ソフトローってなんだ?これからのプライバシーガバナンスと制度の在り方を経産省村瀬さんに聞いてみた
新型コロナウイルスに関係する内容の可能性がある記事です。
新型コロナウイルス感染症については、必ず1次情報として厚生労働省首相官邸のウェブサイトなど公的機関で発表されている発生状況やQ&A、相談窓口の情報もご確認ください。またコロナワクチンに関する情報は首相官邸のウェブサイトをご確認ください。※非常時のため、すべての関連記事に本注意書きを一時的に出しています。
見出し画像

ソフトローってなんだ?これからのプライバシーガバナンスと制度の在り方を経産省村瀬さんに聞いてみた

はじめに:ルールや制度の背景に迫り、良いCXを探求するための学びに

こんにちは。プレイドのLegalの村井です。プレイドは、「データによって人の価値を最大化する」というミッションを掲げ、 CX(顧客体験)プラットフォーム「KARTE」を中心とした事業展開を進めています。

これまでプレイドでは、CXの価値をより広く伝えていくため、自らが目指すべき姿をその業界のトップランナーや有識者から学び、思考することを大切にしており、自分たちの学びを世の中に発信するという取組みも積極的に行ってきました。例えばウェブメディア『XD』やカンファレンス「CX DIVE」などです。

プレイドにとって、より良いCX(顧客体験)を提供していくために何ができるのか、何を考えていくべきなのかは重要なテーマです。時代の流れが早く、ものごとが複雑化している昨今においては、より良いCXを探求していくためには企業と顧客との関係性に着目するだけではなく、企業と顧客を取り巻く世の中のルール・仕組み、これらに関連する各者の取組みなどに対する理解も非常に重要になってきています。

そこで今回、私たちを取り巻くルールや制度を中心に、現場の第一線で活躍する方や有識者から話を伺い自ら学ぶと共に、その学びを世の中に発信することを通して、より良いCXを探求していきたいと考えました。

その第1回として、経済産業省 商務情報政策局 情報経済課 デジタル取引環境整備室 室長補佐の村瀬 光さんに、経産省が2020年8月28日に公表した「DX時代における企業のプライバシーガバナンスガイドブックver1.0」についてインタビューしました。

2020年に改正された個人情報保護法の施行が来年4月に迫る中で、個人情報とはまた異なるプライバシーという観点から作成されたこのガイドブックについて、その背景と内容、企業が目指すべき姿などについてお話を伺います。

「企業のイノベーションを阻害しない」プライバシーガバナンスガイドブックの背景

――経産省は、昨年8月にDX時代における企業のプライバシーガバナンスガイドブックver1.0を出されました。私たちも個人に関するデータを扱っている企業ですので、このガイドブックについては興味深く拝見していました。

ただ、プライバシーという概念自体曖昧なところもあり、多くの企業がプライバシーガバナンスの必要性はわかっていても取り組みにくいという課題に直面しているのではないでしょうか。

今回はガイドブックの作成背景や重要ポイント、また、このガイドブックに関連した今後の展開などをお伺いします。

画像1

私たちも、ガイドブックについて、現場の皆様にわかりやすくお伝えしたいと思っておりましたので、こういった機会を頂けたことはありがたいです。

――早速ですが、ガイドブックの作成背景についてお伺いします。DX時代におけるガバナンスに関する問題としては、プライバシー以外にも企業と従業員との関係性、セキュリティなどの多くの問題がある中で、特にプライバシーを取り上げているのはなぜでしょうか?

プライバシーに関する取組は、企業がデジタルトランスフォーメーション(DX)を進めていく上で、サイバーセキュリティに並ぶ非常に重要な概念と観点で、もはや前提条件といえるものだからです。

また、サイバーセキュリティは、ネガティブな要素をゼロに近づけるという発想に立脚していると思いますが、プライバシーに関する取組は、マイナスをゼロにするだけではなく、さらにプラスにできるところが違うと考えています。

企業がプライバシーに対応することは、消費者・社会からの信頼形成に寄与し、結果として企業価値の向上につなげることができます。その意味で、ネガティブな要素の回避だけでなくポジティブな効果も期待できます。

つまり、DXを進める中で企業の新しい在り方を考える上で、プライバシーについても考える必要があるのではないか、それは企業価値の向上にもつながるのではないか、これが今回のガイドブックにおける大きな価値観です。

こうした私たちの理解を支えるものとしては二つあります。一つは、国内外の動向です。プライバシーに関心が集まり、法制度の整備も進んでいることが背景にあります。

EUにはGDPRというデータ保護規則があります。アメリカには個人データの保護に関する連邦法はありませんが、一部の州においては州法があり、また、FTC法があります。特にFTC法については、消費者保護の観点から企業に多額の制裁金を課すといった執行がなされています。

