デジタル広告はマーケディングにおいて欠かせないものになっています。Web技術やSNSの普及により今後もより活発に活用されていくであろうデジタル広告ですが、不正アクセスや情報の流出のリスクがあるため個人情報保護対策が必須になります。個人情報が保護されなくては顧客からの信用を損なうだけでなく、顧客に多大な迷惑・被害が及ぶ可能性があります。本記事では、個人情報保護について欧米の取り組みを紹介し、日本国内での取り組みや経済産業省のガイドブックについて解説します。

個人情報保護への意識が高まっている背景

個人情報保護への意識が高まっている背景を見ていきましょう。

近年、社会全体のデジタルトランスフォーメーション（DX）が進んでいるなかで、イノベーションの創出による社会課題の解決は日進月歩で進んでいます。

しかし、そんな中パーソナルデータの活用性は煩雑性を増し、プライバシー侵害によりトラブルに発展するケースも多く見られます。そのため、プライバシー保護の要請が強く求められていることが個人情報保護への意識が高まっている背景になります。

経産省と総務省は、企業がプライバシーに関して能動的に取り組むのは、コストではなく商品・サービスの品質向上であり、それを経営戦略として捉えることで消費者からの信頼獲得になり企業価値を向上させるとしています。

この戦略を確立し、企業がプライバシーガバナンスを構築するのが重要とされていることから、個人情報保護に対する取り組みは今後より重要性を増していきます。

欧米での個人情報保護に関する取り組み

欧米での個人情報保護の取り組みについて紹介します。

EU

EUはGDPR（一般データ保護規則）が施行されており、世界で最も厳しいプライバシー法といわれています。

GDPRは第5条第1項にて個人データ処理の6原則を定めており以下のものになります。

1. 適法性、公正性及び透明性
2. 目的の限定
3. データの最小化
4. 正確性
5. 記録保存の制限
6. 完全性及び機密性

GDPRの適用範囲はEEA（欧州経済領域）内の個人データを取り扱う事業者及びEEA内で商品・サービスを提供する事業者で、EEA害に拠点のある企業にも適用されます。

GDPRに違反した場合には最大で2000万ユーロ、または全世界売上高の4％の罰金が命じられますので非常に厳しいものだと分かります。

アメリカ

アメリカの個人情報保護に対する取り組みは、1974年のプライバシー法に始まっており、このプライバシー法の公的文における個人情報保護法が初期のものになります。

アメリカの個人情報保護に対する視点は「自由の国アメリカ」を反映しているのか若干緩いものになっています。その背景には「情報が自由に流れる事が成長を促進する」という発想が背景にあると思われます。

最たる例がFTC法第5条です。これは包括的な規制が明文化されず、あくまで個人情報を取り扱う企業の自主規制を重んじるものでした。

しかし近年の情報化社会の流れが加速する中で、包括的な個人情報保護法を策定する動きも見られます。

それが2015年に発表された消費者プライバシー権利章典です。

消費者プライバシー権利章典では7つの保護原則があります。

1. 個人のコントロール
2. セキュリティ
3. アクセス及び正確性
4. 責任
5. 適切な範囲の収集
6. コンテキストの尊重
7. 責任

このように時代の流れに合わせ、各国の個人情報保護に対する意識は強くなっています。

国内での枠組み〜改正個人情報保護法とプライバシーガバナンスガイドブック

それでは、日本国内における個人情報保護の枠組みを解説します。

日本の個人情報保護法は、原則として個人情報保護だけでなく「適正かつ効果的な活用の促進」が目的となっており、この点が欧米と異なります。

個人情報保護法は2003年から定期的に見直し・改訂され2022年には改訂個人情報保護法が施行されており、このことは急速に発達したインターネット社会の影響を受けて個人情報保護の対策を重要視している為です。

さらに経済産業省と総務省は2020年8月に「DX時代における企業のプライバシーガバナンスガイドブック」を策定し企業に対して指標を提示しています。

このガイドブックは企業の中の以下のようなポジションの方を読者として想定しています。

• データ利活用やデータ保護のガバナンスに携わる企業の経営者または経営者へ提供できるポジションにいる管理職など
• データ利活用やデータ保護にかかる事柄を総合的に管理する部門の責任者、担当者など

