プライバシーデータ利活用に係る
法律・倫理面の対策
第2回 倫理観点での対策
2022年7月20日
昨近の企業間競争に打ち勝つためには、DX推進による新たなビジネスモデルの創出や革新的な製品・サービスの提供が必要であり、そのためには消費者のプライバシーデータの収集・分析が欠かせない。プライバシーデータの利活用にあたっては、個人情報保護法等への準拠が必要だが、昨近では倫理(プライバシーに対して消費者が抱く感情)への配慮も必要である。法には触れていないものの、倫理の軽視によりサービス停止に追い込まれた事例も多々あり、企業による対応は急務となっている。
今回のインサイトでは、企業がプライバシーデータの利活用を円滑に進めるための法律面・倫理面での対策を3回に分けて解説する。第1回では、企業が抑えておくべき倫理面での順守事項を解説した。今回は、倫理対応における効果と具体的な対策例について解説する。
倫理対策推進により法規制対応の不備・無理・無駄を抑制
倫理対策の推進により法規制対応に「先手」を講じる
個人情報保護法をはじめとした法規制対応には、企業のルール・プロセス・組織・システムの刷新等の一定の負荷が生じる。また、法規制対応は必須である一方、積極的かつ前広に検討を進めるのではなく、必要性に駆られた受動的対応が通常である。このため、法制対応と他案件とで余裕を持った整合調整ができず、他案件の延期・停止等の無用なコストが生じることがある。
法規制対応を前広に検討し、無用な調整コストを低減するためには、他社の倫理面での問題事例を分析し、そこから得られた教訓を自社の組織態勢に組み込むことが有効である。なぜなら、個人情報保護法の改正は、倫理面での問題事例の教訓もベースの1つとなっているからである。
倫理面での炎上事例が法規制につながったケース
以下に、個人情報保護法の改正につながったと考えられる倫理面での過去の炎上事例の一例を記載する。他社で発生した倫理面での炎上事例を収集し、教訓を活かし続ける組織態勢を構築することで、法改正対応に係る負荷や無断な調整コストを軽減できる。なお、具体的にどのような炎上事例が今後の法改正に繋がりそうかは、法律面・倫理面に精通した外部パートナーの知見を活用することが効率的である。
業界 | 事例 | 問題点 | 法律への義務・禁止事項の追加 |
運送 | 駅の店舗運営等の改善に役立てるために、乗客のSuica乗降履歴を収集し外部企業に提供(販売)し、当該外部企業にて分析を行っていた。 | 収集したデータからは個人を特定できる情報(氏名、電話番号、SuicaのID番号等)は除外または加工され、乗客が乗降した駅名・乗降日時、年齢・性別等のみが販売された(つまり個人情報ではなかった)。しかし、「プライバシー観点で配慮に欠ける」との批判が続出したため、Suica乗降履歴の第三者提供は停止となった。 |
|
個人 | 官報上に記載される破産者情報をGoogleマップ上で可視化するウェブサイトを開設した。 | 官報に記載されており誰でも閲覧可能な情報ではあったが、要配慮個人情報に対して広く検索性を高める行為であったため物議を醸し、最終的に当該サイトは閉鎖に追い込まれた。 | 個人情報の不適正利用の禁止に係る条項の追加(違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない) |
通信 | 日本国内のデータセンターにある個人情報が中国関連企業の従業員からアクセス可能な状態だった。 | 中国関連企業の従業員から個人情報へアクセス可能であったことについて、利用者への十分な説明がなかった。また、利用者への十分な説明なしに、「トーク」に投稿された画像・動画・Keep等が韓国のデータセンターに保管されていることが判明し、批判につながった。 | 外国の第三者に個人情報を提供する際に、当該国の個人情報保護に関する制度、当該第三者が講ずる個人情報保護措置等を本人に提供する義務の追加 |
人材 | 前年度に対象企業へ応募した学生の行動履歴を分析したアルゴリズムを作成し、今年度応募した学生の内定辞退率を予測し、販売するサービスを提供していた。 | 内定辞退率の提供先企業で個人を特定可能であることを把握していたにも関わらず、提供元では(Cookieを使用していたため)個人を特定できないことを理由に、第三者提供に係る同意取得義務を回避していたため、批判につながった。 | 個人関連情報を第三者に提供する際に、提供先が同意取得義務を果たしていることを、提供元にて確認する義務の追加 |
プライバシーデータ利活用に係る倫理面での対策
「規範・法律」「プロセス」「人・組織」「テクノロジー」の観点でバランスの取れた対策が必要
