「プライバシー・バイ・デザイン」とは何か 法令厳格化の中で、DXを推進する考え方：DX時代のプライバシー（1/3 ページ）

DXの加速に伴い、各国ではプライバシー保護関連の立法や改正が進み、より厳格な要求を企業に課している。そうした中、企業に求められる考え方「プライバシー・バイ・デザイン」とは何か。

[宮内美里，ITmedia]

1.DX推進に求められるプライバシー保護の取り組み

　昨今、DX（デジタルトランスフォーメーション）を推進する企業が増え、消費者、取引先、従業員、社会・世論から収集したデータをAIなどで分析し、最適なユーザーエクスペリエンス（UX）を提供したり、既存業務を最適化したりといった取り組みが行われている。

　経済産業省と総務省は、Society5.0の時代における企業の役割、プライバシーの考え方、企業のプライバシーガバナンスの重要性を前提に「経営者が取り組むべき三要件」や「プライバシーガバナンスの重要事項」について議論を行い、2020年8月に「DX時代における企業のプライバシーガバナンスガイドブックver1.0」として公開した。

　21年7月には、参考となる具体的な事例を更新したver1.1を公開している。その背景には、以下のような点が挙げられている。

• 昨今ビジネスモデルの変革や技術革新が著しく、イノベーションの中心的役割を担うDX企業は、イノベーションから生じるさまざまなリスクの低減を、自ら図っていかなければならない。
• プライバシーに関する問題について、個人情報保護法を順守しているか否か（コンプライアンス）の点を中心に検討されることが多かった。しかし法令を順守していても、本人への差別、不利益、不安を与えるとの点から、批判を避けきれず炎上し、企業の存続に関わるような問題として顕在化するケースも見られる。
• 企業は、プライバシーに関する問題について能動的に対応し、消費者やステークホルダーに対して、積極的に説明責任を果たし、社会からの信頼を獲得することが必要である。経営者は、プライバシー問題の向き合い方について、経営戦略として捉えることで、企業価値向上につながるといえる。

　DXの加速に伴い、18年施行のEU一般データ保護規則（GDPR）を皮切りに、各国ではプライバシー保護関連の立法や改正が進み、より厳格な要求を企業に課している。

　日本でも22年4月に改正個人情報保護法の施行が予定されている。これら法令の特徴として、消費者（データ主体）の権利が強化されたことが挙げられる。万が一、法令に違反した場合、企業は監督機関から法令上の制裁金を科されることに加え、刑事上・民事上の責任を問われ、企業イメージを損なう可能性もある。そのため各社は対応に追われている。

　法令の厳格化に加え、近年プライバシー侵害に関する訴訟で、原告の消費者が勝訴する事案などが相次いでいる。単に法令対応するだけではなく、ユーザーが企業の個人情報の利活用に対して「不快に感じないか」などに焦点を当てた、もう一段進んだプライバシー保護の必要性も高まってきている。

　こういった背景から、企業はDXを促進する一方で、プライバシー保護に関しても考える必要に迫られている。従来のように二律背反の関係と捉えるのではなく、DXを通じた企業価値の向上に必要な投資であることを認識する必要がある。

図1：DXとプライバシー保護のバランス