DX推進で求められるプライバシーテックの重要性とは？

企業が取り組むべきミッションとして、DX（デジタルトランスフォーメーション）の推進が注目を集めています。

ビジネスシーンにおけるDXとは単に既存のビジネスをデジタル化することだけではありません。デジタル技術によって新たなビジネスモデルを創出することも含まれます。新たな価値を生み出す可能性を秘めたDXですが、一方でプライバシーに関する問題を引き起こす懸念もあります。その懸念を払拭する手段となる技術が「プライバシーテック」です。

本記事では、DX推進にともない企業はどのようにプライバシー問題へ取り組むべきかを説明します。

1. プライバシーテックとは？

プライバシーテックとは、個人のプライバシーを守るための技術を指す言葉です。

インターネットで収集した個人データを企業が活用することで、より消費者にマッチしたサービスを提供できるようになりました。しかし、消費者の同意を得ずに利便性の追求にのみ注視して個人データの第三者提供や公開をおこなうと、プライバシー（私生活の情報をみだりに公開されない権利）が侵害されてしまう恐れがあります。

このような背景から、プライバシーテックは「企業による個人データの適切な活用」と「個人情報の保護」を両立するために必要不可欠な技術として注目を集めています。

プライバシーテックのくわしい解説や注目される背景については、以下の記事でも解説しています。本記事とあわせてご参照ください。

＞＞そもそもプライバシーテックって何？ 注目の背景と理由を解説！

2. DXの推進で懸念されるリスク

DX推進でBtoCビジネスをおこなう場合は多くの個人データを活用します。個人データの取り扱いは個人情報保護法によって規定が設けられており、違反した場合には罰則の対象となるだけでなく、社会的な信用を失うことを留意しなければなりません。

2019年には、リクルートキャリアが提供する「リクナビDMPフォロー」が、利用者の同意取得を得ずに第三者へデータ提供したことが問題になりました。利用者は自身が認知しないままサービス内の行動履歴から「選考離脱・内定辞退の可能性」をスコアリングされ、情報を別の企業に譲渡されていたのです。

結果的に計13,840名分の個人データが第三者に提供され、利用者である多くの学生が不安や不信感を抱くことになりました。今後、DX推進にともなう新規事業・サービスの展開においては、同様の事態を招くリスク（レピューションリスク）がつきまとう恐れがあります。

3. データの取り扱いにおけるプライバシーの実情について

個人データを守る法律は世界各国で整備されていますが、近年はその内容がより厳しくなっています。日本でも、2020年度の個人情報保護法改正により個人データの扱いが厳格化されました。

EU域内ではGDPR（EU一般データ保護規則）、カリフォルニア州ではCCPA（カリフォルニア州消費者プライバシー法）が施行され、データの取り扱いにおけるプライバシー保護の流れが強まりつつあります。

各法律の詳細、制裁金の内容は以下の記事で解説しています。個人情報保護法はもちろん、グローバルにビジネスを展開する場合はGDPR・CCPAの適用対象となる場合もあるため、各法律の概要を把握できていない場合は本記事とあわせてご参照ください。

＞＞放っておくと経営危機レベルの制裁金も！ GDPR・CCPA・個人情報保護法それぞれの対策の必要性を解説

4. DXの推進にともない必要となるプライバシー管理・対策

経済産業省が策定した「DX時代における企業のプライバシーガバナンスガイドブックver1.0」では、プライバシーガバナンスの重要項目として次の5つが挙げられます。

• 体制の構築
• 運用ルールの策定と周知
• 企業内のプライバシーに係る文化の醸成
• 消費者とのコミュニケーション
• その他のステークホルダーとのコミュニケーション

具体的に内容を見てみましょう。

4.1　体制の構築

プライバシーガバナンスの観点では、企業はプライバシー保護責任者を指名し、責任者を中心にプライバシー保護のための組織を設置する必要があります。ガイドブック内では、この組織を「プライバシー保護組織」と呼んでいます。

出典：総務省，経済産業省「DX時代における企業のプライバシーガバナンスガイドブックver1.0」

プライバシー保護組織を設置することで、新規事業やサービスを展開する際、客観的にプライバシー侵害のリスクを評価できます。

4.2　ルールの策定と周知

プライバシー保護のための体制構築とともに体制が機能するためのルールを策定しなければなりません。

自社で新たに取り組むべきプライバシー対策を打ち出したり、新規事業やサービスの展開時に「誰が・どのタイミングで・どのようにプライバシー侵害のリスクを評価するか」といった事項を定めるなど、運用のルール化が求められるでしょう。ルールの策定後は、プライバシー保護責任者やプライバシー保護組織によって今後運用するルールの周知を徹底する必要もあります。

なお、ルールは組織の規模拡大や事業展開の方向性、時代の変化によって最適ではなくなる可能性があります。そのため、ルールの見直し・改善を定期的におこなうことが重要です。

4.3　企業内のプライバシーに係る文化の醸成

プライバシー保護組織の立ち上げ、ルール策定だけではプライバシーガバナンスは不十分です。従業員がそれぞれ、一消費者としてプライバシー意識を持つことで、プライバシー侵害のリスクに対応できる組織が作られます。

企業全体がプライバシーを考え配慮する文化を醸成するための取り組みとして、ガイドブック内ではいくつかの例が挙げられています。

• 定期的な e-learning や研修教育
• 社員必携の冊子などの中で、プライバシー問題に対する姿勢に言及
• プライバシー問題に対する方針と連動したハンドブック等の配布
• プライバシー保護責任者の活動を社内広報する等の啓発活動
• パーソナルデータを取り扱う部署に対し、教育を集中的に実施
• 新入社員配属時、部署移動時のタイミングでの教育サポート
• 定期的な配置転換（ジョブローテーション）の対象組織として、プライバシー保護組織を入れる

引用：総務省，経済産業省「DX時代における企業のプライバシーガバナンスガイドブックver1.0」

プライバシー問題に真摯に向き合う組織を作り上げるため、上記のような取り組みを積極的に取り入れることが推奨されます。

4.4　消費者とのコミュニケーション

ガイドブックでは、消費者との継続的なコミュニケーションの重要性が説かれています。

サービスの利用により収集された消費者のデータがどのように活用されているのか不透明であればあるほど、消費者の不安は大きくなります。逆に、プライバシー問題に対してどういった取り組みを行っているのかを対外的に発信することで、消費者が抱いている懸念の多くは解消できます。

4.5　その他のステークホルダーとのコミュニケーション

社内や消費者へ働きかけるほか、事業の関係者・関係組織とコミュニケーションを取っておくことも重要です。ガイドラインでは、必要に応じて以下のようなステークホルダーとコミュニケーションを取るよう推奨しています。

引用：総務省，経済産業省「DX時代における企業のプライバシーガバナンスガイドブックver1.0」

協業する取引先や業務委託先とは早々にプライバシーへの認識を一致させておきましょう。取引先がプライバシー問題へ適切に対応できていなければ、自社を含む関係企業にも信頼失墜のリスク（レピュテーションリスク）が及ぶ可能性があるからです。

5. まとめ

DX推進で個人データの活用機会はますます多くなるでしょう。そうした状況下において今後、プライバシー侵害のリスクを減らす対策が十分に整っているか確認しておくことが欠かせません。

個人のプライバシーを守るための技術「プライバシーテック」は、その対策方法の一つとして、これからさらに重要度が増していくことでしょう。