連載第1回では、DX(デジタルトランスフォーメーション)を進めるにはプライバシーガバナンスが不可欠であり、「プライバシー保護組織」の新設が重要であることを示した。今回は、「プライバシー保護組織」の具体的な実現手法を考えていく。

「プライバシー保護組織」のありかたは企業によって異なるが、事業の現場スタッフと一緒になって考えるようにするのが望ましい(写真/Shutterstock)
「プライバシー保護組織」のありかたは企業によって異なるが、事業の現場スタッフと一緒になって考えるようにするのが望ましい(写真/Shutterstock)

前回はこちら

 企業がプライバシーガバナンスに実効性を持たせるには、既存の情報セキュリティー対策の延長で対処するのではなく、「プライバシー保護組織」を新たに設置して、そこを核としながら、プライバシー保護を恒常的な活動として企業に定着させていくことが重要だ(参考記事:「あなたの会社にありますか? DXに必須『プライバシー保護組織』」)。ではプライバシー保護責任者を誰に任せ、組織のどこに位置づけ、どのような役割を担わせ、どういった人材を配置していけば、「プライバシー保護組織」は機能するのか──。

プライバシー保護責任者は誰が担うのか

 国のガイドブック*1で示されたプライバシー保護体制では、経営者がプライバシー保護責任者を指名し、同責任者のもとでプライバシー保護組織が事業部と関わりながら活動するという構図になっている(図1)。

図1 国のガイドブックで示されたプライバシー保護体制のイメージ
図1 国のガイドブックで示されたプライバシー保護体制のイメージ
出所/企業のプライバシーガバナンスモデル検討会(総務省/経済産業省)「DX時代における企業のプライバシーガバナンスガイドブックver.1.0」(2020年8月)

 多くの企業が、個人情報保護や情報セキュリティー対策の責任者を指名している。そのため、関連する知見を有するこれらの担当役員を、プライバシー保護責任者として任命するのがよいと考える向きもあるかもしれない。

 しかし、個人情報保護責任者をコンプライアンス担当役員が兼務する場合、利用者のデータを活用して製品・サービスを便利にしていきたいという事業部門の戦略を理解して受けとめることができない可能性がある。また、情報セキュリティー担当役員が兼務する場合、情報資産の保護や、インシデント時の対応ばかりに関心が向けられてしまいがちである。

 経営戦略としてDXを位置づけ、製品・サービスをより良いものとしていくためにパーソナルデータを活用していくのであれば、データの提供主体である利用者と正面から向き合って、自ら判断を下すことのできる人材を、プライバシー保護責任者として指名することが重要である。

有料会員になると全記事をお読みいただけるのはもちろん
  • ①2000以上の先進事例を探せるデータベース
  • ②未来の出来事を把握し消費を予測「未来消費カレンダー」
  • ③日経トレンディ、日経デザイン最新号もデジタルで読める
  • ④スキルアップに役立つ最新動画セミナー
ほか、使えるサービスが盛りだくさんです。<有料会員の詳細はこちら>