2021.05.30 セミナー
【イベントレポート】DataSign、DataCurrentが語る、企業のデータプライバシーに必要な要素と改修・見直しの秘訣
●はじめに
2020年6月に改正個人情報保護法が公布され、2年以内での施行が迫る中、
今後企業に求められる対応とその秘訣をテーマに、DataSignとDataCurrentの共催セミナー
「企業のデータプライバシーに必要な要素と改修・見直しを成功に導く秘訣とは?」を実施しました。
本コラムでは、そのセミナーの様子をお届けします。
●第一部
「事例をもとに紐解くデータプライバシーのあるべき姿とは?」/ DataSign 太田祐一氏
データ活用の透明性確保と個人を中心とした公正なデータ流通を実現するため、
DataSignを設立。DataSignが開発する「paspit」は初めて情報銀行の通常認定を受ける。
●「データプライバシーのあるべき姿」
今までの企業目線でのコンプライアンス対応、
いわゆる「個人情報保護法やGDPR、CCPAなどの法律に対応していれば良い」という考えは、あるべき姿ではない。
では、あるべき姿とは何か。
これらを満たすことが、あるべき姿だと太田氏は語る。
このあるべき姿を実現できていれば、企業のブランディング、そして将来的な売り上げにも繋がっていく。
今回は、このあるべき姿を体現するには、何をすべきか、
そして今 各社でどのような状況になっているのか、という点について解説する。
●よくあるプラポリ等の構成
こちらは、とある会社の全体的なサービスやコーポレートサイト等の文章例だ。
右部分、コーポレートサイトには個人情報保護方針があり、一般的な内容が記載されている。
クッキーに関しては、個人情報保護方針とは別(「サイトのご利用について」の部分)で記載されているケース、記載されていないケースが存在。
左部分のサービスAには、利用規約があり、その中には”プライバシーポリシーをご確認ください”と記載。
ただ、コーポレートサイト記載の個人情報保護方針とは関連性が無く、サービスAの中で作られている状況。
また、プライバシーポリシーとは別で、クッキーポリシーがあり、そこにはクッキーは個人情報ではないということなどが記載されている。
中央部分、サービスBには会員規約があり、その中には”個人情報保護方針をご確認ください”と記載の上、リンクが用意されている状況。
また、「サイトのご利用について」にて、クッキーに関する記載がある。
よくあるプライバシーポリシー等の構成として、このようにバラバラに運用されているケースが見受けられ、ユーザー目線で考えると、下記のような課題点が挙げられるという。
●最低限こういう構造にしたい
まずは、コーポレートサイトの個人情報保護方針で、全体方針を提示すること。
そして、各サービスのプライバシーポリシーへのリンクを用意することが望ましい。
こうすることで、ユーザーはこの会社の個人情報保護方針を見れば、全体的な方針を把握することができ、どのサービスがどのプライバシーポリシーで運用されているのかといったことも把握が可能になる。
最低限このような構造にしておかないと、
- ユーザー目線:確認したい内容がどこに書かれているかが分からない
- 企業目線:この規約はどのプライバシーポリシーを参照しているかなど整理ができない
といった懸念が発生するため、ファーストステップとしてこのように対応することを推奨。
●社内でも把握できていない
実際に、サービス毎でどんな情報を何に使っているかなどを全て把握できている人は、
社内にもなかなかいないのではないか。
ユーザー目線でわかりやすく伝えるためには、まず社内でしっかりと把握し、
運用していく体制を整えなければならない。
その為にはプライバシーガバナンスの構築が必要。
●プライバシーガバナンスって?
