社会全体のDXが進む中で、企業活動の中でさまざまな個人データを扱う時代になりました。
一方で個人情報流出というセキュリティインシデントは度々発生し、企業として損害を被るほか、ユーザーに不安や不信感を覚えさせてしまいます。
個人情報保護への意識が社会全体で高まる中で、経営戦略としての情報保護体制は欠かせません。経済産業省などはこれを「プライバシーガバナンス」として推奨しています。
プライバシー保護に対する消費者の高い関心
経済産業省が公表したアンケート調査によりますと、プライバシー保護に対する消費者の意識は高くなっています*1。
まず、プライバシー保護に「非常に関心がある」「関心がある」と回答した消費者は全体の73.6%になっているほか、他の質問ではこのような回答が得られています。
割引やポイントの有無にかかわらず個人情報の提供に慎重になるという消費者は7割にのぼっています(図1)。
「割引などの金銭的利益やポイントがあれば、自分自身に関する情報が利活用されてもよい」と回答している人は15.6%にとどまっています。
実利よりも安心感を得たいと考えている人が多いのです。
また、類似の商品を販売・サービスを提供する複数の企業があったときは、プライバシーへの取り組みを考慮するとした人の割合は9割にのぼっています(図2)。
プライバシーガバナンスとは
そこで、経済産業省と総務省が企業に向けて「プライバシーガバナンス」を浸透させるべく、ガイドブックを作成、公表しています。
経済産業省は「企業のプライバシーガバナンス」をこのように定義しています。
プライバシー問題の適切なリスク管理と信頼の確保による企業価値の向上に向けて、経営者が積極的にプライバシー問題への取組にコミットし、組織全体でプライバシー問題に取り組むための体制を構築し、それを機能させること
担当部門だけの課題とするのではなく、経営者がコミットし組織全体で取り組む必要性が強調されています。
中でも、ガイドブックには、「経営者が取り組むべき3要件」が紹介されています。
以下のようなものです。
要件1:プライバシーガバナンスに係る姿勢の明文化
要件2:プライバシー保護責任者の指名
要件3:プライバシーへの取組に対するリソースの投入
組織としてはこのような形を取るのが好ましいとしています(図3)。
ここでカギになるのは、経営者がプライバシー保護責任者を指名し、配置することです。また、プライバシー保護の担当組織を社内外の人員で構成し、各事業部と密な関係に置くということです。
事業部の判断や法務部門だけに任せるのではなく、
- 経営トップが責任者を決め、積極関与する
- 外部識者も交えた担当組織を作る
という、組織変革を視野に入れることが重要ポイントです。
プライバシーリスクの評価
また、ガイドブックでは製品の発案段階からプライバシーリスクを計測すべきとしています(図4)。
というのは、自社内でプライバシーガバナンスを構築し対策を講じたとしても、サプライチェーンにおいて同様の水準でプライバシー保護が徹底できなければ意味をなさないからです。
また、DX時代では第三者データの利活用も必要とされる時代です。第三者データの利活用にあたっても、当然プライバシー保護の視点を欠いてはなりません。
最終的な責任は商品やサービスをリリースした企業にあり、「仕入れ先のことなので知らなかった」という対応では済まされない時代でもあります。
商品やサービスをリリースするまで、それぞれのフェーズでチェックリストを作成することも推奨されています。
消費行動への影響はあるか
さて、冒頭に紹介したアンケート調査の結果には、このようなものもあります。企業に対する質問ですが、「プライバシーへの取り組みを発信することで、顧客の消費行動にどの程度影響を及ぼすことができるか」という質問への回答は下のようになっています(図6)。
<出所:「DX 時代における企業のプライバシーガバナンスガイドブックver1.2」総務省・経済産業省>
6割近くの企業が「及ぼすことができると思う」と回答しています。一定以上の関心は企業の間にも浸透しつつあると言えるでしょう。
そして、企業として、消費者に向けたプライバシー保護に関する発信は必要と考えることは今後、主流になっていくと考えられます。
早期の組織変革に着手を
総務省・経済産業省が掲げるプライバシーガバナンスの在り方は、繰り返しになりますが「経営陣の関与のもと」「組織全体で」取り組むべきものです。
担当組織の立ち上げによるデメリットは少ないと筆者は考えます。
個人情報保護については、法改正など近年さまざまな動きがあります。まず、これらに対する知識をアップデートし続けなければなりません。よって専門の担当者の存在は不可欠なのです。
外部識者との関係を持つことも、この意味では有益です。
また、意識づけだけでなく、システムのセキュリティ強化といった物理的な対策に乗り出すことも欠かせないでしょう。
個人情報の漏洩や不適切な扱いは、発覚すれば当該の消費者のみならず社会全体から不信感を抱かれる時代になっています。
今一度自社の体制を見直してみてはいかがでしょうか。