こうした動きの中で、海外ではプライバシーへの対応が経営戦略として否応なしに意識されるようになっています。同時に、リスクを回避するための対策のみだけでなく、価値向上につなげようという企業も現れています。

国内でも、海外進出企業を中心に対応の必要性があります。また、個人情報保護委員会が2019年に公表した「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」でも、企業の自主的な取組が重要だというメッセージが示されています。

――マイナスからゼロにするという観点よりも、企業がDX時代においてプラスの企業価値を生み出していくためにはプライバシーガバナンスへの取組が重要である、ということなんですね。

その通りです。もう一つの背景は、プライバシー保護のあり方が生活者との関係という水準においても重要な論点になっていることです。「個人情報保護法を守れば良い」という考え方のみでは、企業は生活者と良好な関係を築けないということです。

例えば、最近、就職情報サイトにおけるパーソナルデータの利用が問題となった事例があります。個人情報保護法の遵守だけでなく、生活者の感情や倫理的観点から取り組まないと事業の継続に影響するようなレピュテーションリスクにつながりかねません。

企業はDXを進めるにあたり、能動的にプライバシー保護に取り組み、消費者に説明責任を果たし、信頼を得て、企業価値の向上につなげることが必要ではないか。むしろ、そういう世界にしていくべきだというのが私たちの問題意識です。

――今回、プライバシーは重要であるという一方で、罰則もインセンティブもない「ガイドブック」という形を取られています。法令等のハードローの形で規律することも考えられる中でガイドブック、つまり指針を示すにとどめ、企業の自律性と解釈の余地を尊重するソフトローのような形をとられているのはなぜですか?

まず、プライバシーに関する最低限の規律として、ハードローである個人情報保護法があります。

これに対して、プライバシーガバナンスは、個人情報保護法の遵守を前提とした上で、それよりも外延が広いプライバシーの観点から対応すべき領域について、企業が自身の規模や状態に応じて自ら考え、ゴールを設定し、企業ごとにケースバイケースの対応ができる枠組みにしたいと考えています。

プライバシーというのは、定義や概念は一意でなく、変化するものです。新型コロナウイルス感染症の拡大の中でサーモカメラによる撮影が社会的に受容されるようになってきたように、時代や社会的文脈に応じてプライバシーの概念自体が変わります。また、デジタル市場は急速に変化します。このため、一律の行為規制はなじみません。各企業がデジタル市場の急速な変化に対応し、イノベーションを阻害しないという意図があります。

プライバシーガバナンスガイドブックの重要ポイントを解説 

――ガイドブックの背景が理解できたところで、内容についても伺えればと思います。ガイドブックの中で特に重要なポイントとなるところについてご説明いただけますでしょうか。

ガイドブックは、企業の経営者が取り組むべき3つの要件と、5つのプライバシーガバナンスの重要項目を柱としていて、それぞれに関連する事例を掲載しています。

画像2

(経済産業省:「DX時代における企業のプライバシーガバナンスガイドブックver1.0概要」より)

ガイドブックの最大のメッセージは「企業がプライバシーガバナンスに能動的に取り組むことが、社会からの信頼獲得につながり、結果として企業価値の向上につながる」ということです。経営者自身に、世の中の認識がこのようにシフトしていることを理解していただき、プライバシーに関する問題に能動的に取り組んでいただきたい、ということです。

ガイドブックは必ずしも経営者だけをターゲットにしたものではありません。是非、経営陣・経営者に提言できるポジションの方、データ利活用の部門の方々、消費者とのコミュニケーションを主導する方などにも読んでいただきたいと考えています。

――「経営者が取り組むべき3つの要件」について、優先順位が最も高いのはどれですか。

要件1の優先順位が一番高いと考えています。理念は体制の土台となるので、「姿勢の明文化」がまず必要でしょう。

経営課題の中でプライバシーへの対応を明確に位置付け、企業内外に示せるよう言語化することが最も重要だと思います。

――ちょっと話がずれるかもしれませんが、同じDXに関連する政策としては、経産省が主導しているものとしてDX認定があります。これと共通するところはありますか。

DX認定のように、これをやればこういう認定を得られる、ということはプライバシーガバナンスガイドブックでは想定していませんが、DX認定の根拠となるデジタルガバナンス・コードと齟齬がないように意識をしています。

――続いて、プライバシーガバナンスに関して5つの重要項目がありますが、こちらもあえて優先順位つけるとすればどうなりますか。

まずは1番目の体制の構築が重要です。2番目以降の重要項目を実現する前提になると考えているためです。

――ガイドブックに記載されている事項をすべて履践することは中小企業にはハードルが高いようにも感じます。スタートアップのような企業はどのような姿を目指すべきでしょうか。

