【座談会】プライバシーガバナンス構築の勧め

－プライバシーガバナンスガイドブック作成の背景について

国立情報学研究所　教授　　佐藤　一郎
　　　　　　　　東京大学大学院法学政治学研究科　教授　宍戸　常寿
JIPDEC　電子情報利活用研究部グループリーダー　岡田　光輝

印刷用PDF

岡田　今日は、今年8月に経済産業省と総務省が公表した「DX時代における企業のプライバシーガバナンスガイドブックver1.0 」をとりまとめた「企業のプライバシーガバナンスモデル検討会」座長　国立情報学研究所　佐藤先生と、同じく検討会に委員として参加された東京大学　宍戸先生に、ガイドブックの話だけでなく、これからのデータ活用時代における企業のプライバシーへの対応について、幅広くご意見を伺いたいと思います。佐藤先生、宍戸先生、よろしくお願いします。

なぜ今、「プライバシーガバナンスガイドブック」か

国立情報学研究所　教授　佐藤一郎先生

国立情報学研究所　教授
　佐藤　一郎先生

岡田　まず、プライバシーガバナンスガイドブックを策定するに至った背景について、どのようにお考えですか？なぜこのタイミングでガイドブックが策定されたのでしょう？

佐藤　データ利活用が企業経営を含めビジネスの源泉となってきている現在、企業としては、プライバシーに関わる情報を含めて多様なデータを徹底的に使いたいと考えることになります。
　しかし、現実には個人情報の利用には規制もあり、さらに個人情報にならなくても、プライバシーに関わるデータをきちんと考えていかないといろいろなトラブルが起きてしまいます。
　いま企業にとっては社会や個人からの信頼性が重要になっていますが、その信頼性はプライバシーに関わるようなデータの取扱い方によって左右されます。経済産業省、総務省は企業の方々に真剣にプライバシーについて考えてもらう時期だとお考えになって、このガイドブックに取り組まれたと考えています。

宍戸　また、データ利活用の前提となる技術・サービスが著しく高度に進化し、企業活動もグローバル化する中で、副次的に取得したデータが思わぬ価値を持ったり、逆に日本で問題ないとされていたサービスを海外展開した途端にデータの取得・活用面で大きな問題を引き起こしてしまう等、データを巡る企業の環境が大きく急速に変化しています。
　これまでも、企業は海外に事業展開する際には、従業者の労働環境や雇用について、その土地土地の文化や宗教、習慣等を考慮していたと思いますが、今後はデータの取扱いやプライバシーに関しても同様のことが求められます。ただ、日本企業はまだ、「使うべきところは使い、守るべきところは守る」と前向きに取り組むための十分な体制、新たな企業文化を醸成できていないので、その状況に対するメッセージとして、このガイドブックは検討されたと理解しています。

佐藤　日本企業は、法律に外形的な対応をしがちですが、今後は社会規範や文化といった法律以外の部分が重要になってくるということだと思います。
　個人情報やプライバシーの先には「人」がいますから、「人」がどう思っているかというところは考えないといけません。なお、プライバシーは、個人情報よりも外延が曖昧です。堀部先生¹ が「プライバシーの法制化は難しい」とおっしゃっていたと思いますが、そうだとすると、なおのこと企業の取組みとして対応することが必要不可欠になるのでしょう。
　もう１点、今回のガイドブックではコーポレートガバナンスに焦点を当てています。本来は技術屋なのに、日本にコーポレートガバナンスという概念が入ってきた頃、つまり20年程前にガバナンス策定作業に参加したことがあります。その当時はガバナンスとは、経営に関わる不正を排除することがメインでした。しかし、その後、世界的に見るとコーポレートガバナンスの考え方や対象範囲は、株主との関係や多様なステークホルダーとの関係、さらに現在ではSDGsへの対応等と非常に広範になってきています。日本もそうした変化への対応が必要となり、このガイドブックもその流れの一つとして位置づけられます。

1 初代個人情報保護委員会　委員長

図Ⅰ-1．ステークホルダーとのコミュニケーション

（出典：経済産業省ウェブサイト　https://www.meti.go.jp/press/2020/08/20200828012/20200828012-2.pdf）

