Society5.0 の実現に向けて、企業は、データ利活用によるイノベーションの担い手として期待されている。プライバシー保護とデータ利活用を単に二項対立として捉えるのではなく、プライバシーに配慮しながらデータ利活用のメリットを最大化していくという視点で捉えることが求められている。データの利活用が前提となる社会において、企業が一貫した姿勢で消費者のプライバシーを守っていくことは、個々のサービスや製品の品質を高めることにつながり、企業のビジネスにおける優位性をもたらすとともに、消費者やステークホルダーからの信頼を得ることとなり、企業価値の向上につながる。このため、デジタル社会において、経営者は、プライバシーに関わる取組を経営戦略として捉え、プライバシーを競争力の要素として検討することが重要となる。
もちろん、企業が、プライバシーリスクに配慮できなかったり、個人や社会に対するプライバシー問題の発生を抑止できず、社会からの信頼が揺らぐ事態になれば、企業の売上げや利益への悪影響にもつながるだけでなく、場合によっては企業の存続・事業の継続に懸念が生じることもあり得るという面からも、取組の必要がある。
そもそも、株式会社の経営者は、善良な管理者としての注意義務(善管注意義務)を負う。かかる善管注意義務には、会社の規模に応じたリスク管理体制の構築も含まれる。したがって、かかる体制の不備により、損失が発生した場合には、関連部署の担当の役員だけでなく、その他の役員も損害賠償責任を問われることとなりうる。デジタル・トランスフォーメーションを推進する企業にとっては、パーソナルデータの管理と適切な利用は重要な業務執行であり、適切な内部統制の構築ができないことにより、漏えいや炎上の結果として企業に損害が発生する場合には、その損害の責任を経営者個人が問われうることになる点に注意が必要である。
以上の観点から、企業の経営者には、プライバシー問題を競争力の要素として、重要な経営戦略上の課題として捉えるとともに、コーポレートガバナンスとそれを支える内部統制の仕組みを企業内に構築・運用することが求められる。
プライバシーガバナンス実現のために、経営者がまずすべきことは、以下の3点である。
- 要件1:プライバシーガバナンスに係る姿勢の明文化
- 要件2:プライバシー保護責任者の指名
- 要件3:プライバシーへの取組に対するリソース投入
Table of Contents
要件1: プライバシーガバナンスに係る姿勢の明文化
企業がそれぞれの企業理念の下、イノベーションによる価値創出を目指していく中で、組織として一貫した姿勢で、消費者のプライバシーを守っていくことが、商品やサービスの品質を向上させ、消費者や社会からの信頼を獲得することにつながる。そして、企業価値を高めることとなる。
このことを経営者はこれからの経営上の重要事項の1 つと認識し、組織の一貫した対応を可能とするプライバシー保護の軸となる基本的な考え方や、プライバシーリスクに能動的に対応していく姿勢を、明文化し、組織内外に知らしめることが必要である。
また、プライバシー保護の軸となる基本的な考え方やプライバシーリスクに能動的に対応していく姿勢をトップダウンで浸透させることで、組織全体にプライバシー問題への認識を根付かせることができる。また、組織内部に限らず、消費者やステークホルダー(株主、取引先等)など組織外に対しても公表することで、信頼を高める根拠となる。経営者には、明文化した内容に基づいてプライバシー問題への取組を実施することへのアカウンタビリティを確保することが求められる。明文化の具体的な形としては、宣言の形をとったプライバシーステートメントや、組織全体での行動原則などを策定するケースもある。
テクノロジーの発展や社会的な要請などを踏まえ、行動原則や対応方針の内容及びその運用は、社会の信頼に応え続けられるよう、継続的に検証し、適宜見直しを行うことが必要である。
要件2:プライバシー保護責任者の指名
プライバシーガバナンスの実現には、経営者による関与と、プライバシーガバナンスに係る姿勢について明文化した内容の具体的な実践が不可欠である。
そのために、経営者は、組織全体のプライバシー問題への対応の責任者を担当幹部(以下「プライバシー保護責任者」という。)として指名し、経営者が姿勢を明文化した内容を踏まえて、その実践を行うための責任を遂行させることが必要である。経営者は、プライバシー保護責任者から報告を求め、評価をすることで、組織の内部統制をより効果的に機能させる。その際には、プライバシー保護責任者の責任範囲を明確にし、プライバシー問題の発生を抑止するために必要な対応を遂行するための権限も与える必要がある。
要件3:プライバシーへの取組に対するリソースの投入
経営者は、姿勢を明文化した内容の実践のため、必要十分な経営資源(ヒト・モノ・カネ)を投入することが求められる。プライバシー問題に対応するための体制を構築し、そこに十分な人員を配置することや、人材育成、新たな人材の確保を実施することが必要である。
プライバシーに係る取組は、事後的に追加するものではなく、事前に検討され、戦略、事業、システムへ組み込まれるべきものである。また、プライバシー問題は、経営状況や外部環境に必ずしも依存せず、常時発生する可能性がある。そのため、プライバシーへの取組に関するリソースが継続的に投入され、取組自体の継続性が高められることが期待される。
参照
ホーム > ニュースリリース > ニュースリリースアーカイブ > 2021年度2月一覧 > 「DX時代における企業のプライバシーガバナンスガイドブックver1.2」を策定しました