まさに、データを利活用するスタートアップ企業は、プライバシーガバナンスの取組をしっかり行うことにより、企業価値を高めることができる、という発想で積極的に取り組んでいってほしいと考えています。

大企業は十分なリソースがあるので、組織変革や専門部署を設置することはできるでしょう。一方で、そうではない企業に対して全部の重要項目を実行することを求めることはToo muchになり、イノベーションを阻害することにもつながりかねません。「すべてを行え」がガイドブックのメッセージではないのです。

例えば、バーチャルな組織を作り兼任担当者を指名するといった方法でも専門組織を構築することは可能だと思います。その企業の規模やリソースの実態に応じて適切なアプローチをとれば十分でしょう。プライバシーガバナンスに関する姿勢を示す、第一歩を始めるということがより重要です。

――プライバシーガバナンスの形骸化を避け、各企業で実効的な形で実装を行うために、経産省の方で考えている対策は何かありますか。

企業によるプライバシーガバナンスの実装を後押しする方策としては、二つ考えられます。一つは、私たち行政が、企業の皆様に対して、具体的なツールや手順を参考としてお示しすることです。ガイドブックでは、他社にとって参考となる企業の事例を記載したり、プライバシー影響評価(PIA)というリスクアセスメント手順を紹介していたりします。

もう一つは、各企業において、有識者との連携・協業を行っていただくことです。企業規模によっては難しいかもしれませんが、専門家や消費者を代表する方の意見を聞くための検討会を立ち上げたり、第三者が企業とコミュニケーションするアクセスポイントを作ったりすることなどが考えられます。

「民間と一緒につくっていく」今後の展望を聞く

――最後に、今後の展望についてお伺いさせてください。プライバシーガバナンスに関する取組みの認知向上や定着に向けた動きなどをお聞かせください。

認知度上昇のための取組としては二つあります。

まず、ガイドブック自体の周知広報です。そのためには、プライバシーへの取組が消費者から信頼を獲得し、その結果、企業価値が向上するというストーリーをしっかり示していく必要があります。ストーリーを裏付けるファクトの可視化も課題です。Facts and Figuresを用いて、このストーリーを説明できるようにしたいと考えています。

二つ目は、参考となる事例の収集とツールの充実化です。実際の事例やツールが充実していれば、ガイドブックで掲げたコンセプトが具体性を持って理解されやすいと思います。

次に、定着の方法ですが、まずはPマークの認証基準であるJISQ:15001(プライバシーマネジメントシステム)の改訂に際してプライバシーガバナンスガイドブックの要素も盛り込んでいけないかと考えています。

Pマークを取得している16,000以上の企業が認定基準に準拠しているので、プライバシーガバナンスの取組が大きく広がることが期待されます。

次に、参考となる事例・企業の取組に寄与するツールの充実化とその解説です。それぞれの事例のどういう点が汎用化できるのか、有識者の意見も頂きながら検討したいと思います。これも今年度の重点的な取組の一つです。

分野特定型のガイドブックも視野に入れています。例えば、カメラによるデータ利活用については、既に「カメラ画像利活用ガイドブック」* というガイドブックを公表しています。これは店舗などでカメラ画像を利用して顧客の動線や人数を統計的に分析する際に、生活者とどのようにコミュニケーションすると良いかといったことについて解説しているものです。

*「カメラ画像利活用ガイドブック ver2.0」
経済産業省と総務省は、カメラ画像について、 その特徴を踏まえた利活用の促進を図るため、商用目的でのカメラ画像利活用における配慮事項を記述した「カメラ画像利活用ガイドブック ver2.0」を策定、公表しています。

今年度、カメラ画像利活用ガイドブックの見直しを進めていく予定ですが、プライバシーガバナンスガイドブックの要素を盛り込むことを考えています。このように、特定の分野におけるプライバシーガバナンスの取組を示すことで、事業者の方にとってより実践的な情報もお示ししたいと思っています。

――「民間と一緒につくっていく」がソフトローの要諦と理解していますが、情報収集と発信以外に、民間での議論を喚起するためにされることはありますか。

例えば、昨年度、プライバシー関係の団体において勉強会が開催されるなど、一定数の企業が自主的に議論・検討を行っていました。このような動きを我々も応援したく、コラボしたいとも考えています。民間で議論・活動が行われている場があれば教えてほしいくらいです。

普及広報活動として、多くの企業を集めた上で、プライバシーガバナンスを実践する企業や有識者等を集めて議論する仕組み作りもやっていきたいです。この文脈で、セミナーやシンポジウムなども企画していきます。

