プライバシーデータ利活用に係る
法律・倫理面の対策

第2回 倫理観点での対策

2022年7月20日

昨近の企業間競争に打ち勝つためには、DX推進による新たなビジネスモデルの創出や革新的な製品・サービスの提供が必要であり、そのためには消費者のプライバシーデータの収集・分析が欠かせない。プライバシーデータの利活用にあたっては、個人情報保護法等への準拠が必要だが、昨近では倫理(プライバシーに対して消費者が抱く感情)への配慮も必要である。法には触れていないものの、倫理の軽視によりサービス停止に追い込まれた事例も多々あり、企業による対応は急務となっている。
今回のインサイトでは、企業がプライバシーデータの利活用を円滑に進めるための法律面・倫理面での対策を3回に分けて解説する。第1回では、企業が抑えておくべき倫理面での順守事項を解説した。今回は、倫理対応における効果と具体的な対策例について解説する。
 

倫理対策推進により法規制対応の不備・無理・無駄を抑制

倫理対策の推進により法規制対応に「先手」を講じる
個人情報保護法をはじめとした法規制対応には、企業のルール・プロセス・組織・システムの刷新等の一定の負荷が生じる。また、法規制対応は必須である一方、積極的かつ前広に検討を進めるのではなく、必要性に駆られた受動的対応が通常である。このため、法制対応と他案件とで余裕を持った整合調整ができず、他案件の延期・停止等の無用なコストが生じることがある。
法規制対応を前広に検討し、無用な調整コストを低減するためには、他社の倫理面での問題事例を分析し、そこから得られた教訓を自社の組織態勢に組み込むことが有効である。なぜなら、個人情報保護法の改正は、倫理面での問題事例の教訓もベースの1つとなっているからである。

倫理面での炎上事例が法規制につながったケース
以下に、個人情報保護法の改正につながったと考えられる倫理面での過去の炎上事例の一例を記載する。他社で発生した倫理面での炎上事例を収集し、教訓を活かし続ける組織態勢を構築することで、法改正対応に係る負荷や無断な調整コストを軽減できる。なお、具体的にどのような炎上事例が今後の法改正に繋がりそうかは、法律面・倫理面に精通した外部パートナーの知見を活用することが効率的である。

業界 事例 問題点 法律への義務・禁止事項の追加
運送 駅の店舗運営等の改善に役立てるために、乗客のSuica乗降履歴を収集し外部企業に提供(販売)し、当該外部企業にて分析を行っていた。 収集したデータからは個人を特定できる情報(氏名、電話番号、SuicaのID番号等)は除外または加工され、乗客が乗降した駅名・乗降日時、年齢・性別等のみが販売された(つまり個人情報ではなかった)。しかし、「プライバシー観点で配慮に欠ける」との批判が続出したため、Suica乗降履歴の第三者提供は停止となった。
  • 匿名加工情報作成時に、当該匿名加工情報に含まれる個人に関する情報を公開する義務の追加
  • 匿名加工情報を第三者へ提供する際に、第三者提供について公表・明示する義務の追加
個人 官報上に記載される破産者情報をGoogleマップ上で可視化するウェブサイトを開設した。 官報に記載されており誰でも閲覧可能な情報ではあったが、要配慮個人情報に対して広く検索性を高める行為であったため物議を醸し、最終的に当該サイトは閉鎖に追い込まれた。 個人情報の不適正利用の禁止に係る条項の追加(違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない)
通信 日本国内のデータセンターにある個人情報が中国関連企業の従業員からアクセス可能な状態だった。 中国関連企業の従業員から個人情報へアクセス可能であったことについて、利用者への十分な説明がなかった。また、利用者への十分な説明なしに、「トーク」に投稿された画像・動画・Keep等が韓国のデータセンターに保管されていることが判明し、批判につながった。 外国の第三者に個人情報を提供する際に、当該国の個人情報保護に関する制度、当該第三者が講ずる個人情報保護措置等を本人に提供する義務の追加
人材 前年度に対象企業へ応募した学生の行動履歴を分析したアルゴリズムを作成し、今年度応募した学生の内定辞退率を予測し、販売するサービスを提供していた。 内定辞退率の提供先企業で個人を特定可能であることを把握していたにも関わらず、提供元では(Cookieを使用していたため)個人を特定できないことを理由に、第三者提供に係る同意取得義務を回避していたため、批判につながった。 個人関連情報を第三者に提供する際に、提供先が同意取得義務を果たしていることを、提供元にて確認する義務の追加

