下記ドキュメントをベースに概要を記載した記事となります。
DX時代の企業のプライバシーガバナンス ver1.0
プライバシーガバナンスの重要項目
体制の構築
プライバシー保護組織は、各事業部からの情報ヒアリングを行い、事業全体としてのプライバシー問題を見つけます。その上で事業の目的とプライバシーリスクマネジメントを両立できる対策を検討します。
プライバシー保護責任者の役割
経営者から付与された権限に基づいて方針を確立と実践を行います。
プライバシー保護責任者はプライバシー保護組織との報告、指示を通じてプライバシーリスクマネジメントが明文化したように実践されているか把握と評価を行います。
プライバシー保護組織の役割
プライバシー保護組織は自社のリソースに合わせて実効性のある組織にする事が大事です。
各部門からサービス、商品に関する情報をヒアリングしてプライバシーリスクが発生するリスクを見つけます。見つかったプライバシーリスクについて、対象の事業が継続できるように施策を講じます。
事業が継続できるようにするには、法制度やコンプライアンスの遵守、情報セキュリティなど様々な観点での確認が必要になります。必要に応じて有識者への相談を行います。
プライバシー問題が発生した場合の対応や、原因の解析と改善についてもプライバシー保護責任者と連携して行う必要があります。
事業部門の役割
事業部門は取扱う商品、サービスがプライバシーリスクを内包していないか当事者として確認する必要があります。またプライバシー保護組織と連携して、プライバシーリスクを日常的にチェックを行います。
プライバシーリスク発生時には、プライなシー保護組織と連携して対応を行います。
内部監査部門やアドバイザリーボードなどの第三社的組織の役割
プライバシーリスクが正しく管理されているか社外の組織からモニタリングや評価を行う事で、透明性のある評価を行う事が出来てsy外からの信頼も高まります。
有識者からの客観的な意見をsyないへフィードバックさせることで組織全体のプライバシー意識を高める事が出来ます。
運用ルールの策定と周知
サービスや技術がリリース、開発する前に、プライバシーリスクがプライバシー保護組織と保護責任者は把握することが必要です。
これら一連の流れを運用のルールとして取り決めて抜け漏れが発生しないようにします。
企業内のプライバシーに係る文化の醸成
プライバシーガバナンスの体制や運用を有効的に機能させるには、経営者が明文化したプライバシーガバナンスを組織全体に浸透させ、プライバシーリスクの重要性を認識する組織文化を醸成します。
消費者とのコミュニケーション
消費者のプライバシーの受け止め方の変化を常に把握できるように、消費者と継続的にコミュニケーションを取る必要があります。
企業はプライバシーリスクにてどのように対応しているのか積極的に消費者に情報発信することで消費者と信頼関係を作ります。
組織の取組の公表、広報
会社のプライバシー問題の考え方とその対応方針を取りまとめ社外へ公表する。
消費者が懸念しているプライバシ問題への対応を公表することで、消費者が安心してサービス、商品を使えるようにする。
消費者との継続的なコミュニケーション
定期的な情報公開だけではなく、プライバシーポリシーの改定や新しいサービスや商品を発表するタイミングでも情報公開を行う。
消費者のプライバシーへの意識は変化するので、消費者とのコニュニケーションの接点を持つことで継続的に意識を把握できるように努める。
問題発生時の消費者とのコミュニケーション
プライバシー問題の発生前に、組織全体として対応の手順を構築しておくことが大事です。
実害を受けた消費者にはその時点での把握できている内容、原因を謝罪も含めて説明します。2時被害が発生する可能性が高い場合は、その回避策に対しても真摯に説明します。
情報を公開することで被害が拡大するパターンもあるので、専門家と相談して情報提示を行うようにする。
その他のステークフォルダーとのコミュニケーション
ステークフォルダーとの信頼関係を構築するために、プライバシーリスクマネジメントに積極的に取り組んでいることを随時説明することが必要です。
ステークフォルダーへの対応
消費者だけでなくステークフォルダーとの関係構築を行う事が重要です。
ビジネスパートナー(取引先、業務委託先)
発注側の企業は、プライバシー保護の適切な対応ができている技術や説明を取引先に要求する。
取引先は発注側からの要望に答えるだけでなく、積極的に提供技術の説明や技術を利用する際のプライバシーガイドラインを提示していく。
業務を他社に委託する場合には、委託先の問題は委託元も負うことになる。プライバシー対応の安心できる委託先を選ぶ必要がある。
グループ企業等
グループ内の子会社が起こしたプライバシー問題は、グループ全体のブランドの信頼が失われる。グループ全体でのプライバシー問題への対応を意識する。
投資家、株主
投資家のプライバシーリスク管理体制に対しての意識がコストから先行投資へと意識が変わってきている。株主や投資家にも、プライバシー問題への対応について明確な説明を求められることが増えてく事が予想される。
関係行政機関
行政機関の相談窓口に常日頃から確認をすることで、実際にプライバシーリスクを懸念する商品、サービスを開始する時には事前に相談を行う事が重要です。
業界団体
同業他社が同じような商品、サービスでプライバシー問題を発生させてしまうと、自社も含めて業界全体の消費者からの信頼を失ってしまう可能性があります。
業界団体の企業同士での情報共有に積極的に参加して、情報提供、情報収集を行う事が必要です。
従業員等
企業は収集した従業員の情報もプライバシー配慮が必要です。従業員の情報が情報漏洩する可能性があるので、従業員とコミュニケーションを取り、プライバシー管理について説明、周知を行う必要があります。
その他の取り組み
個社でのプライバシーリスクの把握や対策の検討が難しいい場合は、業界団体、政府、官民で構成されるコンソーシアムが適切な対策、対応を行う場合もあります。
経済産業省が策定した「DX時代の企業のプライバシーガバナンス ver1.0」の概要
ガイドブックの位置付けのページ
ガイドブックの前提のページ
経営者が取り組むべき3要件のページ
プライバシーガバナンスの重要項目のページ
(参考)プライバシーリスク対応の考え方のページ
(参考)プライバシー・バイ・デザインのページ
終わりにのページ