◇SH3312◇経産省、総務省、「DX時代における企業のプライバシーガバナンスガイドブックver1.0」の公表 鈴木実里(2020/09/17)

未分類

経産省、総務省、「DX時代における企業のプライバシーガバナンスガイドブックver1.0」の公表

岩田合同法律事務所

弁護士 鈴 木 実 里

 

1 はじめに

 本年8月28日、経済産業省と総務省は、企業のプライバシーガバナンスモデル検討会において、新たな事業にチャレンジしようとする企業がプライバシーガバナンスの構築のために取り組むべきことを整理した「DX時代における企業のプライバシーガバナンスガイドブックver1.0」[1](以下「本ガイドブック」という。)を公表した[2]

 本稿では、本ガイドブックのうち、プライバシーガバナンスの重要項目を中心に紹介する。

 

2 企業のプライバシーガバナンスの重要性

 内閣府は、第5期科学技術基本計画において、サイバー空間(仮想空間)とフィジカル空間(現実空間)を高度に融合させたシステムにより、経済発展と社会的課題の解決を両立する、人間中心の社会を「Society 5.0」と名付け、その実現を目標として掲げている[3]。この「Society 5.0」を実現するためには、企業においてもデジタルトランスフォーメーション(DX、企業がビジネス環境の激しい変化に対応し、データとデジタル技術を活用して、顧客や社会のニーズを基に、製品やサービス、ビジネスモデルを変革するとともに、業務そのものや、組織、プロセス、企業文化・風土を変革し、競争上の優位性を確立することを指す[4])を進めることが重要であると考えられている。

 その一方、パーソナルデータ[5]を利活用する分野においては、プライバシー保護への要請が高まっている。プライバシー問題への対応については、個人情報の取扱いについて定める個人情報保護法が制定されているが、新たなプライバシー問題の発生や人々のプライバシー意識の高まりという状況変化の中では、法令等遵守だけではなく、能動的にプライバシー問題へ対応することが必要であり、さらに、社会に対して積極的にそれを開示して説明(エクスプレイン)し、ステークホルダーとの対話を通じて、信頼を確保していく、コンプライ・アンド・エクスプレイン型への組織的な転換が求められていると考えられる。

 そこで、本ガイドブックでは、企業としては、プライバシーガバナンス、すなわち、プライバシー問題の適切なリスク管理と信頼の確保による企業価値の向上に向け、経営者が積極的にプライバシー問題への取組みにコミットし、組織全体でプライバシー問題に取り組むための体制を構築し、それを機能させることが重要であるとしている[6]

 

3 プライバシーガバナンスの重要項目

 本ガイドブックでは、プライバシーガバナンスを機能させるためには、各部門の情報を集約し、事業におけるプライバシー問題を見つけるとともに、対象となる事業の目的の実現とプライバシーリスクマネジメント[7]を可能な限り両立するために、対応策を多角的に検討することが必要であって、指名されたプライバシー保護責任者を中心として、中核となる組織であるプライバシー保護組織を企業内に設けることが望ましいと考えられるとしている[8]

 

※出典:本ガイドブック18頁

 

 プライバシー保護組織の役割としては、企業内の各部門から新規事業やサービス内容に関するさまざまな情報を集約するなどし、プライバシー問題が消費者や社会に発現するリスクを漏れなく見つけることや、対象となる事業の目的を可能な限り実現しつつ対応を行うため、他部門と連携して多角的に検討すること、国内外のプライバシーに関する記事、事例などを分析し社内へ共有すること等が挙げられている。

 本ガイドブックでは、上記の体制を実質的に機能させるためには、社内における運用ルールの策定と周知や、社内のプライバシーに係る文化の醸成が重要であって、加えて、消費者や取引先といった社外との信頼関係を確保することも重要であるとしている[9]

 

4 最後に

 情報化社会の発展により、プライバシーに係る問題は多様化しており、企業にとっても重要な問題だと考えられる。企業の経営者は、コーポレートガバナンスとそれを支える内部統制の仕組みを構築・運営することが求められているところ、プライバシーガバナンスはそれらを構成するものといえる。本ガイドブックでは、プライバシーガバナンスの中核となるプライバシー保護組織は、企業によって設置する形態は異なり、自社のリソースに合わせて実効性のある組織を構築することが大切であるとしており[10]、社内のプライバシーガバナンスを検討する上で、本ガイドブックが参考になると考えられる。



[5] 個人情報保護法の個人情報だけではなく、個人に関連するあらゆる情報を指す。

[6] 以上につき本ガイドブック8頁以下。

[7] 組織が直面するプライバシーリスクについて最適な対応を行うため、経営者が示したプライバシーガバナンスに係る姿勢を具体化した目的を設定し、これを達成するために、組織の意思を決定し、パフォーマンスを改善することで、組織における価値を創出し保護するための活動をいう。

[8] 本ガイドブック18頁

[9] 本ガイドブック23頁以下

[10] 本ガイドブック19頁

 

タイトルとURLをコピーしました