東京大学大学院　教授　宍戸　常寿先生

東京大学大学院　教授
　宍戸　常寿先生

岡田　プライバシーの法制化は難しいというお話がありましたが、それはなぜなのでしょうか？

宍戸　古典的には、プライバシーは「私生活の平穏」と捉えられていましたが、情報技術が進化すれば考え方も変わります。
　19世紀の終わり頃は、空間的に人のプライバシーを捉え、その空間への侵入、たとえば家の中での姿を盗撮され、公開されることが問題とされていました。
　その後、情報技術が発達すると、本来は人の内面まではわからないはずの氏名やID等にさまざまな情報を紐づけて収集・分析され、その個人の生き方までが丸裸の状態で晒されるような状況が生じるようになり、プライバシーを「自己情報のコントロール」として捉えなおす必要性が1980年代以降広く認識され、OECD8原則等につながっていくわけです。

OECD8原則
　OECDが1980年9月に採択した「プライバシー保護と個人データの国際流通についてのガイドラインに関する理事会勧告」に記述されている8つの原則。
1)「目的明確化の原則」（収集目的を明確にし、データ利用は収集目的に合致するべき）
2)「利用制限の原則」（データ主体の同意がある場合、法律の規定による場合以外は、目的以外に利用してはならない）
3)「収集制限の原則」（適法・公正な手段により、かつ、情報主体に通知又は同意を得て収集されるべき）
4)「データ内容の原則」（利用目的に沿ったもので、かつ、正確、完全、最新であるべき）
5)「安全保護の原則」（合理的安全保護措置により、紛失・破壊・使用・修正・開示等から保護するべき）
6)「公開の原則」（データ収集の実施方針等を公開し、データの存在、利用目的、管理者等を明示するべき）
7)「個人参加の原則」（自己に関するデータの所在及び内容を確認させ、又は異議申立てを保証するべき）
8)「責任の原則」（管理者は諸原則実施の責任を有する）

　こういった流れを踏まえて考えると、そもそもプライバシーとは複合的・複層的で、最終的には個人の私生活や自立して生きていくための手段的な権利としての位置づけを持っているものなので、その本丸である個人、あるいは個人に対する脅威との関係によって、プライバシーの概念は変わります。ここが、法制化が難しいとされる要因の一つだと思います。
　しかし、同時に、手段としてのプライバシーをあまりにも広範に強く捉えすぎてしまうと、有用であるはずの個々人のコミュニケーションや企業のビジネス活動、政府の公益的な活動にあらかじめ制約がかかり、支障が出てしまう。これも法制化の難しさの一面です。
　そこで、まずは個人情報を識別できるものは広く個人情報として捉え、同時にその個人情報の利用目的を特定し、その範囲内で利用する。あるいは企業の個人データの持ち方・使い方の状況に応じて本人関与の在り方を予め手続き的に法律で定めるというのが、データ保護法や日本の個人情報保護法の考え方です。
　ただしこれは、プライバシーの観点で見ると、一面では過小であり、他面では過剰です。どんなに有益な活用でも本人同意が必須なのか、あるいは本人の同意さえあればどのような使い方でも許されるのか。この過小・過剰な部分が炎上を起こし、企業の健全なデータ利活用を委縮させたり、外形的な判断に走らせてしまったりする等、より問題を複雑化させています。
　したがって、個人情報保護はあくまでも最低限のルールとして遵守しつつ、特にデータ活用によって企業利益を上げたり、有益なサービス提供、公益的活動を行おうと考える企業・組織は、自らの信頼・価値を高めるための前向きな取組みとして、プライバシーに配慮することが求められていると思います。

岡田　たしかに、個人情報保護法は遵守していても炎上リスクが気になり、なかなか新たなデータ活用に踏み出せないと悩まれている企業の方のお話は多く聞きます。そういった企業の方へのメッセージとして、今回のガイドブックを読んでいただくと良さそうですね。

佐藤　このガイドブックは、書かれていることを守ればプライバシーが守れるというものではなく、ガイドブックを契機にして、企業が自社ビジネスの中でどのようなプライバシー情報を守る必要があるのかを考えてもらうためのものです。
　ガイドブックでは非常にシンプルに、その第一歩を踏み出すために「プライバシーガバナンスに係る姿勢の明文化」「責任者を決める」「プライバシー保護のためのリソースを割く」という点を挙げています。
　個人情報は、国が定めたルールを遵守して保護する、という側面がありますが、プライバシーを保護するためには各人・各社が自ら考えなければなりません。

