( KNOWLEDGE )
プライバシーガバナンスとはなにか(3)体制の構築
外部送信規律
スピード対応ナビ
Web/アプリの外部送信先を徹底検知し、法令対応を最短3営業日で完了
プライバシーガバナンスの主要6施策
施策(1)第三者視点の取り入れ(有識者・学術関係者・コンサルタント)
施策(2)方針策定(プライバシーガバナンスに関わる姿勢の明文化)
施策(3)体制の構築 ←今回の内容
施策(4)プライバシー監査の仕組み化
施策(5)教育・啓発
施策(6)ステークホルダーへの透明性・選択機会の提供
プライバシーガバナンスを推進するための組織を設立して役割や責任を明確化すること、そしてプライバシーガバナンスに関するルールや規定を策定することで、プライバシーガバナンスの実施を効率的に進めることができます。
プライバシー保護責任者(DPO: Data Privacy Officer)の任命
プライバシー保護責任者は、経営者が明文化した方向性やスタンスを踏まえて、実行に必要とされる権限が与えられます。プライバシー保護を実践するための方針を確立し、プライバシーリスクを把握・評価、対応策の検討できる体制を構築して、施策の実行を徹底します。施策の内容には、実際にプライバシー問題が顕在化してしまった場合の、緊急時対応や利用者の救済、原因解析と改善の実行責任などの役割が含まれます。
プライバシー保護責任者の下に、事業部とリスク部門のそれぞれにプライバシー観点での、実質的なプライバシー保護を担う機能を二線構造で設置する方法があります。この体制を構築することによって、従来のように「リスクはリスク部門に任せる」という投げやりの対応ではなく、事業側 がプライバシー対応を主体的に考え、責任を持つスタンスの醸成が期待できます。
事業部門におけるプライバシーの保護(第1線)
商品やサービスの企画・設計段階からプライバシーへの十分な配慮ができるよう、プロダクトや施策の責任を持つ人物をプライバシー責任者に任命します。
事業部門は、自部門で取得・利活用を行うデータやサービス、または営業活動に用いる資料などに、プライバシー問題を引き起こす懸念がないか、当事者として確認をする必要があります。特に、一般消費者や顧客企業と直接接点を持つ場合、データがどのように取得・分析・利活用されるのか、一連のプロセスを正確かつ俯瞰的に把握するとともに、プライバシー侵害になり得るケースを想定し、その対策などを検討することが求められます。
さらに、対象者の属性(理解力・受容性)を踏まえたうえで、 データ提供やサービスを利用する目的・文脈を高い解像度で 理解し、生じ得る不安や気持ち悪さを、たとえ事業の目的(利 益獲得やコンバージョン向上)と相反する場合であっても言語化し、懸念をプライバシー責任者や第 2 線のリスク部門にエスカレーションすることが求められます。
また、一般消費者との接点がある場合には、カスタマーサポート部門などとの連携や、製品・サービスのレビュー(アプリストアのレビューなど)、SNS上での消費者による情報発信などにも目を配り、日頃から消費者の反応を把握しておくことが望まれます。
リスク部門におけるプライバシーの保護(第2線)
リスク部門(第2線)には、全社のプライバシー保護の原理原則から細則など、専門的な知識を有した専任者を配置する方法があります。プライバシー保護組織の一つめの役割は、企業内の各部門から、パーソナルデータの取得・利活用に関する新規事業やサービス内容に関する様々な情報を集約することなどにより、プライバシー懸念を事前に、漏れなく見つけ出すことです。
① 社内の情報の集約・リスクの検知
② 相談者に寄り添い、実現方法を多角的に検討
③ プライバシーに関する知見・ノウハウを積極的に発信
④ 社内外の有識者(学識者・弁護士・コンサルタント)との連携
⑤ 社内の相談案件や対応結果を蓄積、ノウハウ化
⑥ 有事の際の迅速な対応など
特にリスク部門は、事業部門などから寄せられるプライバシーに関連した相談を受身の姿勢で待っているだけでなく、事業部門に対して能動的にプライバシー関連トピックスの発信や知見の展開、教育啓発の実施を行うことが期待されます。また、事業部側の担当者が、「リスク部門に確認をするとやぶ蛇になるからやめておこう」「時間がかかるだけだから相談は最低限にしておこう」などの理由で、懸念点をうやむやにしてしまう事態を避けるため、自由に議論できる相談チャネルの開設や、フラットなコミュニケーションの形成が大切です。
