プライバシーガバナンスが必要とされる理由

─ なぜいまプライバシーガバナンスが必要なのでしょうか。

佐藤　企業がビジネスで利活用するデータには、プライバシーに関わる情報もたくさん含まれています。個人情報保護法はプライバシーを間接的に保護するものであり、日本の個人情報保護法は世界の水準と比べると緩い。例えば欧州のGDPR（一般データ保護規則）や米国カリフォルニア州の法制度などと比べると、保護する情報の範囲が狭いのです。海外ではホームページを訪問したユーザーの接続情報が一時的に格納される仕組みであるクッキー（Cookie）をはじめ、さまざまな種類のパーソナルデータ^［1］を保護しますが、日本では限定的です。個人情報保護法だけではなく、それに上乗せする形で何をすべきか企業は考えなければいけない時代になっています。一方、企業にとってデータの利活用はビジネスに直結するため、放っておくとプライバシー情報をどんどん使う方向に行きかねず、歯止めをかける仕組みが求められます。
　その仕組みとして検討会が提示したのが、「プライバシーガバナンスガイドブック^［2］」です。これには、プライバシーを含むデータをどのように保護して利活用するか指針を示し、そのための体制を築いてほしいという意図があります。企業のなかにプライバシーに関わるデータの責任者を置き、人的、予算的なリソースを割くことを求めています。社内の視点だけでは不十分なため第三者委員会を設けたり、社会とコミュニケーションを取る体制を築いたりしてほしいと考えています。
　ただし、小さい企業でも導入しやすい最小限のセットを提供しました。社員の情報以外の個人情報は持っていない企業もたくさんあり、そうした企業も導入しやすい内容です。各企業の実状に合わせて実践してもらえばいいと思います。

「企業のプライバシーガバナンスガイドブック」の役割

─ データの利活用がプライバシー保護の観点からどこまで許されるか、企業が悩んでいるような状況はありますか。

土井　データを活用して利益を出そうという企業と、そうでない企業との間にはギャップがあると思います。前者の場合、国内ルールだけではなく、GDPRのような海外の仕組みにも対応しなければなりません。データの適切な保存やクラウドの利用の仕方なども考える必要があります。悩みは多いのではないでしょうか。
　コーポレートガバナンスや個人情報の保護など対応すべきことが次から次へと登場し、多くの企業はついていくのがやっとの状態かもしれません。プライバシーガバナンスについてもガイドブックが出たからといって、どれくらいの企業がそれに追随できるか、厳しい面があるでしょう。人的リソースのある大企業は信頼維持への意識があると思いますが、一方で、規模の小さい企業では、そもそも活用可能なデータが自社にあるのかどうかという認識も不十分かもしれません。そういう基本から考える必要があります。
　本来、リスクマネジメントとは、経営として生じ得る問題を「先読み」して備えることです。ところが日本では企業でも大学でも、何か事が起きたら後始末をするという「後追い」のリスクマネジメントになっています。大事なのはリスクマップをつくり、先読みのリスクマネジメントをすること。プライバシーガバナンスでも、ガイドブックに沿って対応することが企業経営のプラスになることを、企業に認識してもらうことが重要だと思います。

─「経営にプラス」という視点はガイドブックに反映されていますか。

日置　プライバシーガバナンスの取り組みは決してコストではなく、企業を強化するもの、競争力を高めるものというところまで持っていきたいとの思いがあります。トラスト（信頼）がない企業は、顧客から製品やサービスを選んでもらえず、取引先からは協業相手に選んでもらえないといった考え方です。スタートアップ企業の場合は、資金調達の可否に影響すると思います。
　企業における内部統制の議論では、情報セキュリティが対象であり、プライバシーは後手に回りがちです。「対応しなければ役員などが責任を問われますよ」と、ネガティブなキャンペーンをすることは可能ですが、それでは前向きなインセンティブになりません。今回のガイドブックは、企業価値を高めることを意図した内容になっています。

