ポスト2027年の基幹システム

プライバシーガバナンス
~DX推進におけるプライバシーリスクとの向き合い方~

ITやDXの進化に伴い、個人情報保護だけでなくプライバシー保護の取り組みに対する関心が高くなっています。個人情報保護法に関するインシデントは企業において大きなダメージにつながるリスクがあり既に対策を実施していることと思います。
一方、世の中のニーズとして個人情報保護法よりも範囲を拡げたプライバシー保護の取り組み強化を求める動きが加速しています。先進ITを活用したDXの推進においては、利用者からお預かりしているプライバシー情報を活かし利用者への付加価値を還元することによりビジネスと利用者ニーズとの好循環、よりよい関係を構築することを目指すケースが多いのではないかと思います。
 
そこでDX推進における先進ITの活用、例えばChatGPTなどに代表される生成AIや大規模言語モデル(LLM)に潜むプライバシーリスクを確認するとともに、企業として積極的にプライバシーの保護に取り組むために経営が主体となり推進するプライバシーガバナンスの取り組み、更にはプライバシー・バイ・デザイン(プライバシー・バイ・デフォルト)による新規事業や新システムの企画/構想段階からプライバシー保護に取り組むメリットについてご紹介して参ります。

近年の個人情報をめぐる論点

ここ数年で、ITやDXの進化に伴い、個人情報漏洩や搾取に関する事故の被害規模や影響が拡大しており、個人情報保護やプライバシー保護の問題への注目度が増大しています。また、最近の対話型AIなどから不慮の個人情報流出などの懸念も示されており、企業ではその対策に迫られる状況となっています。
以下にいくつか具体例を挙げておきます。

2014年に、米国の大手小売業者Targetが顧客データの不正アクセスにより、約4,000万人のクレジットカード情報が流出しました。また、2018年に発生したFacebookの個人情報流出事件では、8,700万人の利用者情報を英国のケンブリッジ・アナリティカが不正に取得し政治活動や選挙キャンペーンに使用したとされ報道されました。この事件は、個人情報保護の重要性を再認識し、企業が顧客の個人情報を適切に保護する責任を持つ必要性を浮き彫りにしました。

次に近年のAI普及における問題点をあげて行きます。
対話型AIの普及により、個人情報や企業の機密情報を入力したりアップロードしたりすると、そのデータが学習データとして利用され他の第三者に開示されるリスクがあることに懸念を示す声が大きくなっています。AIがこれらの入力された情報を適切に保護するかどうかについて懸念され、例えば、音声アシスタントが会話内容を記録し、それが第三者に漏洩する可能性があるという問題などもその一つと言えます。EUの個人情報保護法であるGDPR(一般データ保護規則)では、AIなどによる自動化された判断に異議を唱える権利(個人情報のデータ主体の権利)が定められており、対応によっては人の介在までも求めることなど、AIによる処理の懸念への対応を示すものとなっています。

プライバシー保護の拡大:
世の中のトレンドとして、個人情報保護法の規制への対応だけでなく、プライバシー保護の対応が重要視されるようになってきました。これは、個人情報保護だけでなく、個人のプライバシーを尊重することが求められる社会的な動向の変化を反映しています。タブレットやスマホなどの個人による携帯情報端末の世界的な普及もあり、端末のアプリへのプライバシー情報の蓄積が進んだため、人々は自身のプライバシーが尊重されることを期待し、企業や組織に対してプライバシー保護の取り組みを従来にも増して強く求めるようになってきたことが考えられます。

【図1】プライバシー保護の観点で考慮すべき範囲と体制構築の必要性

別紙2「DX時代における企業のプライバシーガバナンスガイドブックver1.3概要」PDF(P.2)

個人情報保護の歴史

現代世界におけるプライバシー保護の歴史について少し確認しておきます。
1980年に OECD(経済協力開発機構)の理事会は『プライバシー保護と個人データの国際流通についてのガイドラインに関する理事会勧告』を採択しました。当時、コンピュータとネットワークの技術革新により大量データを処理し伝送することが可能となり、更にその後のインターネットの普及により個人情報が国を超えて流通することになったのですが、そうした中で個人のプライバシー保護の重要性に言及したガイドラインとなります。OECDプライバシーガイドラインは8項目の原則から構成されます。「収集制限の原則」、「データ内容の原則」、「目的明確化の原則」、「利用制限の原則」、「安全保護の原則」、「公開の原則」、「個人参加の原則」、「責任の原則」の8原則から成り、この原則がその後の各国の個人情報保護やプライバシー保護に関する法律の基本原則としてその骨格をなすものとなっています。

