経産省・総務省　企業のプライバシーガバナンスガイドブックver1.1を策定

経済産業省・総務省は、2021年7月19日、「DX時代における企業のプライバシーガバナンスガイドブックver1.1」（以下、「本ガイドブック」）を策定した。

公表の経緯

「企業のプライバシーガバナンス」とは、プライバシー問題に関する適切なリスク管理と信頼の確保による企業価値の向上に向けて、経営者が積極的にプライバシー問題への取組に関与し、組織全体でプライバシー問題に取り組むための体制を構築し、それを機能させることをいう。

社会全体のデジタルトランスフォーメーション（DX）に伴って、プライバシー保護への要請が高まっていることを背景に、経済産業省・総務省は、2020年8月28日、「DX時代における企業のプライバシーガバナンスガイドブックver1.0」を策定した。本ガイドブックは、前記ガイドブックver1.0公表後の企業におけるプライバシーガバナンス実践状況を踏まえ、参考となる具体例を更新し、充実させたものとなっている。以下、本ガイドブックの概要を紹介する（掲載する図表は本ガイドブックより抜粋）。

※本ガイドブックにおいて新規追加された具体例については、「（←新規追加）」と記載

経営者が取り組むべき3要件

企業の経営者には、プライバシーガバナンス実現のために、以下の3要件に取り組むことが求められている。

要件１：プライバシーガバナンスに係る姿勢の明文化

プライバシーに係る基本的考え方や姿勢を明文化し、組織内外へ知らせることは、経営戦略上の重要課題である。明文化の具体的な形としては、宣言の形をとったプライバシーステートメントや、組織全体での行動原則を策定することが考えられる。

【具体例】NTTドコモ　パーソナルデータ憲章の公表（ドコモからのお知らせ : パーソナルデータ憲章の公表、プライバシーポリシーの再編について | お知らせ | NTTドコモ (nttdocomo.co.jp)）

経営者には、明文化した内容に基づいてプライバシー問題への取組を実施することについて、アカウンタビリティ（説明責任）を持つことが求められる。

要件２：プライバシー保護責任者の指名

組織全体のプライバシー問題に対応する責任者を指名し、権限と責任の両方を与える。

要件３：プライバシーへの取組に対するリソースの投入

必要十分な経営資源（ヒト・モノ・カネ）を投入し、体制の構築、人材の配置・育成・確保等を行う。

プライバシーガバナンスの重要項目

体制の構築

プライバシーガバナンスを機能させるには、各部門の情報を集約し、事業におけるプライバシー問題を見つけるとともに、対象となる事業の目的の実現とプライバシーリスクマネジメントを可能な限り両立させるために、対応策を多角的に検討することが必要となる。このためには、指名されたプライバシー保護責任者を中心として中核となる組織（プライバシー保護組織）を企業内に設置することが望ましい。

【具体例】

・参天製薬：個人データ処理について、グローバルな体制構築を実施（←新規追加）

・KDDI：データガバナンス室を設置（←新規追加）

運用ルールの策定と周知

サービスや技術が開発・提供される前に、プライバシーリスクが、プライバシー保護責任者やプライバシー保護組織によって把握され、適切な検討がなされる必要がある。こうした運用を徹底するためには、ルールを策定し、組織内に周知することが重要となる。

企業内のプライバシーに係る文化の醸成

企業文化の醸成に係る取組の例として、以下のものが考えられる。

• 定期的なe-learningや研修教育
• 社員必携の冊子などの中で、プライバシー問題に対する姿勢に言及
• プライバシー問題に対する方針と連動したハンドブック等の配布
• プライバシー保護責任者の活動を社内広報する等の啓発活動
• パーソナルデータを取り扱う部署に対し、教育を集中的に実施
• 新入社員配属時、部署異動時のタイミングでの教育サポート
• 定期的な配置転換の対象組織として、プライバシー保護組織を組み入れる

消費者とのコミュニケーション

プライバシーガバナンスを実現するためには、企業のプライバシー問題に対する取組を公表（例えば、透明性レポート）し、消費者と継続的なコミュニケーションをとることが必要となる。

【具体例】

・NTTドコモ：パーソナルデータダッシュボードの提供（ホーム | パーソナルデータダッシュボード (docomo.ne.jp)）

・日立製作所：生活者情報に関する意識調査の実施 （パーソナルデータの利活用における日立のプライバシー保護の取り組み：ビッグデータ×AI（人工知能）：日立 (hitachi.co.jp)）

その他のステークホルダーとのコミュニケーション

プライバシーガバナンス実現のためには、ビジネスパートナー、グループ企業、投資家・株主、行政機関、業界団体、従業員等との継続的なコミュニケーションを図り、信頼を確保することも重要となる。

おわりに

個人データの利活用はビジネスの源泉となる一方で、プライバシー保護という課題も伴う。しかし、DX時代において、企業がプライバシー保護に積極的に取り組むことは、社会からの信頼を獲得し、他社と差別化できる要素となるものである。プライバシー活動を通じて、商品やサービスの価値、企業自身の経済的・社会的価値を高めていくために、本ガイドブックを十分に活用すべきであろう。

【総務省の報道資料】
https://www.soumu.go.jp/menu_news/s-news/01kiban18_01000124.html

【経済産業省の報道資料】

「DX時代における企業のプライバシーガバナンスガイドブックver1.1」を策定しました （METI/経済産業省）

おススメ

おススメコンテンツ

• 令和２年改正個人情報保護法 個人関連情報第三者提供制限ガイドライン案の重要ポイント 〜 ウェブ／アプリ実装の観点から読み解く
  
  
• 企業の社会的責任として求められるプライバシー保護とは？
  　　～透明性の確保、クッキーバナー等への考え方～
  
  
• デジタルマーケティングにおける法遵守
  　　～改正個情法・個人関連情報第三者提供規制への対応を中心に～