Table of Contents
プライバシーガバナンスのための体制構築
プライバシーガバナンスを機能させるには、各部門の情報を集約し、事業におけるプライバシー問題を見つけるとともに、対象となる事業の目的の実現とプライバシーリスクマネジメントを可能な限り両立させるために、対応策を多角的に検討することが必要となる。上記を実現するため、指名されたプライバシー保護責任者を中心として、中核となる組織を企業内に設けることが望ましいと考えられる(本ガイドブックでは「プライバシー保護組織」と呼ぶ)。
現時点では、プライバシー保護組織が設けられている企業はごく少数であるが、プライバシー保護組織を設けることで、社内の新規事業部門との密なコミュニケーションを醸成したり、関連情報を社外有識者などから収集したり、多角的に対応策を検討するなどを、実質的に行っていくことができる。
技術革新や消費者のプライバシー意識の高まりによって、日々、プライバシー保護の観点で考慮すべき範囲は拡大している。そのため、プライバシー問題に対して、技術革新、消費者の意識など社会の要請に対して多角的な検討・機敏な対応を担保できるようなプライバシー保護組織の構築が必要である。加えて、消費者等のパーソナルデータをグローバルに取り扱う場合には、プライバシー保護に対応するために諸外国の法令の適用に関して十分な配慮をすることやグローバルな体制構築が求められる。
プライバシー保護責任者の役割
プライバシー保護責任者は、経営者が姿勢を明文化した内容等を踏まえて、経営者から与えられた権限に基づき実践のための方針を確立し、プライバシーリスクを把握、評価し、対応策を検討できる体制を構築して、方針の実施を徹底する。方針には、実際にプライバシー問題が顕在化してしまった場合の緊急時対応や消費者救済、原因解析と改善の観点も含める必要がある。
プライバシー保護責任者は経営者に対し報告を行い、経営者は、その内容が、プライバシーガバナンスに係る姿勢を明文化した内容と合致しているかを確認・徹底する。
プライバシー保護組織の役割
プライバシー保護責任者の下に、実質的なプライバシー保護の機能を担う中核組織として、プライバシー保護組織を設置することが望ましい。プライバシー保護組織は、企業によって設置する形態は異なり、例えば、専門的な知見を有する専任者を確保が困難な場合には、兼務の従業員のみで保護組織を構成するなど、自社のリソースに合わせて実効性のある組織を構築することが大切である。
プライバシー保護責任者は、プライバシー保護組織の存在を企業内へ周知することを徹底する必要がある。
プライバシー保護組織の第一の役割は、企業内の各部門から新規事業やサービス内容に関する様々な情報を集約するなどし、プライバシー問題が消費者や社会に発現するリスクを漏れなく見つけることである。そのため、事業部門などから寄せられるプライバシーに関連した相談を幅広く受けるだけでなく、事業部門に対して能動的に問題意識の共有を働き掛けるなど、日ごろから常に接点を持つことが望ましい。新規事業や新規技術開発部門が悩みを抱え込まずに、自由に相談できる体制や環境が形成されることが大切である。
また、プライバシー問題は個人的な感じ方の相違や、社会受容性がコンテキストや時間の経過で移り変わることから、常に関連する情報(市場動向、技術、制度など)を収集する必要がある。また、プライバシー問題に詳しい有識者(学識者、コンサルタント、弁護士、消費者団体など)との関係性を構築し必要に応じて相談することも必要である。
さらに、見つかったプライバシー問題に対して、対象となる事業の目的を可能な限り実現しつつプライバシーリスクマネジメントを行い、場合によっては単なるリスクマネジメントを超えたよりポジティブな改善案の提案も含め、多角的に対応策を検討することが求められる。この際には、ビジネススキームの観点はもちろんのこと、法制度やコンプライアンス上の観点、システム上・情報セキュリティ上の観点での確認も必要である。またサービスの利用者や消費者の社会受容性などの観点なども踏まえて、検討を行う必要がある。
