DXにプライバシー投資とガバナンスが必須な理由

　なぜプライバシーガバナンスをおろそかにしたままDXを進めると危険なのか。2005年の個人情報保護法施行前から、プライバシーに関する調査・コンサルティングを専門に行ってきた小林氏は、「プライバシー保護責任が不十分だと、消費者からの反発と炎上事件を招く恐れがあるからです」と説明する。

　実際、過去に起きた炎上事件では、消費者への説明不足に起因しているものが多い。たとえば、JR東日本によるSuicaの乗降履歴データを外部提供した事件や、リクナビによる就活生の同意なしに内定辞退率を企業に販売した事件などが有名だ。また炎上のリスクは社会的信用の失墜だけではない。

「炎上トラブルのリスクは、謝罪や説明責任だけではありません。リクナビ事件では株価の急落を招きましたし、LINE事件ではサービスの停止に追い込まれるなど、実質的な損害が出ています。それだけでなく、ポリシー規定や社内体制の見直し、第三者委員会の設置を迫られるなど、信頼回復に大きなコストや時間がかかっています」（小林氏）

　相次ぐ炎上事件と、グローバルで進むプライバシー強化の動きに合わせて、日本でも2020年4月に個人情報保護法が改正された。2025年には次期改正も予定されている。企業は規制を先回りしたプライバシー・バイ・デザインの取り組みが求められる。プライバシー・バイ・デザインとは、パーソナルデータを活用するにあたり、プライバシーリスクの可能性を評価し、リスクを回避・最小化する取り組みのことである。

「パーソナルデータの保護と活用を両立しようと思った時、どうしても法律で判断できない部分が発生します。データの取り扱いが本当に消費者に受け入れてもらえるものかどうか、事前に評価するプライバシー・バイ・デザイン活動が重要です」（小林氏）

プライバシーガバナンス導入はどうすすめるべきか

　しかし、小林氏は「どの企業もパーソナルデータの管理が不十分です。これではどんなプライバシーリスクがあるのか予測が難しい」と認識不足を懸念する。

「失敗するケースのほとんどは、管理体制が不十分なままデータ活用を試みて炎上してしまっているケースです。クルマに例えるなら、エンジン性能の向上ばかりに気をとられて、ブレーキなどの安全機能が働かず、事故につながってしまうようなものです。だからこそ、まずは経営トップがプライバシーガバナンスの問題意識をしっかり持つことが大切です」

　経済産業省も「企業のプライバシーガバナンスモデル検討会」のガイドブックにおいて、ガバナンス体制を構築すべきだと示している。特にガイドブックのアドバイスで参考にすべきは、コアとなるプライバシー保護組織を設けるという点だ。いきなり専門組織を設置するのが難しければ、情報セキュリティ部門や法務部門などで任命した担当者を集めたバーチャルな組織で運営してもいいという。


　ただし、小林氏は中央のプライバシー専門組織とは別に、各事業部門の個人情報保護担当者も設置しなければならないと説明する。

「情報セキュリティ部門や法務部門はプライバシー保護とかぶる部分はあるものの、それは一部にしかすぎません。パーソナルデータの利用を消費者が許容できると感じるか、不安と感じるかはコンテキストに依存する部分が大きいからです。これは、ふだん消費者に接している事業部門でないと分かりません。コーポレート専門組織と事業部がうまく連携してこそ、プライバシー保護機能は発揮されます」

　実際のところ、日本企業の中でプライバシーガバナンスはどれくらい浸透しているのだろうか。小林氏によると、プライバシー保護は情報セキュリティ部門か法務部門に機能が分散しているケースがほとんどだという。一歩進んだ企業では、関係部門で任命した担当者によるバーチャル組織を設置しているところもあるが、プライバシー専門組織まで設置している企業は「実感として1割もないでしょう」と述べた。

【次ページ】炎上からのリベンジも、「攻め」のプライバシー投資事例