さらに、プライバシー懸念が顕在化した際、紋切り型で良しあしを判断するのではなく、相談者の目的や意図に寄り添い、社内外の対応事例のほか、省庁や業界団体のガイドラインやパブリックコメントなどを参照したうえで、蓋然性の高い回避策を提案・検討していくことが求められます。
この際、場合によってはクリエーティブ開発やUI/UXの改善提案、業務プロセスの改善提案など、単なるリスクガバナンスの範囲を超えた、多角的な対応策の提案・検討が、データ利活用を進めるプライバシーガバナンスの実行につながります。
ただし、一人の人材が、ビジネススキームの観点から、法制度やコンプライアンス上の観点、システム上・情報セキュリティー上の観点を網羅することは事実上不可能です。
そのため、必要に応じて、新規事業や新規技術を開発する部門と共に、関係する法務、システム・情報セキュリティー、広報、カスタマーセンター、社内統制などとの連携を図ることが重要です。それぞれの部署の担当メンバーを決めておくなど、柔軟かつ迅速に必要なメンバーを招集できる体制を担保しておくことが望ましいでしょう。
なお、専門的な知見を有する専任者の確保が困難な場合には、兼務の従業員のみで保護組織を構成することや、外部のコンサルティング事業者のリソースを活用するなど、自社の状況に合わせて実効性のある組織を構築することが大切です。
◆ 関連記事
プライバシーガバナンスとはなにか(1)第三者視点の取り入れ
プライバシーガバナンスとはなにか(2)方針策定
プライバシーガバナンスとはなにか(3)体制の構築←この記事
プライバシーガバナンスとはなにか(4) プライバシー影響評価(PIA/DPIA)の仕組み化
プライバシーガバナンスとはなにか(5) 教育・啓発
===
>>次へ:プライバシーガバナンスとはなにか(4) プライバシー影響評価(PIA/DPIA)の仕組み化
===
お問い合わせ・資料ダウンロード
人手不足のガバナンス業務をAIで自動化する。
プライバシーテックは、人手不足のガバナンス業務をAIで自動化します。最新のデータ利活用時におけるプライバシー保護技術に関して、資料ダウンロードも可能です。是非ご覧ください。
過去の支援実績
支援実績
最新資料
PrivacyTech GRoW-VA
散在する情報を、複利を育むIntelligenceに変え、AI・データガバナンスの実行を支援・自動化。AIとデータガバナンス領域の専門性を深いレベルで統合し、顧客ごとにカスタマイズされた出力をスピーディーに実現できるプラットフォームです。
PlayBook開発支援サービス
AI・データ活用の原理原則・ルールをまとめた、PlayBook(プレイブック)は急速に進化する技術を乗りこなしていくため、現場の従業員が課題を発見し、対策を導くための手順・戦略・ノウハウをまとめた指南書です。
PIAとはなにか? (策定と運用)
Privacy Impact Assessment (Data Protection Impact Assessment)プライバシー影響評価(データ保護影響評価)に関する概要説明、及びプライバシーへの配慮を前提とした開発モデル「プライバシー・バイ・デザイン(PbD)」について記載しております。
プライバシーポリシー改定の進め方
AIや3rdParty、Cookieレスへの対応など、従来の個人情報管理だけではない、利用者への説明責任や選択機会の提供の対応が求められています。そういった環境変化に対応するための戦略的プライバシーポリシー改定の方法を記載しております。
プライバシーセンター新規開設の進め方
Webサイトやアプリのアクセス時に突如出現する「同意取得バナー」や、難解で大量の文字で埋め尽くされた規約で、生活者(ユーザー)から同意取得をすればよいという対応は、既に形骸化しており、もはや時代にそぐわないものになっています。生活者との信頼の醸成に繋がるプライバシーの同意取得の方法・考え方を記載しております。
改正電気通信事業法 外部送信規律の対応事例
2023年6月16日から改正電気通信事業法が施行されることになり、「外部送信規律」が新たに追加されました。これは、インターネットでビジネスを展開する際、利用者に対して、透明性を高めることを義務化する法律です。この対応を怠ると、行政指導や業務改善命令、従わない場合は200万円以下の罰金が課されるため、他社事例を元にこの規律を学んでいただける資料を作成しております。