図Ⅰ-2．DX時代における企業のプライバシーガバナンスガイドブックver.1.0の概要

（出典：経済産業省ウェブサイト https://www.meti.go.jp/press/2020/08/20200828012/20200828012-2.pdf）

JIPDEC　岡田

宍戸　佐藤先生のおっしゃるとおり、プライバシーはそれぞれの企業で考えなければならない問題で、その際には「他の誰かの考え方を持ってくる」のではなく、自社の事業環境や顧客の関係等と考えあわせる必要があります。ただし、そのためには当然ながら「考えるための体力」が必要です。
　このガイドブックは、その体力・体制を備えておくことが日々刻々と変わるプライバシー問題に対応するために必要だ、ということを伝えていると理解しています。
　自分たちで考えることによって、「なぜ自分たちがこのような使い方をしようとしているのか」「そのためには何に気を付けているのか」を説明できるようになったり、説明が求められそうな部分に事前に対応することも可能となっていきます。

岡田　コーポレートガバナンスを内部統制寄りで考えてしまうと、どうしても外的なルールを持ち込んでそれを遵守する、となりがちですが、プライバシーに関しては、企業の置かれている環境や持っている情報によって大きく対応は変わるので、自ら考えることが重要だ　ということがガイドブックの大きなメッセージだということですね。

佐藤　ガイドブック公表後、ガイドブックを紹介する機会をいろいろいただいています。また検討会メンバーの方々も講演会やメディア等、さまざまなルートで情報発信してくださっているので、今後さらに企業で参照していただけるのではないかと思っています。

宍戸　今、産学官すべてがデータ活用を進める必要がある中で、特に公的部門や研究機関、官民をまたいだデータ流通プラットフォーム構築を検討する場などでこのガイドブックが参照されています。そういった点からも、時代の要請に応えたものであり、さらに多くの企業で参照してもらうべきものだと思います。

プライバシー対応は品質向上のための経営課題

岡田　一方で、企業の中でもこの問題を担当されている方は必要性を痛感されているものの、どうやって企業内にこういった捉え方を浸透させていけばよいかという悩みをお聞きすることがあります。この壁を乗り越える方法はあるのでしょうか？

佐藤　これまでは、どうしてもプライバシー対応は炎上対策等のように後ろ向きになりがちでしたが、本来は信頼を得るための前向きな活動です。そのマインドチェンジが必要だと考えています。
　私自身も技術者としてデータを利活用する機会が多いのですが、長期的にわたって個人に関する質の高いデータを得るためには、個人から信頼を得ることが不可欠です。信頼されなければプライバシーに関わるデータは入手できません。その信頼を得るにはプライバシーへの配慮が必須になる、という点を経営層に理解してもらうことが第一歩になるのだと思います。特にAIの利用においては質の高い学習データが大量に必要です。企業の差別化を考えると、他社が持ち得ないデータ、その中でもプライバシーに関わるデータを入手し、AIに利用できるかが鍵になります。そうしたデータを得るためにもプライバシーに配慮して、個人から信頼されることが重要です。

宍戸　企業の経営層の方々で、自社商品・サービスの市場動向を考えていない方はいないと思います。さらにもう一歩踏み込んで企業の責任や企業の持続的発展を考えていれば、当然、金融や雇用の情勢も真剣にご覧になっています。これと同じようにデータも経営リソースの一つとなっているので、CFOを置くようにCIO、CPOを置く必要があるということです。

岡田　つまり、プライバシーに適切に対応するということは、自社製品・サービスの品質向上であり、経営問題だということを、ガイドブックははっきり打ち出しているということですね。

佐藤　さらに、現在、企業はSDGsのように社会・環境への貢献をコーポレートガバナンスに取り込んでいますが、その背景には、投資家やステークホルダーが企業を評価する際に重要視しているということが挙げられます。今後、プライバシーに関しても同様な動き、つまり適切にプライバシーを保護していないと投資も取引にも影響することを前提として、プライバシーに向き合ってもらいたいと思います。

宍戸　憲法の視点から言えば、SDGs等の要請はこれまで近代社会から築きあげてきた基本的人権を現代社会においても保障するための要請であり、企業についていえば「企業の社会的責任」や「ビジネスと人権に関する指導原則」で言われるように、企業には公共的役割・地位が伴い、その中で人権への配慮を課すという流れは今後さらに強まると思います。その中心にはプライバシーやデータの問題があるということを意識する必要があります。

