プライバシー問題は、20年8月に公開された「DX時代における企業のプライバシーガバナンスガイドブックver1.0」でも引用されている「A Taxonomy of Privacy」(DANIEL J. SOLOVE、2005 年)で、図表4のように類型化されている。
例えば、プラットフォーマーによるCookieの利用方法見直しなど、ユーザートラッキングに対するプライバシー対策が進められているが、トラッキングから生じるプライバシー問題は、個人に対する「No.1 監視(分類:データ収集)」や私生活への「No.15 侵入(分類:個人への直接的な介入」に分解して考えられる。
保有個人データに関する開示権や訂正権などへの対応や、安全管理措置・情報セキュリティ対策など情報資産としての個人情報の保護ではなく、プライバシー問題を考えるときは、トラッキングの例のように、より個人の私生活や心情を考慮した対応になる点を理解する必要がある。
旧来のビジネスモデルの延長線上にある個人情報保護法の対応だけでは、新しいテクノロジーとさまざまなパーソナルデータの利用により生じるプライバシー問題を捉えることは困難だ。DXを推進する企業は、レピュテーションリスクやコンダクトリスクと関連付けて、顧客保護・従業員保護を踏まえたブランディングや社会的責任の見地から、その管理・対策の検討を進めている。
個人情報保護法改正の対応が進んでいる企業の多くは、図表5に示すように、経営層をデータ保護責任者として巻き込んだ体制づくりを行っている。DX推進やデータ活用を所管する部門が、部門横断型で設置されることと同様に、プライバシーリスクについても、ITや法務、リスク・コンプライアンスの担当部門との連携が不可欠になっている。
従来は、情報セキュリティ部門と法務部門が連携し、個人情報保護対応を進めてきたが、より広く関係部門を巻き込んだ形でリスクマネジメントを行うために、経営層によるけん引力が必要になったと思われる。
DX・データ活用部門やマーケティング部門から、デジタルリスクやプライバシーリスクの新しいガバナンス体制の検討について相談されることが年々増えてきている。パーソナルデータの利活用や、ポストCookie時代における新たな施策を検討する際に、個人情報保護法の改正対応だけに終始せず、包括的なリスクマネジメントを行いたいというニーズによるものと筆者は捉えている。
ここで一概に解を示すことは難しいが、筆者の場合は、リスクマネジメントも含めた形での権限移譲や要員配置、さらに言えば経営層を巻き込んだDX推進体制の検討について、助言させていただいている。プライバシーリスクやレピュテーションリスク、コンダクトリスクといった、一律の解が見えないリスクの扱いに、ビジネスのスピードを阻害されないようにする意図がある。
22年4月の施行に向け、さまざまな組織において、個人情報保護法改正への対応が行われているが、DX推進という観点では、より踏みこんだ検討が必要であることは、これまで述べた通りだ。今回の改正を、コストとしての個人情報保護法対応ではなく、差別化要因としてデジタルリスク・プライバシーリスク対応と捉えていただきたい。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR注目記事ランキング