（作成 2022/08/09、更新 2022/08/15）

プライバシー保護を実現するには、体制やプロセスを社内に構築し、仕組みとして機能させることが重要になります。

この記事では、経産省と総務省が公開している「DX時代における企業のプライバシーガバナンスガイドブックver1.2」*1を参考に、自社のプライバシーガバナンスを考えるとしたら何を考慮する必要があるのかを、整理したいと思います。

・考慮の抜け漏れやおかしな点

・他社の取り組みに関する情報提供

などありましたら、コメント欄でお知らせいただけると幸いです。

• 考える要素の全体像
• ポリシー（方針）
  • ＜指針・憲章＞
    • 外部向け
    • 内部向け
  • ＜ガイドライン/ブック＞
    • 外部向け
    • 内部向け
• プラクティス（実践）
  • ＜ガバナンス＞
    • 体制
    • レビュープロセス
    • 外部監査
  • ＜周知・浸透＞
    • 教育
    • ツール

考える要素の全体像

大きく「ポリシー（方針）」と「プラクティス（実践）」の2つに分けて整理しています。

• ポリシー（方針）
  • 指針・憲章
  • ガイドライン/ブック
• プラクティス（実践）
  • ガバナンス
    • 体制
    • レビュープロセス
    • 外部監査
  • 周知・浸透
    •  教育
    • ツール

ポリシー（方針）

＜指針・憲章＞

組織として大事にすること、ユーザーとの約束ごとなど、どういう状態（ゴール）を目指すのかを宣言した文書です。

外部向け

多くの企業では、個人情報について、プライバシーポリシーや個人情報保護方針を定めていると思います。

より広い「パーソナルデータ」について、パーソナルデータ憲章/指針を定める会社も増えてきています。

内部向け

個人情報やパーソナルデータの取り扱いに関する、社内規程などが該当します。

＜ガイドライン/ブック＞

上記の指針・憲章を具体的に記した文書です。

外部向け

文字ベースで抽象的な指針・憲章を、イラストや図解、具体例を交えて解説したもので、代表例がプライバシーセンターになります。

privacyops.hatenablog.com

内部向け

社内規程を実務に落としたルールブックなどが該当します。

プラクティス（実践）

＜ガバナンス＞

体制

プライバシーガバナンスを機能させるための体制を作る。

• 責任者
  • CPOやDPOなど、社内におけるプライバシー保護の責任者を定めます。
• プライバシー保護組織
  • プライバシー専任の組織を作ることもあれば、法務やセキュリティが兼任するする場合もあります。
• 内部連携
  • 事業部門やプロダクト部門とどのように連携するか。
• 外部連携
  • 研究機関や業界団体、弁護士といった社外の有識者とどのように連携するか。

レビュープロセス

リスクチェックやPIA（プライバシー影響評価）を実施する。

• どの工程で（Where, When）
  • ex. 企画、開発、テストなど
• どの組織が（Who）
  • ex. 法務、セキュリティ、社外の有識者
• 何を（What）
  • ex. パーソナルデータの
    • インプット（入力）
    • スループット（処理）
    • アウトプット（出力）
• どのような基準で（How） 
  
  • ex. 個人情報保護法、Pマーク、GDPR、OECDプライバシー8原則
• どのような頻度で（How often）
  • ex. 発生ベース、Qごと、1年に1度

外部監査

社外の第三者から客観的な評価を得る。

• 有識者会議
• 諮問委員会
• ユーザーへの意識調査

＜周知・浸透＞

定めたルールやプロセスが遵守されるには、各従業員への意識づけや、現場に定着させるための取り組みが必要です。

教育

• 基礎
  • eラーニングやテストで、プライバシー保護に関する前提知識を揃えます。
• 応用
  • それぞれの事業部門やプロダクト部門に特化した内容で、発展的な内容の研修や勉強会を開催します。

ツール

• ドキュメント
  • 普段の業務で使用する資料やマニュアルに盛り込み、従業員が日常的にプライバシー保護を意識する機会を作ります。
•  チェックシート
  • レビュープロセスとは別に、現場の従業員がプライバシーリスクを点検できるチェックリストを用意します。
• 開発キット
  • 社内向けのAPIやSDKを提供し、開発現場が自然とプライバシー保護を実現できる状態を作ります。