「プライバシー保護責任者」とは「経営者が姿勢を明文化した内容を踏まえて、その実践を行うための責任を遂行させる」担当幹部である。責任範囲を明確にし、必要な対応を遂行するための権限を与える必要がある。要件3を巡っては「プライバシーへの取組に関するリソースが継続的に投入され、取組自体の継続性が高められることが期待される」とする指摘がある。
「プライバシーガバナンスの重要項目」としては(1)体制の構築、(2)運用ルールの策定と周知、(3)企業内のプライバシーに係る文化の醸成、(4)消費者とのコミュニケーション、(5)その他のステークホルダーとのコミュニケーションの5つを挙げた。(1)を具体的にみると、①プライバシー保護責任者の役割、②プライバシー保護組織の役割、③事業部門の役割、④内部監査部門やアドバイザリーボードなどの第三者的組織の役割の4点を掲出。
これらのうち、たとえば②によりプライバシー保護組織の役割を確認すると、(ア)企業内の各部門から新規事業やサービス内容に関する様々な情報を集約するなどし、プライバシー問題が消費者や社会に発現するリスクを漏れなく見つけること、(イ)市場動向・技術・制度など常に関連する情報を収集すること、(ウ)学識者・コンサルタント・弁護士・消費者団体などプライバシー問題に詳しい有識者らとの関係性を構築し、必要に応じて相談すること、(エ)見つかったプライバシー問題に対して、多角的に対応策を検討すること、(オ)検討に当たっては必要に応じて、新規事業や新規技術を開発する部門とともに、関係する法務・システム関連・情報セキュリティ・コンプライアンス・広報・CS(カスタマーサービス)・政策企画などとの連携を図ること――などとなる。重要なこととして、「どのような体制であれ、企業が引き起こしうる、消費者のプライバシーリスクや実際の問題を素早く把握し、プライバシー保護責任者へ報告し、指示を仰ぐことができるような体制にするということ」との総括が示されている。
ガイドブック案では、「経営者が取り組むべき三要件」「プライバシーガバナンスの重要事項」以外にも「参考」ながら「プライバシーリスク対応の考え方」「プライバシー・バイ・デザイン(というコンセプト)」について説明を加えている。適宜参考とされたい。