プライバシーデータ利活用に係る倫理面での対策

「規範・法律」「プロセス」「人・組織」「テクノロジー」の観点でバランスの取れた対策が必要
倫理面での対策を推進するにあたっては、アビームコンサルティングの ABeam Security® で提唱している「規範・法律」「プロセス」「人・組織」「テクノロジー」の観点(図1)を網羅した対応が望ましい。

図1 ABeam Security® が提唱する情報セキュリティ対策における 4つの観点
(Security Quadrant)

図1  ABeam Security®  が提唱する情報セキュリティ対策における4つの観点(Security Quadrant)

1つでも観点に漏れがあると、下表の例のとおり対応効果が望めないばかりか、データ利活用の推進に悪影響を及ぼす恐れがある。

観点 問題例の内容
「プロセス」観点の欠如による問題例
  • 倫理面での順守事項をルール化し周知も徹底したが、サービス開発における倫理面でのチェックプロセスが欠落していたため、ルールの未順守が多発
「規範・法律」観点の欠如による問題例
  • サービス企画段階で倫理面での対応計画をチェックするプロセスを構築したが、ルールが未整備であったため、新規サービス企画時に倫理対応についての考慮が十分になされず、チェックにおける運用負荷が過大となる
「人・組織」観点の欠如による問題例
  • プライバシー保護に係る各種ルール・プロセス・システムは見直したが、根底に流れる考え方についての教育が不十分であったため、官僚主義やセクショナリズムが横行し、プライバシーデータ利活用に係るスピード感が喪失される
「テクノロジー」観点の欠如による問題例
  • プライバシー保護に係る各種ルール・プロセス・組織態勢は見直したが、技術的安全管理措置が不十分であったため、個人のプライバシーに関するデータが漏洩し、社会的批判を受ける

このように「規範・法律」「プロセス」「人・組織」「テクノロジー」の観点で漏れのない対策が必要である。下表に、当該4観点における倫理対策の具体例を記載する。

対応の観点 対応ポイント 対策具体例
規範・法律 新たなデータ利活用案件を企画するたびに、倫理面での順守事項が漏れなく対応されるよう、社内ルールやベストプラクティスに明記
  • 個人情報には該当しなくても、収集・第三者提供により不快感を抱かれる可能性があるデータ(個人を特定できない位置情報など)であれば、収集・第三者提供に関し利用者へ十分に説明すべきである旨、社内スタンダードに明記。
  • 匿名加工情報の作成・提供について自社ホームページ等で公表する際は、可能な限り利用者のメリットや公共性を訴求すべきである旨、社内スタンダードに明記。
  • スマホアプリの開発において、利用者に対して要求する権限は、サービス提供に最低限必要なものに留める必要がある旨、開発標準等に明記。
  • 個人データを海外事業者に移転(または海外データセンタに保管)する場合、移転先の国によっては、利用者へ同意を求める行為自体が批判に繋がる可能性がある旨、社内スタンダードに明記。
    ※例:非友好国、行き過ぎたガバメントアクセスのある国
プロセス データ利活用を進めるにあたり、規範・法律に記載されている倫理面での順守事項を事前に確認するプロセスを導入
  • プライバシーデータ利活用の起案段階で、法規制のみでなく倫理面での対応計画が考慮されていることをチェックするプロセスを導入
  • 開発中サービスのテスト観点に、「個人のプライバシーデータの収集や公開に関わる機能はデフォルトで無効化されていること」「収集するデータの実態と、プライバシーポリシーの記載が一致していること」を確認する観点を追加
  • プライバシーポリシーやサービス利用規約等を公表する前に、「記載と実態の整合性」「誤解無く理解されるか」等の観点で確認するプロセスを導入
人・組織 策定したルール・プロセスについての教育、および関係者の責任・権限を明確化
  • 倫理観点でのチェックプロセスの運用が定着するよう関係者への周知・教育を実施。教育に当たり、運用手順やフローの説明のみでなく、消費者倫理の軽視がサービス閉鎖やブランド棄損につながるリスクがある旨も盛り込む
  • プライバシーデータの収集・分析・第三者提供、ならびに各種レビュープロセス等において、関連部署・チームの役割・責任・権限を合意し、文書化
テクノロジー プライバシー保護に掛かる機能の検討・実装
  • 個人情報やプライバシーデータの保管箇所の見える化
  • プライバシーデータの収集・公開に関わる機能を有効化した際に、丁寧にそのリスク(自分のデータが公開されてしまう等)を説明する機能の実装
  • 個人情報に該当しないデータであっても、収集されること自体に嫌悪感を抱かれる可能性があるデータ(単体では個人情報とならない位置情報等)に対する技術的な安全管理措置