倫理面での対策を推進するにあたっては、アビームコンサルティングの ABeam Security® で提唱している「規範・法律」「プロセス」「人・組織」「テクノロジー」の観点(図1)を網羅した対応が望ましい。
図1 ABeam Security® が提唱する情報セキュリティ対策における 4つの観点
(Security Quadrant)
1つでも観点に漏れがあると、下表の例のとおり対応効果が望めないばかりか、データ利活用の推進に悪影響を及ぼす恐れがある。
観点 | 問題例の内容 |
「プロセス」観点の欠如による問題例 |
|
「規範・法律」観点の欠如による問題例 |
|
「人・組織」観点の欠如による問題例 |
|
「テクノロジー」観点の欠如による問題例 |
|
このように「規範・法律」「プロセス」「人・組織」「テクノロジー」の観点で漏れのない対策が必要である。下表に、当該4観点における倫理対策の具体例を記載する。
対応の観点 | 対応ポイント | 対策具体例 |
規範・法律 | 新たなデータ利活用案件を企画するたびに、倫理面での順守事項が漏れなく対応されるよう、社内ルールやベストプラクティスに明記 |
|
プロセス | データ利活用を進めるにあたり、規範・法律に記載されている倫理面での順守事項を事前に確認するプロセスを導入 |
|
人・組織 | 策定したルール・プロセスについての教育、および関係者の責任・権限を明確化 |
|
テクノロジー | プライバシー保護に掛かる機能の検討・実装 |
|
個人情報保護法の改正起因となるもう一つの観点
海外で先行するプライバシー保護関連法規制
本インサイトの前半では、個人情報保護法の改正は倫理面での問題事例の教訓もベースの1つとなっていることを述べた。もう1つ、個人情報保護法の改正に影響を与えるのが、海外で先行しているプライバシー保護関連法規制(特に他国の個人情報保護関連法規制の参照となる欧州のGDPR、米国カリフォルニア州のCCPA)である。
欧州ではもともと「プライバシーは人権の1つ」と考えられており、例えば個人データの域外移転や漏洩時の当局報告等、日本より厳しい規定・罰則を設けている。米国カリフォルニア州でも、「消費者が自身の個人データを管理するための権利」を重要視しており、特に個人データの開示・削除請求に係る日本より詳細な規定・厳しい罰則を設けている。
日本の個人情報保護法も、これらの観点を参考にしている部分があるため、海外で先行する法規制の情報を収集し自社の体制強化に活かすことで、将来的な個人情報保護法の改正対応に係る無用なコストの軽減が可能となる。下表に、個人情報保護法がGDPR・CCPAを参考にしたと考えられる観点の一例を示す。
海外法規制 | 個人情報保護法に影響したと考えられる観点例 |
CCPA |
|
GDPR |
|
まとめ
プライバシーデータの利活用に必要な倫理対応は、「規範・法律」「プロセス」「人・組織」「テクノロジー」でバランスの取れた対応が必要であり、1つでも観点が欠如すると望ましい効果が得られない。また、倫理対応の推進は、ブランド棄損リスクの低減だけでなく、将来的な法改正対応に係る無用な調整コストの低減にもつながる。個人情報保護法の改正対応に活かすという意味では、海外で先行するプライバシー関連法規制も同様である。
本インサイトの第1回と第2回(今回)では、プライバシーデータの利活用に必要な倫理面での対策について解説してきた。最終回となる第3回では、法律面の対応について解説する。日本の個人情報保護法への対応ポイントついては、「改正個人情報保護法の対応ポイント」第1回、第2回、第3回で解説済みであるため、第3回では、グローバルでのデータ利活用推進する上で整理が必要となる、海外の個人情報保護関連法規制を解説する。
関連ページ
- 【インサイト】プライバシーデータ利活用に係る法律・倫理面の対策 第3回 世界各国におけるプライバシー関連法規制の最新動向
- 【インサイト】プライバシーデータ利活用に係る法律・倫理面の対策 第1回 倫理観点での順守事項
- 【サービス】セキュリティ
- 【サービス】ABeam Security® プライバシーデータ利活用セキュリティ評価
- 【インサイト】改正個人情報保護法の対応ポイント第1回 法改正の変更点と企業が対応すべき事項とは
- 【インサイト】改正個人情報保護法の対応ポイント第2回 仮名加工情報に関して企業が対応すべき事項とは
- 【インサイト】改正個人情報保護法の対応ポイント第3回 個人データの越境移転に関して企業が対応すべき事項とは
- 【サービス】ABeam Security® プライバシー法対応評価と対策支援サービス
- 【インサイト】DX推進に潜む新たなプライバシー関連リスクと企業が対応すべきファーストステップ
- 【インサイト】「California Consumer Privacy Act -CCPA- 要点と対応の勘所」