プライバシーガバナンスで考える要素を整理する
(作成 2022/08/09、更新 2022/08/15)
プライバシー保護を実現するには、体制やプロセスを社内に構築し、仕組みとして機能させることが重要になります。
この記事では、経産省と総務省が公開している「DX時代における企業のプライバシーガバナンスガイドブックver1.2」*1を参考に、自社のプライバシーガバナンスを考えるとしたら何を考慮する必要があるのかを、整理したいと思います。
・考慮の抜け漏れやおかしな点
・他社の取り組みに関する情報提供
などありましたら、コメント欄でお知らせいただけると幸いです。
考える要素の全体像
大きく「ポリシー(方針)」と「プラクティス(実践)」の2つに分けて整理しています。
ポリシー(方針)
<指針・憲章>
組織として大事にすること、ユーザーとの約束ごとなど、どういう状態(ゴール)を目指すのかを宣言した文書です。
外部向け
多くの企業では、個人情報について、プライバシーポリシーや個人情報保護方針を定めていると思います。
より広い「パーソナルデータ」について、パーソナルデータ憲章/指針を定める会社も増えてきています。
内部向け
個人情報やパーソナルデータの取り扱いに関する、社内規程などが該当します。
<ガイドライン/ブック>
上記の指針・憲章を具体的に記した文書です。
外部向け
文字ベースで抽象的な指針・憲章を、イラストや図解、具体例を交えて解説したもので、代表例がプライバシーセンターになります。
内部向け
社内規程を実務に落としたルールブックなどが該当します。
プラクティス(実践)
<ガバナンス>
体制
プライバシーガバナンスを機能させるための体制を作る。
- 責任者
- CPOやDPOなど、社内におけるプライバシー保護の責任者を定めます。
- プライバシー保護組織
- プライバシー専任の組織を作ることもあれば、法務やセキュリティが兼任するする場合もあります。
- 内部連携
- 事業部門やプロダクト部門とどのように連携するか。
- 外部連携
- 研究機関や業界団体、弁護士といった社外の有識者とどのように連携するか。
レビュープロセス
リスクチェックやPIA(プライバシー影響評価)を実施する。
- どの工程で(Where, When)
- ex. 企画、開発、テストなど
- どの組織が(Who)
- ex. 法務、セキュリティ、社外の有識者
- 何を(What)
- ex. パーソナルデータの
- インプット(入力)
- スループット(処理)
- アウトプット(出力)
- ex. パーソナルデータの
- どのような基準で(How)
- どのような頻度で(How often)
- ex. 発生ベース、Qごと、1年に1度
外部監査
社外の第三者から客観的な評価を得る。
- 有識者会議
- 諮問委員会
- ユーザーへの意識調査
<周知・浸透>
定めたルールやプロセスが遵守されるには、各従業員への意識づけや、現場に定着させるための取り組みが必要です。
教育
- 基礎
- eラーニングやテストで、プライバシー保護に関する前提知識を揃えます。
- 応用
- それぞれの事業部門やプロダクト部門に特化した内容で、発展的な内容の研修や勉強会を開催します。
ツール
- ドキュメント
- 普段の業務で使用する資料やマニュアルに盛り込み、従業員が日常的にプライバシー保護を意識する機会を作ります。
- チェックシート
- レビュープロセスとは別に、現場の従業員がプライバシーリスクを点検できるチェックリストを用意します。
- 開発キット
*1:「DX時代における企業のプライバシーガバナンスガイドブックver1.2」を策定しました (METI/経済産業省)
https://www.meti.go.jp/press/2021/02/20220218001/20220218001.html