「プライバシー・バイ・デザイン」とは何か 法令厳格化の中で、DXを推進する考え方：DX時代のプライバシー（3/3 ページ）

[宮内美里，ITmedia]

　一般にプライバシー・バイ・デザインというと、企画・設計段階でプライバシー情報の有無を確認する、開発段階でセキュリティ対策を実装するなどの既存の対応だけを想像する方が多いかもしれない。しかし真の目的は、ユーザーのプライバシーを恒久的に保護することであり、下図に示す通り、企画・設計・開発、そして運用でもプライバシー保護対策を続け、定期的に見直しや改善を図ることにある。

図3：プライバシー・バイ・デザインの実装

　実際に取り組みを成功させている先進的な事例を紹介する。企画・設計段階で、ビジネス部門が策定したサービスの企画書・設計書をもとにリスクの洗い出しと評価を行い、CPO／DPO、コンプライアンス部門、IT部門などからなるプライバシーチームがセキュリティとプライバシーの観点でレビューする。これらのレビューで、リスク低減策をとることが容易であり、かつユーザーのプライバシーへの影響度や発生可能性が低い場合は、ビジネス部門はサービス開発を継続することが可能である。

　一方、低減策をとることが困難であり、ユーザーのプライバシーへの影響度・発生可能性が高い場合は、サービスの企画・設計の見直し、最悪の場合は中止を迫られる。なお、プライバシーチームは、当該サービスのユーザーによる個人情報の提供有無、個人情報の取り扱いに関する同意の取得方法、プライバシーポリシー、組織的・技術的セキュリティ対策を確認する。また、プライバシーポリシーへのアクセスのしやすさ、内容の平易さといったユーザーエクスペリエンスについても確認する。

図4：プライバシーチームによるセキュリティ・プライバシーのレビュー

4.プライバシー・バイ・デザインによるサービスの創造とUXの実現

　近年、一部の企業では上記のプライバシーチームを設置し、文字だけでなく映像や画像も活用し、自社におけるプライバシー保護の取り組み（プライバシー戦略、組織体制、具体的に取り扱っている個人情報の項目・目的・第三者提供の有無など）を積極的に公表している。

　これは、従来の個人情報保護対応の継続的な改善に加え、プライバシーへの取り組みを積極的に公表することが、社会やユーザーからの信頼獲得につながり、ユーザーが企業へデータを提供しようと思う機会が増え、ひいては中長期的な企業価値の向上につながるからだと考えられる。

　多くの企業がDX推進でプライバシー・バイ・デザインを導入し、自社の製品やサービスへプライバシー保護を導入することで、新たな企業価値やユーザーエクスペリエンスを向上させることを期待している。

著者紹介：宮内美里（PwCコンサルティング合同会社 マネージャー）

2016年より、サイバーセキュリティ・プライバシーコンサルタントとして従事。プライバシー領域では、国内・海外の行政機関、製造業、流通業、医療機器業等のクライアントに対して、アセスメント、グローバルプライバシー態勢の構築、Privacy Techの導入検討、プライバシーセンター設立等、プロジェクトマネージャーとして幅広く支援。