企業でプライバシーを考える際のポイント

岡田　佐藤先生も宍戸先生も、実際に企業が設置している有識者検討会に参加されて企業の生の声も聞かれていると思います。その中で、「ここがポイントだな」と思われる点はありますか？

佐藤　私が座長となっている企業のプライバシー検討会は、今回のガイドブックの実践的なことにも取り組んでもらっていて、第三者委員会的に数カ月に１回開催されています。そこでの経験から言うと、企業の中の人が見る視点と、外の人が見る視点は大きく異なっています。
　検討会では、いわゆる個人情報に関するプライバシーポリシーよりさらにメタな、プライバシーに対する企業姿勢の明文化にも取り組んでいますが、プライバシーに関しては「相手がどう感じるか」という部分が重要になるので、外部の目を入れた検討が本当に重要だと感じています。

岡田　やはり自社だけでなく、お客様の目、ガイドブックではステークホルダーという言い方をしていますが、いろいろな視点を入れることが大切だということですね。

宍戸　私がデータ利用に関する原則の策定等に参加している企業は共通して、消費者との向き合い方を考えたり、「何がやっても良くて、何がダメなのか」を探る際に、外部有識者や消費者代表の方と議論することにとてもメリットを感じているという印象を受けます。
　また、広範多岐にサービス展開していくと、企業としての全体を把握することが難しくなる場合も見られます。そういったときに事業部ごとの縦割りの視点だけでなく、外部の目で横串的に眺めたり、社会全般の動向等と照らし合わせることで、自社の全体を整理し直し、より明確に自社の方針を統一・修正することができるという面もあります。

岡田　ガイドブックでは、縦割りになりがちな組織内の情報収集・発信のハブとなるプライバシー保護組織設置の必要性も書かれていましたね。

佐藤　たとえば、これまでプライバシーには無縁と考えていたメーカー企業でも、製品販売からサービス提供へと業態が変化して、これまで接点のなかった個人の多様なデータを取り扱うようになったり、思わぬ製品がプライバシー情報を集めてしまったりといったことが起きています。さらに、相違な情報を組み合わせた結果、プライバシーに関わるケースもあり、従前のように事業部単位で管理・対応することは不可能なので、企業としての対応が必要です。そう考えると企業横断的にプライバシーを考える専門部署はきわめて重要になってきます。

宍戸　佐藤先生がご指摘のとおり、不測の形で利用者のプライバシー情報を持ってしまう可能性がある中では、全体を横断的に見る組織があった方が良いと思います。
　また、今後開発する製品やサービスは、設計段階から部署横断でさまざまな視点を入れ、プライバシーバイデザインで検討していくことが重要になると思います。
　さらに、ガイドブックでは企業全体としての価値向上とプライバシーの問題を取り上げています。消費者から見れば、一つのサービスで問題が発生しても「○○社が問題を起こした」となり、場合によってはグループ企業全体がダメージを受けることにもなりかねません。

岡田　今までは「同意を取っているから法律的にはクリア」と考えていた企業も少なくないと思われますが、お話を聞いていて、利用する方々に利用の目的や方法、取扱いを説明して、きちんと理解していただくことが重要だと改めて感じました。
　実際にガイドブックに書かれているような内容に取り組まれている企業もすでにあると思いますが、お二人から見て「これは良い」と思われた取組みはありますか？

宍戸　難しいのは、きちんと説明しようとすればするほどどうしても説明が細かくなってしまうということです。企業法務的に考えれば「書いてあること」が重要ではあるのですが、対消費者で考えれば「自分たちが何をして、何をしないのか」を明確にわかりやすく示すことが必要です。このため、漫画や動画で伝えたり、ユーザが自分自身のデータの状況を確認できるような仕組みを用意しているケース等は参考になると思います。

佐藤　ガイドブックでは、メタなポリシーを策定することを推奨しています。まずは大きく企業としての姿勢を理解してもらえるものを示し、必要があればさらに詳細なポリシーも参照できるような二段構えの発想が求められていると思います。

ガバナンス・イノベーションとの関係

岡田　少し話は変わりますが、ガイドブック公表の1カ月ほど前に、宍戸先生が副座長を務められた「Society5.0における新たなガバナンスモデル検討会」の報告書「GOVERNANCE INNOVATION Society5.0の実現に向けた法とアーキテクチャのリ・デザイン」が公表されました。その中では、世の中の変化に合わせて法の在り方も変化させる必要がある、といったかなり上位概念的な内容が提示されていましたが、一方で今回のガイドブックとの間には距離があるように感じました。