リスクの「回避」より、「低減」や「受容」を

─ 法令遵守だけでは足りず、より大きな枠組みが必要だということですか。

佐藤　個人情報は範囲が決まっていて、法令通りに対応すればいいけれど、プライバシーは主観によるところが大きく、範囲も広く曖昧になります。各企業が抱えるプライバシーに関わる情報がどんなものかを考えて、どう利用すべきか判断しなければなりません。プライバシーが個人情報と決定的に違うのは、事業者が独自に判断しないといけない範囲が格段に広いこと。そこをきちんと考える仕組みとしてプライバシーガバナンスを実践してほしいと思っています。
　ガイドブックでは、プライバシーリスクに注目し、対策をとるよう求めています。リスクというと、日本の企業は「回避」や「転換」を志向しがちですが、海外の企業は、データ利用のやり方でリスクを「低減」したり、消費者とのコミュニケーションを十分に取ることで既存のビジネスのまま消費者の理解を得る、つまり「受容」という方法を用います。日本の企業の志向が、ビジネスで海外企業に後れをとる遠因といえます。結果、データの利用を諦めたり、新型コロナウイルス対策では、研究のためにプライバシーに関する情報を制限なく利用すべきと主張するなど、トレードオフの考え方に陥りがちです。実際にはデータ利活用と保護を両立できる面もあるし、両立する方法を考えるのが研究者の務めでしょう。プライバシーガバナンスはその一助になるはずです。

日置　以前は法令遵守や炎上リスクへの対応が企業の関心事だったように思いますが、データの利活用が進み、DX（デジタルトランスフォーメーション）が社会のトレンドになるなかで、企業の関心が自社のトラストや消費者の評価へと拡大してきました。ガバナンス体制の強化はトラストの醸成に欠かせない要素です。問題が起きたとき、法務部門だけで解決できるとは限りませんし、事業部門が進める案件について法務部門がまったく知らず、それが社会で問題になることもあります。より広い視野を持てるプライバシーガバナンスへと関心が移ってきているように感じます。

指標化により企業価値を高めるツールへ

─ 取り組みを加速する上でヒントはありますか。

土井　かつて環境問題というと、排ガスや二酸化炭素（CO2）に直接関係する企業だけのものと捉えられていましたが、現在はカーボンニュートラルの達成を目標に、それはより多くの企業に関わるテーマになっています。ここで重要なのは「うちの会社では、ここまでやればカーボンニュートラルになる」というように、ある程度定量的な目標、KPI（重要業績評価指標）にできることです。例えば「蛍光灯をLEDに替えたらCO2がいくら減る」といった計算式を与えることができる。そういうレベルになれば、経営として立ち向かわなければならないものとなります。
　プライバシーガバナンスも同様に、データをどう扱えばいいかKPIのように指標化できれば、取り組みやすいのではないでしょうか。そうすれば、皆が自分たちが持つデータの取り扱い方について前向きに考えるはずです。
　経済安全保障の議論を背景に、従来は"良し"とされていた海外のクラウドを使ったデータ保存が許されなくなるといったことが起きています。過去につくったリスクマップでは対応できない状況です。例えば、コンサルティング会社がセキュリティと併せてプライバシーガバナンスを支援するという発想があってもいい。これは企業価値を高めるツールになると思います。環境分野のように、プライバシーもコンサル会社のビジネスになるような形になると、インセンティブが働きます。それができそうな会社を集めて研究してはどうでしょうか。

学術研究機関とプライバシーガバナンス

─ 学術研究機関や大学でもプライバシーガバナンスの考え方は重要ですね。

佐藤　かつてプライバシーに関わる情報を扱う研究は医学など一部の領域でした。しかし最近は情報学や社会学でもセンサーで人の動きを調べるなど、プライバシーや人に関わる情報を直接扱う場面が増えています。アカデミア全体としてプライバシーに関するさまざまな情報を使うようになっています。
　2021年の個人情報保護法の改正によって、個人情報の学術利用に関するルールがかなり変更されました。学術研究機関は自主規定を策定して公表することを求められ、学術利用でも個人の権利や利益を不当に侵害しないことが条件として課せられます。日本では、多くの研究機関が個人情報保護規定や倫理的な指針をつくり、基本的には研究を始める前に審査しますが、その審査で一度承認を得た後、研究の実施については監視が不十分でした。今後は企業と同様に、学術研究機関も自主規定や倫理指針がしっかり守られる体制をつくらなければなりません。ガイドブックは学術機関も使えるものとなっているはずです。

アカデミアでの体制構築における課題

─ ガバナンスの構築に向けて何らかの機運は見られますか。

土井　情報通信研究機構では、弁護士や専門家に入っていただきパーソナルデータの取り扱いに関する委員会を設置し、取り組む研究について毎回、意見をもらっています。そういう動きはあるものの、大学はまだ追いついていないでしょう。運営費交付金が減少するなかで、人的リソースの配分を含めて対応は容易ではありません。大きな大学となれば部門ごとの独自性が強く、トップダウンで物事を進めにくい事情もあります。これまでは学術利用ならデータ活用の自由度が高かった。そうした状況が変わってきていることへの再教育も十分になされていないのではないでしょうか。