企業のプライバシーガバナンスとは、
プライバシー問題の適切なリスク管理と信頼の確保による企業価値の向上に向け、
経営者が積極的にプライバシー問題への取り組みにコミットし、
組織全体でプライバシー問題に取り組むための体制を構築して、それを機能させることを指す。
▼理想的なプライバシーガバナンス
各部署や部門からプライバシー担当さらには外部有識者を集め、プライバシー委員会を発足。
委員会の場では、それぞれどういった情報をどのように扱っているかなどについて議論を行い、
プライバシーリスクの把握と今後の対応に取り組む。
このようなPDCAを回していくことが望ましいと太田氏は言う。
プライバシーガバナンスの構築ができ、PDCAを回せるようになると、
部署や部門別でバラバラに管理・運用されていたプライバシーポリシーも一元管理することが可能に。
●とはいえ、、、
いきなりプライバシー委員会の発足など、体制構築して運用することは難しいため、
まずは下記のような対応、プラスアルファを実施することが出来ると良い。
- 現状把握
・自社の状況把握
・方針/プラポリの見直し - 改正法対応
・個人関連情報/公表事項更新対応 - プラスアルファ
・CMPなどの検討
●フェーズ1として目指す姿
具体的に目指していくべき姿としては、
まずはフェーズ1として、サービス部門担当者と法務部門担当者で、
月1回程度プライバシー会議を開くというような形で対応をスタートさせるのが良いと太田氏は語った。
●第二部
「データプライバシーの見直し成功と失敗の分岐点」/ DataCurrent 多田哲郎
生活者と企業が安心してデータを活用出来る世界に貢献するため、DataCurrentを設立。
株式会社サイバー・コミュニケーションズのディビジョンマネージャーを兼務。
●企業対応策とタイムライン
各企業はデータプライバシー保護に関する対応策とタイムラインをある程度持っておくべきだと多田は語る。
今年度中には方向性について見定め、各社以下のような準備を整えていく必要があると考える。
- 自社のデータ基盤を構築する
- 3rd party cookieから1st party IDに切り替えていく
- メールアドレス等会員データの収集
- 実行するための同意取得フローの見直し
- プライバシーポリシーの改定 etc…
●個人情報保護法改正とプライバシーポリシー
個人情報保護法改正に伴い、プライバシーポリシーに変更が必要になるポイントは以下の3点となる。
- 保有個人データの利用目的、処理方法について
どのような情報を、
何のために、
どのような処理をして、
何に使っているのか 、
という形式で明確化する必要がある。
- 保有個人データの開示請求、利用停止請求への対応
電子データでも開示可能になることから企業側の対応が煩雑になる。
- 個人関連情報の第三者提供に関する情報と同意取得
どの情報をどこで使えるようにしているのか、
どこに渡しているのかを明記する必要がある。
上記の3点を踏まえた上で、プライバシーポリシーの変更をすることは当然だが、
それに併せて同意有無、情報の入出力の記録をシステム的に管理していく事が重要だと考える。
●プライバシーポリシー見直しに当たっての課題
プライバシーポリシーを見直すにあたり、
課題としては大きく分けて「組織的課題」と「システム的課題」があると多田は語る。
組織的課題としては、
データが部署やグループ会社毎に管理しているケースが多いため情報集約のための社内調整に時間がかかる。
そもそもどのサービスでどのような種類のデータを保有しているのか把握出来ていない、という事があげられる。
社内の情報管理責任の所在を明確にしつつ、第三者の目を入れることが大切だと考えている。
また、一時的に網羅的なプライバシーポリシーを設計してきれいに整備したとしても、企業の日々のビジネスを進めていく上で次第に抜け漏れが出てくる。
こういった課題に対してシステム的に自動更新・一元管理をすることが必須だと考える。
上記のような課題に対応するにあたり、
「生活者視点で考えられているのか」「サービスとしての納得性はあるのか」
という観点を忘れてはいけないと多田は語った。
●最後に
最後までご覧いただきありがとうございました。
今回はセミナーの様子を一部ピックアップしてご紹介させていただきました。
その他データプライバシーに関するご相談はこちらから。
ぜひお気軽にご相談ください。
●関連記事
【セミナーQ&A】企業のデータプライバシーに必要な要素と、改修・見直しを成功に導く秘訣とは?
本セミナーにおいて、視聴者の皆様からいただいたご質問とその回答をいくつかピックアップし、
Q&A方式で分かりやすくご紹介しています。
本記事に関するお問い合わせは下記にて承ります。
株式会社DataCurrent
info@datacurrent.co.jp