宍戸　ガバナンス・イノベーションに関する報告書は、広範な規制改革のシナリオとして若手の研究者・実務家の方々の自由闊達な議論から生まれたものです。
　報告書のポイントの一つは、デジタル化が進む中で現在の法規制の在り方は限界を迎えているため、ゴールベースの規制に変えていくべきだという点です。
　報告書では、法規制がしばしば行為規制になっているため、「この行為さえ行えば（行わなければ）良い」となり、人権や公益の実現といった本来の目的達成が阻害されてしまう状況が見られるので、まずは抽象的なゴールを設定し、企業が自らゴールを具体化してそこに向かってより良い行動を取るよう、インセンティブや制裁金等を組み合わせて、よりイノベーティブな力を引き出す規制への見直しを求めていますが、これはガイドブックにも通ずる精神です。

佐藤　ガイドブックで求めている「プライバシーに対する姿勢の明文化」は、ある意味でゴールベースの一つの取組みと言えると思います。

改めて、プライバシーとは何なのか

岡田　ここまでお聞きして、改めての質問なのですが、お二人はプライバシーをどのようなものと捉えていらっしゃいますか？企業の方とお話をしていて、プライバシーの定義を聞かれることは多いのですが。

佐藤　プライバシーの外延を定義しようとする時点で、プライバシーを理解していないとしか言えないように思います。プライバシーは人によっても、また同じ人でもコンテキスト、たとえば会社にいるときと家では異なります。企業が取得するデータやその利用を鑑みながら、何がプライバシーとなり、個人の権利利益の侵害となるかを考えて、対策を考えることが重要です。

宍戸　プライバシーが、現代においてデータ保護を求める権利というEU基本的憲章8条に書かれているような側面を持つことは間違いないとは思います。そしてそれが、個人の主観的な権利を超えて、プライバシーコミッショナーのような客観的な組織や企業の内部的な仕組み・手続き等、全体的重層的な取組みによって担保されるという点が、プライバシーの実現に関して大きなポイントだと思います。
　他方、佐藤先生がおっしゃるようにプライバシーの本丸を定義することは非常に難しいのですが、私はプライバシーは１人のものとして捉えるのではなく、人間と人間の関係として捉えた方が良いように考えています。企業と消費者、家族、友人の間に生まれる関係は浅い一時的なものであったり、深く継続的なものであったりとそれぞれです。そして深く継続的な関係の中ではお互いにコミットし合うような絆も成り立たせるし、同時にそこからプライバシーも生まれてきます。だからこそ、それを壊してはいけない。企業で言えば、企業が消費者やステークホルダーとより良い関係を築こうと考えるのであれば、それは同時にプライバシーについても考えるということなのだと思います。

企業へのメッセージ

岡田　最後に、企業の中でプライバシーガバナンスに取り組んでいこうとされている方々にメッセージをお願いします。

佐藤　繰り返しになってしまいますが、プライバシー問題はどうしても後ろ向きの対応になりがちで、コストとして捉えられがちですが、ぜひマインドチェンジして、今後は、企業が信頼を得るための前向きな投資であり、サービス・商品の品質を上げるものだと捉えて取り組んでいただきたいと思います。プライバシーガバナンスガイドブックに関しては、まずは数多くの企業がプライバシー保護に取り組めるように、多様な企業が対応できるガイドブックになるように考慮しました。まずはガイドブックをお読みいただき、自社にとって保護すべきプライバシーをお考えいただき、その対応をしていただければ幸いです。

宍戸　企業で働く人は、同時に消費者でもあります。他社の提供するサービスを利用する際に、自分はどのように扱ってもらいたいか、どのような状況だと絆が結ばれ、どのような場合に絆が破壊されるかを考えていただき、それを反転させて自社の取組みに活かしていく必要があります。そういった点で、このガイドブックを企業人として読むだけでなく、ぜひ消費者の立場でも読んでみてもらいたいと思います。

岡田　今日は貴重なお話を伺い、とても勉強になりました。ありがとうございました。

参考資料
JIPDECセミナー講演レポート「DX時代における企業のプライバシーガバナンスガイドブックについて