佐藤　データを使い成果を生み出している研究者の立場から言えば、データ利用への制約は研究活動の阻害と同じです。「学問の自由を侵すのか」という声も聞こえてきます。しかし、学術研究におけるデータの自由な利用は、国民の皆さんの学術への期待に支えられてます。つまり、世の中に役立つ研究のためならデータ活用を認める、ということです。研究者が人々のデータを適切に扱わなかったり、データ利活用を自らの権利のように考えたら、国民の信頼を失い、研究活動はできなくなります。研究者は自らを律することが大切でしょう。
　NIIの研究倫理審査を6年間ほど担当していましたが、個人情報保護法や倫理的な観点からデータの取得・利用を制限することには強い反発があり、恨まれました。研究者が他の研究者のデータの取り扱いを審査する体制には限界もあります。NIIの研究倫理審査は丁寧に実施しており、問題があれば実行を認めませんが、今後データの利活用が増える状況を考えると、相応のコストと手間を割いて組織としてプライバシーガバナンスを構築する必要があるだろうと思っています。

日置　大学は全学一律でのコントロールは行いにくく、問題への対応は学部ごと、セクションごとになりがちです。医学部のなかでも、医学の進展のためになぜデータ活用ができないのかという主張から、プライバシーを重視する主張までいろいろあって、個人による温度差があります。そうした状況下でのリスクマネジメントには困難が伴います。
　さらに国際的な動向にも目を配る必要があります。世界の研究機関が協力してデータベースをつくるとき、日本だけがアクセスできないというのでは困ります。プライバシーに対する考え方が他国と違っていれば「そのデータは集め方が悪く、使えない」などと指摘される可能性があります。日本だけのプライバシー水準でいいのかという問題です。

意識改革に必要なのは、仕組みとビジネス利用

─ 研究機関、大学の意識をどう変えていけばいいでしょうか。

佐藤　大学、研究機関にプライバシーガバナンスに取り組むよう求めても、自分たちの研究を制限することは拒絶されてしまいます。ですから、研究の予算を出す側が一定の制約をかける方法があってもいい。かつて世界的なゲノム研究の際、研究予算の数%を倫理やデータ保護に使うことにした例もあります。企業がプライバシーガバナンスを取り入れ、共同研究の時に大学にも対応を呼びかけることも考えられます。国民から不信感を持たれる前に行動しなければなりません。

土井　学術だけに閉じず、ビジネスでの活用も踏まえてトラストを高めるというアプローチがあります。大学が持っているデータを生かして企業がビジネスに成功した場合、その前提となっているプライバシーポリシーがあるはずです。そういうベストプラクティスが出てくれば、皆で共有できると思います。データ提供者、研究者、産業界のすべてにプラスになるような「三方よし」のモデルが1つできれば、いいきっかけになります。

日置　プライバシーリスクに注意しながら企業にデータベースを提供するなどの社会実装をめざす大阪大学の例^［3］ もあります。データ活用の分野では、研究開発と社会実装が密接につながっています。最終的なビジネス利用を展望した上で研究機関としてプライバシーガバナンスに取り組む。それが1つの切り口だと思います。

【用語解説】

［1］パーソナルデータ：個人の属性情報、移動・行動・購買履歴、ウェアラブル機器から収集された個人情報を含む。また、現行の改正個人情報保護法で設けられた匿名加工情報を踏まえ、特定の個人を識別できないように加工された人流情報、商品情報等も含まれる。個人情報に加え、個人情報との境界が曖昧なものも含めて、個人との関係性が見いだされる広範囲の情報をさす。

［2］プライバシーガバナンスガイドブック：DX時代における企業のプライバシーガバナンスガイドブック ver1.0
https://www.meti.go.jp/press/2020/08/20200828012/20200828012-1.pdf

［3］ライフデザイン・イノベーション研究拠点： https://www.ids.osaka-u.ac.jp/ildi/

インタビュアーからのひとこと

　ネット広告での個人データ利用にブレーキがかかるなど、データ社会はいま転機を迎えている。この座談会からもわかる通り、一筋縄ではいかない面があるが、信頼できる企業や研究機関にデータが集まり、そこから価値が創出される姿こそが健全だろう。ガバナンスに本気で取り組む組織が正当に評価される仕組みの構築が、競争力と活気がある社会の条件になる。

関連リンク

• 佐藤 一郎 - 情報社会相関研究系 - 研究者紹介