個人情報保護法の改正起因となるもう一つの観点

海外で先行するプライバシー保護関連法規制
本インサイトの前半では、個人情報保護法の改正は倫理面での問題事例の教訓もベースの1つとなっていることを述べた。もう1つ、個人情報保護法の改正に影響を与えるのが、海外で先行しているプライバシー保護関連法規制(特に他国の個人情報保護関連法規制の参照となる欧州のGDPR、米国カリフォルニア州のCCPA)である。

欧州ではもともと「プライバシーは人権の1つ」と考えられており、例えば個人データの域外移転や漏洩時の当局報告等、日本より厳しい規定・罰則を設けている。米国カリフォルニア州でも、「消費者が自身の個人データを管理するための権利」を重要視しており、特に個人データの開示・削除請求に係る日本より詳細な規定・厳しい罰則を設けている。

日本の個人情報保護法も、これらの観点を参考にしている部分があるため、海外で先行する法規制の情報を収集し自社の体制強化に活かすことで、将来的な個人情報保護法の改正対応に係る無用なコストの軽減が可能となる。下表に、個人情報保護法がGDPR・CCPAを参考にしたと考えられる観点の一例を示す。

海外法規制 個人情報保護法に影響したと考えられる観点例
CCPA
  • 消費者による個人データ開示請求に関し、本人が指定した方法(書面、電磁的記録)で情報開示を行う義務
  • 消費者による個人データの利用停止・消去を請求可能な要件が緩和(事業者側が当該個人データを利用する必要がなくなった場合、漏洩した場合、個人の権利利益が害される恐れがある場合等)
GDPR
  • 一定条件を満たした国(十分制認定を受けた国等)以外へは、個人データの越境移転は原則禁止
  • 個人情報保護法の域外適用(外国事業者が本人から個人情報を取得した場合や、第三者から取得した場合に、当該外国事業者も日本の個人情報保護法の義務が適用される)
  • 個人データの漏洩等が発生し、個人の権利利益を害する恐れがあるときは、漏洩したデータの項目、被害者数、発生原因、対応措置実施状況等について概ね3~5日以内に個人情報保護委員会へ報告する義務

まとめ

プライバシーデータの利活用に必要な倫理対応は、「規範・法律」「プロセス」「人・組織」「テクノロジー」でバランスの取れた対応が必要であり、1つでも観点が欠如すると望ましい効果が得られない。また、倫理対応の推進は、ブランド棄損リスクの低減だけでなく、将来的な法改正対応に係る無用な調整コストの低減にもつながる。個人情報保護法の改正対応に活かすという意味では、海外で先行するプライバシー関連法規制も同様である。

本インサイトの第1回と第2回(今回)では、プライバシーデータの利活用に必要な倫理面での対策について解説してきた。最終回となる第3回では、法律面の対応について解説する。日本の個人情報保護法への対応ポイントついては、「改正個人情報保護法の対応ポイント」第1回第2回第3回で解説済みであるため、第3回では、グローバルでのデータ利活用推進する上で整理が必要となる、海外の個人情報保護関連法規制を解説する。

関連ページ

page top