検討に当たっては、必要に応じて、新規事業や新規技術を開発する部門とともに、関係する法務、システム関連、情報セキュリティ、コンプライアンス、広報、CS(カスタマーサービス)、政策企画などとの連携を図ることが重要である。それぞれの部署の担当メンバーを決めておくなど、柔軟かつ迅速に必要なメンバーを招集できる体制を担保しておくことが望ましい。
さらに、実際の事業においてプライバシー問題が発生してしまった場合における初動対応やその後の被害救済等の事後対応、原因解析と改善対応についても、事業部門と連携し、情報を集約・検討しプライバシー保護責任者へ報告し、指示を仰ぐ必要がある。
また、プライバシー問題に係る検討をした際の情報を履歴として蓄積し、必要に応じて活用できるようにしておく必要がある。定期的に社内のプライバシーに関する相談や案件の情報を取りまとめ、プライバシー保護責任者への報告や社内全体への共有を実施していくことなども重要である。
こうしたプライバシー保護組織が機能するためには、これらのメンバー及び多角的な観点からなされる検討内容を取りまとめ、複数部署の間に立って調整できる人材が不可欠である。このため、そのような人材を適切に配置することに加え、プライバシー保護は高い専門性が必要な領域であることを念頭に置き、中長期的な視野に立ち、計画的に人材を育成していく必要がある。
実際にプライバシー保護組織を、どのような部門に紐付けて構築するかは、企業規模やガバナンス体制、取り扱う情報の中身、組織の立地など様々な要素によって変わってくるだろう(下図に例示)。重要なことは、どのような体制であれ、企業が引き起こしうる、消費者のプライバシーリスクや実際の問題を素早く把握し、プライバシー保護責任者へ報告し、指示を仰ぐことができるような体制にするということである。
事業部門の役割
事業部門は自部門で扱う製品・サービス並びにデータなどがプライバシー問題を引き起こさないか当事者として確認をする必要がある。事業部門の自覚と主体的な行動が非常に重要である。自部門だけで考えず、プライバシー保護組織と日頃から相談や連携をして、プライバシーリスクの洗い出しや特定、その対策などを検討することが必要である。また、消費者との接点がある場合には、消費者との信頼関係を構築する上で重要なポジションであることを十分に認識し、消費者の受容性などにも考慮する必要がある。
また、サービス提供や事業を担う部門として、CS 部門などと連携し、平時から消費者の意見を広く受け取れる体制を構築することが重要である。例えば、製品・サービスのレビュー(例えばアプリストア上のレビュー)やSNS上での消費者による情報発信などにも目を配り、いち早く消費者の反応などを把握することも必要である。また、問題発生時には、プライバシー保護組織と迅速に連携して対応を進められるよう、日頃から情報を共有しておくことが大切である。
内部監査部門やアドバイザリーボードなどの第三者的組織の役割
プライバシー問題に係るリスク管理が適切に行われていることを独立した立場からモニタリング・評価することができれば、社内の取組を徹底でき、社外からの信頼を更に高める根拠にもなる。例えば、業務執行部門及びリスク管理部門等から独立した内部監査を実施する体制を構築することが考えられる。また、第三者的な立場の外部の有識者からなるプライバシー保護に関するアドバイザリーボード、諮問委員会などを設置し、専門的な知見から、評価・モニタリングを受けるケースも検討すべきである。有識者としては、プライバシー問題に詳しい学識者、コンサルタント、弁護士、消費者団体などが想定される。
アドバイザリーボード等を設置することで、サービスリリース前に客観的な忌憚ない意見をもらう、問題発生時の適切な対応について事前に意見をもらうなどが想定できる。有識者の専門的かつ客観的な意見は、経営者や社員へフィードバックする体制・仕組みを構築することで、組織全体としてプライバシー問題への意識を高めていくこともできる。
参照
ホーム > ニュースリリース > ニュースリリースアーカイブ > 2021年度2月一覧 > 「DX時代における企業のプライバシーガバナンスガイドブックver1.2」を策定しました