また、このガイドブックはVer. 1.0 というタイトルのとおり、今後、改訂していくことを予定しています。

時代に合った改訂をしていきたいと思っていますので、随時、民間企業・有識者・消費者からフィードバックを頂きたいですし、「ver.2.0」やその後のバージョンに、頂いたご意見を反映していきたいと考えています。

――最後に、今回、ガイドブックに盛り込むことができなかった事項を教えてください。

できなかったというより、むしろしなかったということがあります。一つはインセンティブ付けです。ガイドブック策定に向けた議論の中では、インセンティブを付けた方が良いのではないか、逆に罰則を設けた方がよいのではないか、といった意見がありました。具体的にはDX認定・DX銘柄の基準要件にプライバシーガバナンスへの対応を盛り込むべきではないか、という意見がありましたが、それは実施していません。このガイドブックでは、あくまでプライバシーガバナンスへの取組の重要性を伝えることが本質、メインであり、DX認定やDX銘柄への紐付け等では十分な目的が達成できないと考えたためです。

「そもそもプライバシーとは何か」という問いに踏み込むことも今回はしていません。一部、取り組むべき領域を明確化するためにもプライバシーの概念の明確化をすべき、という意見はあったのですが、プライバシーは、時代やコンテクスト等に応じて変化する概念です。それを固定化することは難しいということに加えて、固定化させてしまうことによって生じるリスクもあると考えています。プライバシーの捉え方は、各企業が世の中と対面しながら常にアップデートしていくべきものと考え、今回のガイドブックでは深く書いていません。

――本日は貴重な話をいただく機会を頂戴しまして、ありがとうございました。

ありがとうございました。

編集後記

村瀬さんへのインタビューでは、プライバシーガバナンスは、①各企業がDXを進めていく上で、サイバーセキュリティに並ぶ重要かつ前提条件ともいうべきものであり、今後避けて通ることができないこと、②リスクの予防・回避というマイナスをゼロにするだけなく、企業価値の向上というプラスにつなげることができること、が強調されていたのは印象的でした。

このガイドブックには罰則やインセンティブはありません。ここで示された取組みについて、どのようなモチベーションで、どの程度のリソースを割いて取り組むかは、上記の2点に対する各企業の共感、理解などの程度によって大きく異なってくるのだろうと思います。

この点、ガイドブックver1.0では、プライバシーガバナンスによる企業価値の向上についての事例等があまり示されていないのは残念ですが、村瀬さんによれば、今後のガイドラインの改訂の際に事例などを追加予定とのことであり、今後が期待されます。

最近では、日本においてもESG投資が本格化しつつあります。ESGに関しては、WFE(世界取引所連合)やSASB(サステナビリティ会計基準審議会)などが指標や基準を公表していますが、それらの指標・基準においてもプライバシーに関する取組みが取り上げられています。このような世の中の流れからすると、プライバシーガバナンスが企業価値に影響を与える事例が示される日は遠くないように感じます。

また、今回のガイドブックは、企業が自身の規模や状態に応じて自ら考え、ゴールを設定、企業ごとにケースバイケースの対応ができる枠組みとなっています。そのため、企業にとっては逆に、具体的に何をすべきなのかが不明確となっている印象もあります。

この点、村瀬さんによれば、今後、ガイドブックの内容とJISの連動、ガイドブックでの事例公表、分野特定のガイドブックの公表などが予定されているとのことでした。今後は、各企業がプライバシーガバナンスとして取り組んでいくべき内容は、次第に明確になっていくのかもしれません。

ただ、その場合であっても、重要なのは、単に提示された一定の規格・基準を満たすということではないと思います。

このガイドブックですでに示されており、村瀬さんの発言にもあったように、DX時代、また、ソフトローの下における企業としては、常に社会の方を向き、自ら考え・積極的に行動して、諸々の取組みをアップデートしていく姿勢が求められていくのだろうと強く感じました。

なお、「DX時代における企業のプライバシーガバナンスガイドブックver1.0」については、2021年7月20日に経産省・総務省・JIPDECの共催セミナーが開催される予定ですので、ご興味のある方は参加してみてはいかがでしょうか。


この記事が気に入ったら、サポートをしてみませんか?
気軽にクリエイターの支援と、記事のオススメができます!
PLAID

CXプラットフォーム「KARTE」を運営するプレイドの公式アカウントです。企業の発信を中心に綴っていきます。

ありがとうございます❤️
CXプラットフォーム「KARTE」を提供するPLAIDの公式noteです。「PLAIDAYS」「PLAID's Engineer」「PLAID's Designer」の3つのマガジンを運営しています。