「DX時代における企業のプライバシーガバナンスガイドブック」では「プライバシーガバナンス」は特に重要視されています。

プライバシーガバナンスとは「プライバシー問題の最適なリスク管理と信頼の確保による企業価値の向上に向けて、経営者が積極的にプライバシー問題へコミットし、組織全体でプライバシー問題の取り組むための体制を構築し、素手を機能させることが基本的な考え方」とされいています。

続いては、このプライバシーガバナンスを実現させるために、ガイドブックに記述されている重要項目を解説します。

1.体制の構築

プライバシー保護を最大化させるには、従来のセキュリティ対策では不十分です。企業としてプライバシー保護を守る組織を構築する必要があります。企業により設置する形態は異なりますが、社内のプライバシーリスクを漏れなく見つける事や、事業部門と連携してプライバシーリスクマネジメントを行い定期的に対策を検討する事、国内外のプライバシーに感じる記事や事例を集めて分析、社内へ共有する事などが体制の構築において重要です。その為には専門的な責任者を外部から雇い入れる事や、人材の育成などを実施していく必要があります。

2.運用ルールの策定と周知徹底

運用ルールを策定し、周知徹底させプライバシー保護を十分に機能させましょう。良いルールを策定しても周知徹底していなければ、ルールが十分に機能しません。さらに、プライバシー保護の対策や、「どのタイミング」で「誰が」プライバシーリスクを特定、分析・評価するなどの観点から、ルール化することが望ましいとされています。そして、企業ごとに求められる問題、範囲が異なるので原則・原理の理解を心掛け常にアップデートさせていく事も重要です。

3.企業のプライバシーに係る文化の醸成

プライバシーガバナンスを実質的に機能させていくため、周知徹底は当然の事、組織全体へ浸透させプライバシーリスクに適切に対応できる企業文化を組織全体で醸成することが不可欠です。

所属する従業員の一人一人が消費者視点に立つ事やプライバシー問題の当事者意識を持つという事が重要です。そのためには、新入社員配属時や、部署移動時のタイミングでの教育サポートや、プライバシー問題に対するハンドブック等の配布、パーソナルデータを取り扱う部署に対して、教育を集中的に実施することなどが重要です。

4.消費者とのコミュニケーション

企業内の取組で完結するのだけでなく、個人のプライバシーデータを取り扱う企業として、実施している取り組みを公表しましょう。それが消費者との重要なコミュニケーションになり、企業の信頼につながります。ホームページやSNSで個人情報保護に関わる発信をするとよいでしょう。

5.その他のステークホルダーとのコミュニケーション

プライバシーガバナンスでは、ステークホルダーと継続的なコミュニケーションをとり、プライバシーマネジメントにいかに能動的に取り組んでいるかを積極的に説明し、信頼を獲得していくことが重要としています。

具体的にはビジネスパートナー（取引先。業務委託先）、グループ企業など、投資家や株主、関係行政機関、業界団体、従業員などになります。

これらのステークホルダーとしっかりコミュニケーションをとり、企業としての信頼を高めていきましょう。

ここまでが経済産業省と総務省が2020年8月に策定した、「DX時代における企業のプライバシーガバナンスガイドブック」の重要な部分になります。これは定期的に更新されており、2023年4月に発表されたver1.3では概念の整理と、諸外国の法令に係る情報収集方法の追加、参考文献が更新されています。

まとめ

デジタル広告の時代において必須である個人情報保護について欧米諸国の動きと、日本国内での個人情報保護の取り組み、その中でも重要な指標になる「DX時代における企業のプライバシーガバナンスガイドブック」の重要な点について解説しました。今後はますます個人情報保護への取り組みが重要になり企業としての信頼に直結してくるでしょう。今回解説したことを参考に、個人情報保護への取り組みを強化していきましょう。