(引用)【OECD】その2:OECDガイドライン~規範となる8つの原則~
「一般財団法人日本情報経済社会推進協会(英文名称:JIPDEC)」プライバシーマーク制度講座

1980年当時は、個人情報保護法が整備されている国も少なく、また法律の骨格も異なるものであったため、そのフレームワークの基礎を定めたガイドラインでもあります。プライバシー保護が求める本質は、その当事者である全ての人の権利と自由、そしてそれぞれの個人情報の保護に関する権利の保護が底流にあり、最近施行されたEUの個人情報保護法であるGDPR(一般データ保護規則:2018年5月施行)においても、冒頭に宣言されています。(第一条二項に「本規則は、自然人の基本的な権利及び自由、並びに、特に、自然人の個人データの保護の権利を保護する。」)

(引用)GDPR(EU一般データ保護規則)仮訳(JIPDEC:一般財団法人日本情報経済社会推進協会)

海外の個人情報保護法における規制の留意点

GDPRにおける、法律の規制についてその特徴として注目する必要があるポイントとして法律のEU域外適用、EU域外へのデータ移転の規制強化があげられます。GDPR以降、日本の改正個人情報保護法、米国州法をはじめ各国に類似の規制が反映され始めており、個人情報の国際流通に関する規制が一層強化されることになりました。日本でもDX(デジタルトランスフォーメーション)の推進において、国外のSaaSサービスの利用やクラウド利用により国外のデータセンターや国外の委託先にデータの取り扱いを依頼することも増加しており、注意が必要なことは周知のことと思います。

GDPRにおいては他にも、プライバシー保護に関する特徴的な規制が盛り込まれ、世界の個人情報保護、プライバシー保護の先駆けとなっていますので、その幾つかを確認して行きましょう。

  • PIA(Privacy Impact Assessment)の実施(GDPRではData Protection Impact Assessment)
    個人情報の当事者本人に高リスクの影響(その利用により本人にとって重大な影響)を生じさせる可能性がある場合、企業など管理者は事前に個人データ保護への影響評価を(DPIA)実施しなければならない。
  • DPO(Data Protection Officer)の設置
    個人情報を大規模に定期的かつ系統的な監視を必要とする取り扱い作業を行う場合、DPOの設置を義務付けている。なお、DPOは企業など管理者からその業務の遂行に影響するような指図を受けないことを定めており、独立性の高い助言や指摘を企業など管理者に対して行えることをGDPRにおいては重要視している。
  • 異議を唱える権利及び個人に対する自動化された意思決定、プロファイリングを含む自動化された個人意思決定

    プロファイリングを含む個人情報の取り扱いに異議を唱える権利を定めている。また、個人情報の当事者本人に重大な影響を生じさせるプロファイリングなどの自動化された意思決定(取り扱い)のみに基づいた決定に異議を申し立てる権利を定めており、企業は透明性と説明責任を適切に果たし、必要な場合には人が介入することを重要視している。AIなどによる個人のプロファイリングとそのプロファイリング結果から、例えば保険の加入に関する申し込みを受け付けないことなどが該当例と考えられる。

DXの推進において留意するべきこと

DX(デジタルトランスフォーメーション)の推進において、SaaSサービスやクラウド利用により国外に個人情報やプライバシー情報を移転する可能性が増大していることは既に触れました。
DXの推進においてはデータ活用も重要視されており、例えば分析用のデータレイクに社内にあるデータを集めて格納してしまう、こんなことはあってはならないし起こりえないことではありますが、万が一にそうした場合には個人情報の目的外利用(同意の範囲外利用)や匿名化した個人情報を他の情報と組み合わせることで再識別化し個人を特定可能となり安全管理措置の効力が失われてしまうなどの問題が発生する懸念があります。

