改正個人情報保護法、業界で分かれる対応 DX企業はどう受け止めているのか：連載・DX時代のプライバシー（2/2 ページ）

[篠宮輝（PwCコンサルティング合同会社），ITmedia]

そもそもプライバシー問題とは

　プライバシー問題は、20年8月に公開された「DX時代における企業のプライバシーガバナンスガイドブックver1.0」でも引用されている「A Taxonomy of Privacy」（DANIEL J. SOLOVE、2005 年）で、図表4のように類型化されている。

図表4：A Taxonomy of Privacyにおけるプライバシー問題

　例えば、プラットフォーマーによるCookieの利用方法見直しなど、ユーザートラッキングに対するプライバシー対策が進められているが、トラッキングから生じるプライバシー問題は、個人に対する「No.1 監視（分類：データ収集）」や私生活への「No.15 侵入（分類：個人への直接的な介入」に分解して考えられる。

　保有個人データに関する開示権や訂正権などへの対応や、安全管理措置・情報セキュリティ対策など情報資産としての個人情報の保護ではなく、プライバシー問題を考えるときは、トラッキングの例のように、より個人の私生活や心情を考慮した対応になる点を理解する必要がある。

　旧来のビジネスモデルの延長線上にある個人情報保護法の対応だけでは、新しいテクノロジーとさまざまなパーソナルデータの利用により生じるプライバシー問題を捉えることは困難だ。DXを推進する企業は、レピュテーションリスクやコンダクトリスクと関連付けて、顧客保護・従業員保護を踏まえたブランディングや社会的責任の見地から、その管理・対策の検討を進めている。

デジタルビジネスにおけるプライバシーリスク

　個人情報保護法改正の対応が進んでいる企業の多くは、図表5に示すように、経営層をデータ保護責任者として巻き込んだ体制づくりを行っている。DX推進やデータ活用を所管する部門が、部門横断型で設置されることと同様に、プライバシーリスクについても、ITや法務、リスク・コンプライアンスの担当部門との連携が不可欠になっている。

　従来は、情報セキュリティ部門と法務部門が連携し、個人情報保護対応を進めてきたが、より広く関係部門を巻き込んだ形でリスクマネジメントを行うために、経営層によるけん引力が必要になったと思われる。

図表5：データ保護責任者（DPO・CPO）の設置状況

　DX・データ活用部門やマーケティング部門から、デジタルリスクやプライバシーリスクの新しいガバナンス体制の検討について相談されることが年々増えてきている。パーソナルデータの利活用や、ポストCookie時代における新たな施策を検討する際に、個人情報保護法の改正対応だけに終始せず、包括的なリスクマネジメントを行いたいというニーズによるものと筆者は捉えている。

　ここで一概に解を示すことは難しいが、筆者の場合は、リスクマネジメントも含めた形での権限移譲や要員配置、さらに言えば経営層を巻き込んだDX推進体制の検討について、助言させていただいている。プライバシーリスクやレピュテーションリスク、コンダクトリスクといった、一律の解が見えないリスクの扱いに、ビジネスのスピードを阻害されないようにする意図がある。

　22年4月の施行に向け、さまざまな組織において、個人情報保護法改正への対応が行われているが、DX推進という観点では、より踏みこんだ検討が必要であることは、これまで述べた通りだ。今回の改正を、コストとしての個人情報保護法対応ではなく、差別化要因としてデジタルリスク・プライバシーリスク対応と捉えていただきたい。

著者紹介：篠宮 輝（PwCコンサルティング合同会社 マネジャー）

IT戦略の策定や大規模開発プロジェクトのPJMOや運用、情報セキュリティガバナンスに関するコンサルティング業務に従事。世界各国の個人情報保護制度への対応支援やB2Cビジネス・DX推進におけるプライバシーリスクやレピュテーションリスクに関するガバナンスやリスクコントロールについてのアドバイザリー業務に従事（2016年から個人情報保護委員会事務局に出向）。