総務省・経済産業省 「DX時代における企業のプライバシーガバナンスガイドブックver1.0」を公表

こんにちは、丸山満彦です。

総務省と経済産業省が「DX時代における企業のプライバシーガバナンスガイドブックver1.0」を公表しましたね。。。

佐藤先生、板倉先生、宍戸先生、高橋さん、日置先生、森先生、高橋さん、イエラエの林さん、Big4系ではPwCからは平岩さんが関与されていますね。。。

● 総務省

・2020.08.28「DX時代における企業のプライバシーガバナンスガイドブックver1.0」の公表

2．公表資料

・別紙1 「DX時代における企業のプライバシーガバナンスガイドブックver1.0」
・別紙2 「DX時代における企業のプライバシーガバナンスガイドブックver1.0概要」

 

● 経済産業省

・2020.08.28 「DX時代における企業のプライバシーガバナンスガイドブックver1.0」を策定しました

参考資料

• [PDF] DX時代における企業のプライバシーガバナンスガイドブックver1.0
• [PDF] DX時代における企業のプライバシーガバナンスガイドブックver1.0概要
• [PDF] 意見募集の結果と御意見に対する考え方

---

 

目次

1. 本ガイドブックの位置づけ

2. ガイドブックの前提
2.1. Society5.0 と企業の役割
2.2. プライバシーの考え方
2.3. 企業のプライバシーガバナンスの重要性

3. 経営者が取り組むべき三要件
3.1. プライバシーガバナンスに係る姿勢の明文化
3.2. プライバシー保護責任者の指名
3.3. プライバシーへの取組に対するリソースの投入

4. プライバシーガバナンスの重要項目
4.1. 体制の構築
 4.1.1. プライバシー保護責任者の役割
 4.1.2. プライバシー保護組織の役割
 4.1.3. 事業部門の役割
 4.1.4 内部監査部門やアドバイザリーボードなどの第三者的組織の役割
4.2. 運用ルールの策定と周知
4.3. 企業内のプライバシーに係る文化の醸成
4.4. 消費者とのコミュニケーション
 4.4.1. 組織の取組の公表、広報
 4.4.2. 消費者との継続的なコミュニケーション
 4.4.3. 問題発生時の消費者とのコミュニケーション
4.5. その他のステークホルダーとのコミュニケーション
 4.5.1. ステークホルダーへの対応
 4.5.2. プライバシー問題の情報収集
 4.5.3. その他の取組

5. （参考）プライバシーリスク対応の考え方
5.1. 関係者と取り扱うパーソナルデータの特定とライフサイクルの整理
5.2. プライバシーリスクの特定（プライバシー問題の洗い出し）
5.3. プライバシー影響評価（PIA）

6. （参考）プライバシー・バイ・デザイン

7. おわりに

参考文献

検討体制

---

■ 報道等

● DataGuidance
・2020.08.28 Japan: METI releases corporate privacy governance guidebook

 

本ガイドブックの位置づけサイバー空間とフィジカル空間が高度に融合された人間中心の社会であるSociety5.0 の実現に向けて、企業は、データの利活用によるイノベーションを創出し、サービス・製品の高度化を通じて、経済成長と社会課題の解決を進める中心的な役割を担っている。

パーソナルデータ 1を利活用する分野においては、イノベーションの創出による社会課題の解決とともに、プライバシー保護への要請が高まっている。この要請に対し、企業は、消費者のプライバシーを可能な限り守ること、その姿勢を貫くことにより、消費者からの信頼の獲得につなげることが、企業のビジネスにおける優位性をもたらしうる。本ガイドブックは、新たな事業にチャレンジしようとする企業が、プライバシーに関わる問題について能動的に取組み、ひいては新たな事業の円滑な実施に不可欠である信頼の獲得につながるプライバシーガバナンスの構築に向けて、まず取り組むべきことをまとめたものである。

本ガイドブックは、とりわけパーソナルデータを利活用して、消費者へ製品・サービスを提供する中で、消費者のプライバシーへの配慮を消費者から直接的に迫られることが想定される企業や、そのような企業と取引をしているベンダー企業等を対象としている。

また、それら企業の中でも、以下のようなポジションの方々を主な読者として想定している。

• データ利活用やデータ保護のガバナンスに携わる企業の経営者または経営者へ提案できるポジションにいる管理職等
• データの利活用や保護に係る事柄を総合的に管理する部門の責任者・担当者など

また、活用方法としては、以下のような活用シーンを想定している。

・企業がデジタル・トランスフォーメーション（DX）を推進する等、大きな方向転換となる意思決定がなされたとき（大きな社会環境の変化等に伴い、デジタル技術を活用して、業務そのものや、組織、プロセス、企業文化・風土を変革するなど）

• 消費者へのプライバシーへの影響が大きいと想定されるプロジェクトの検討を開始するとき
• 経営者または株主、投資家、親会社等の関係者から、プライバシーに関わる問題への対応強化を求められたとき
• 経営者に対し、プライバシー保護に配慮した体制構築の強化を求めたい（適切な経営資源の配分を要請する）とき
• 自社や業界内等において、パーソナルデータの利活用がプライバシーに関わる問題として批判を浴びるような懸念（いわゆる炎上等）を生じさせたとき2 など上記は、本ガイドブックを手に取るきっかけとなるよう例示したものであり、関心をお持ちの方は広く参照していただきたい 3。

本ガイドブックの内容は、法的義務についても部分的に紹介しているが、個々の具体例については、企業の規模やリソースに応じた適用が認められるものであり、個々の企業の状況に応じて柔軟に利用されたい。

なお、プライバシーが意味するもの、あるいはプライバシーに関して起こり得る影響は、後述のとおり「変化する」という特徴を有することから、今後も本ガイドブックは、社会の動向を適切に踏まえながら更新を行っていくものである。

-----

1 パーソナルデータとは、個人情報保護法の個人情報だけではなく、個人に関連するあらゆる情報を指す。

2 ただし、本ガイドブックではいわゆる「炎上」後の対応方法に言及しているわけではない。

3 プライバシー問題は、企業規模に関わらず、生じうるものである。パーソナルデータを扱う 中小企業やベンチャー企業においては、体制構築など、同じように実施することが難しい点が 含まれるが、考え方や留意事項について、本ガイドブックを参照されたい。