更に、DXにおいては先進テクノロジーである対話型AIチャット、ChatGPTに代表される生成AIや大規模言語モデル(LLM)の導入において多くの注意喚起がなされています。生成された情報やコンテンツが他者の知的財産権(著作権や特許権)などを知らずに侵害してしまうリスクがあること。個人情報やプライバシー情報の観点では、個人情報や機密情報を入力(アップロード)したりするとそのデータが学習データとして他者に表示、開示されてしまうリスクについては先に触れたとおりです。
一方前述のGDPRにあるように、プロファイリングを含む自動化された個人に対する意思決定に異議を唱える権利が示すように、AIを用いた個人のプライバシー情報をもとに何らかの自動的な処理だけで例えば保険の加入枠を制限したり、就職活動の機会を排除したりして、そのうえで提出された異議に従わない場合、GDPRにおいては違反と見做されるリスクがあることにも注意が必要です。

こうした背景を踏まえ、日本においても企業に対して政府がプライバシーガバナンスの強化を求め、ガイドラインを公表しています。大規模なプライバシー情報を取り扱い且つグローバルにビジネスを展開する企業においては高い関心事であり、既に独自にその取り組みを進めている企業も少なくありません。

プライバシーガバナンスとは

前項のようなリスクを避けるために、企業においては従来以上にプライバシー保護の重要性が増していることから、総務省および経済産業省が提供するガイドブック「DX時代における企業のプライバシーガバナンスガイドブック」が参考になります。企業の経営者が中核となりプライバシー保護をコンプライアンス問題として捉え企業全体でのプライバシー保護の取り組みを推進することを、ビジネスにおいてプライバシー情報を取扱う企業の経営者や経営者に提言できる管理職、そしてデータの利活用や保護に係る事柄を総合的に管理する部門の責任者・担当者に対してガイドブックの内容を理解し対応することを提唱しています。

———(以下、「本ガイドブックの位置づけ」からの抜粋)

パーソナルデータを利活用する分野においては、イノベーションの創出による社会課題の解決等へ期待が寄せられる一方で、プライバシーに対する配慮への要請も高まっている。この要請に対して、企業は、パーソナルデータ利活用に対する消費者の意識や不安、消費者が求めている情報や取組等について理解し、その実態を把握した上で、消費者のプライバシーを守る姿勢を貫くことにより、消費者からの信頼や、企業のビジネスにおける優位性を獲得し得る。
本ガイドブックは、新たな事業にチャレンジしようとする企業が、プライバシーに関わる問題について能動的に取り組み、ひいては新たな事業の円滑な実施に不可欠である信頼の獲得につながるプライバシーガバナンスの構築に向けて、まず取り組むべきことをまとめたものである。
 

(引用)「DX時代における企業のプライバシーガバナンスガイドブックver1.3
総務省および経済産業省が提供するガイドブックとして、総務省ホームページに掲載

企業の経営者が取り組むべき3要件は以下の通り。

  • 要件1:プライバシーガバナンスに係る姿勢の明文化
  • 要件2:プライバシー保護責任者の指名
  • 要件3:プライバシーへの取組に対するリソースの投入

そして、プライバシーガバナンスの重要項目5項目は以下の通り。

  • 体制の構築(内部統制、プライバシー保護組織の設置、社外有識者との連携)
  • 運用ルールの策定と周知(運用を徹底するためのルールを策定、組織内への周知)
  • 企業内のプライバシーに係る文化の醸成(個々の従業員がプライバシー意識を持つよう企業文化を醸成)
  • 消費者とのコミュニケーション(組織の取組について普及・広報、消費者と継続的にコミュニケーション)
  • その他のステークホルダーとのコミュニケーション
    (ビジネスパートナー、グループ企業等、投資家・株主、行政機関、業界団体、従業員等とのコミュニケーション)

体制の構築においては、GDPRの規制に対応する必要がある企業において前述のDPO相当の役割を設置し、企業のプライバシー情報の取扱いに関する助言や指摘を中立的な立場から発言するケースも増加しているようです。

【図2】プライバシーガバナンス 経営者の取組み要件とガバナンスの重要事項

別紙2「DX時代における企業のプライバシーガバナンスガイドブックver1.3概要」PDF(P.3)

特に、経営者を中心とするプライバシー情報の取扱いに関するガバナンスを通じ、関連する組織のメンバーである一人ひとりが個人情報やプライバシー情報を預かっている意識、そしてそれを守ることが必然であるという意識を内在する文化として醸成することが重要であり、これを経営者自らが取り組むことを求めています。そのために、経営者自らが定期的な情報発信、そして関係者とのコミュニケーションを継続することが欠かせません。こうした文化や意識が企業内、組織内の醸成されることで、技術の変化や外部環境の変化、更には想定外の事態に対しても柔軟でレジリエンスのある行動が期待できると考えます。
更に、ガイドブックではDXの新規事業を立ち上げる段階からプライバシーガバナンスの対応を開始すること「プライバシー・バイ・デザイン(プライバシー・バイ・デフォルト)」を提唱しています。

以下にプライバシー・バイ・デザインのコンセプトについて触れて行きたいと思います。

プライバシー・バイ・デザインのコンセプト

(1)個人情報保護、プライバシー保護の後付けでの対応の課題、問題点
後付けでのプライバシー保護対策の問題点は、その多くの場合に人手による対策に終始することです。また、情報のハンドリングや保護のためのシステムの対策に工数(コスト)がかかってしまうこと、そして残念なことではありますが負のコストに見えてしまうことが大きな問題点と言えます。
プライバシーガバナンスをさらに推し進めるうえで有用なコンセプトとして、「プライバシー・バイ・デザイン」という考え方があります。以下にその概要と、プライバシー・バイ・デザインによるプロジェクトの進め方について整理して行きます。

(2)プライバシー・バイ・デザインによる取り組み
後付けではなく、新たな事業やシステム導入の企画/構想段階からプライバシーを確実に保護する仕組みを検討・計画し、お預かりしているプライバシー情報を活用したサービス提供による、ステークホルダー全体のポジティブサムをデザインすることをプライバシー・バイ・デザイン(プライバシー・バイ・デフォルト)と呼びます。言い換えると、企業側のリスク回避のみを目的とするのではなく、個人情報の提供元である本人・当事者(データ主体とも呼ぶ)、そしてそれを利用してサービスを付加価値として還元する企業側ともに安全かつ双方ともにメリットが得られるサイクルを構築することを最終目的とする考え方になります。
そしてさらに重要なことは、そこにコストをかける必要があることを関係者が意識し、計画段階から必要な予算を確保しておくなど考慮しておくことです。

【図3】プライバシー・バイ・デザイン 7つの原則

別紙2「DX時代における企業のプライバシーガバナンスガイドブックver1.3概要」PDF(P.12)

(参考情報)「プライバシー・バイ・デザイン」
カナダ・オンタリオ州の情報プライバシー・コミッショナーを担当したアン・カブキアン博士が1990年代に開発した概念であり、”Commissioner of Ontario”ウェブサイトに掲載。これを、2011年9月に堀部政男氏が翻訳したものが総務省のホームページに公開される。
Privacy by Design 7つの基本原則」(堀部政男氏(訳)、総務省パーソナルデータの利用・流通に関する研究会(第1回)参考資料7-2、2012年)

企画/構想、要件定義段階においてプライバシーポリシーや社内規程からアセスメントを実施し、事業やシステム全体のプライバシー保護およびプライバシーデータ利用の実装方法について検討して行きます。

以下のアセスメント項目をもとに、実装方法についての検討・計画化処置を行います。(抜粋、順不同)

【図4】プライバシー・バイ・デザインによる実行タスク一覧

これらの検討を企画/構想、要件定義段階だけでなく、プロジェクトにおいては大規模な仕様変更やスコープ変更が発生する際にも再確認を実施する必要があります。また、設計工程の終了段階や利用者への教育段階(業務マニュアルや操作マニュアルを整備、教育実施段階)においても再確認の意味で実施することが望ましく、計画通りにプライバシー保護の機能が実装され、また利用者が対処するべきことにも適切に反映できていることを確認することでプライバシー保護、プライバシー情報活用の安心・安全な遂行に寄与するものと考えます。

【図5】プライバシー・バイ・デザイン(PbD)実施タイミング

当社では、DXプロジェクト推進やシステム導入に際してPMOとしてその推進をご支援する取り組みを行っています。プライバシー保護に係る対応を企画/構想段階からご下命いただくことで、プライバシー・バイ・デザインを踏まえた上流段階でのプライバシーリスク対応のアセスメントから要件定義への検討テーマ設定、更には検討支援までのサポートを行うご支援も承ります。

この記事に興味をもったらメールで送信して共有! ×

この記事の執筆者

  • 平澤 理
    平澤 理
    DX事業部
    シニアマネージャー