{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
デジタルトランスフォーメーションにおけるプライバシー・バイ・デザインの実装
2020-11-05
1.デジタルトランスフォーメーションに求められるプライバシー保護
2007年にスマートフォンが発売されて以降、多くの人が自分専用のモバイル端末を保有し、現在では複数台の端末を持ち歩く時代になりました。
それまで情報のやりとりは、紙や会社で使用するPCなどの端末間に限定されていましたが、現在では多くの人が複数の端末を使ってインターネットやソーシャルメディアを利用し、あらゆる情報を共有するようになり、そこから膨大な量のデータが生まれています。
また、近年、デジタルトランスフォーメーション(DX)という言葉を耳にする機会が増えました。データを人工知能(AI)などで分析し、ユーザーに対してカスタマージャーニーに最適なユーザーエクスペリエンス(UX)を提供したり、分析したデータを活用して企業の既存プロセスを最適化したりといった取り組みが行われています。
DXの加速に伴い、2017年施行の中国サイバーセキュリティ法、2018年施行のEU一般データ保護規則(GDPR)を皮切りに、各国ではプライバシー保護関連の立法や改正が進み、より厳格な要求を企業に課しています。日本でも2020年に個人情報保護法の改正法が公布されました。GDPRにより、特に企業が対応に追われている要件は、ユーザーの権利を強化すること、また個人情報を越境移転する際の規制が強化されたことです。万が一、法令に違反した場合、企業は監督機関から法令上の制裁金を科されることに加え、刑事上・民事上の責任を問われ、企業イメージを損なう可能性もあり、各社は対応に追われています。
さらに、法令の厳格化だけではなく、近年問題視されているインターネット上の誹謗中傷などによる個人情報漏洩の被害が増えたことで、ユーザーによるプライバシー保護への関心が高まってきました。
こういった背景から、企業はDXを促進する一方で、プライバシー保護に関しても考える必要に迫られています。また、DXとプライバシー保護を従来のように二律背反の関係と捉えるのではなく、DXを通じた企業価値の向上に必要な投資であることを認識する必要があります。
2.ユーザーセントリックなプライバシー・バイ・デザイン
DXなどの組織改革、新サービスやシステムの導入にあたって、企画や設計段階からユーザーのプライバシー保護をあらゆる側面で検討し、あらかじめプライバシー保護対策を組み込む考え方を「プライバシー・バイ・デザイン」と呼びます。この考え方は1990年代半ばに提唱されたものですが、GDPRにより法的要求事項になったことやGDPR違反による有名企業に対する制裁事例が生じたことから、企業やユーザーにプライバシー・バイ・デザインが広く認知され、今ではグローバルスタンダードな設計思想になりました。
プライバシー・バイ・デザインは、次の7つの原則から構成されています*1。
(1)事前的/予防的であること
ユーザーのプライバシーを侵害するイベントが発生する前に、プライバシー対策を導入する必要があります。
(2)初期設定であること
サービスやシステムにあらかじめプライバシー保護対策を組み込んでおくことで、ユーザーが自身の個人情報の提供範囲や利用方法を設定せずとも、プライバシーが自動的に保護される必要があります。
(3)デザインに組み込むこと
プライバシー保護対策は、サービスやシステムが稼働した後に追加で導入されるのではなく、企画や設計といったデザインの段階から組み込むことで、そのサービスやシステムの基本機能とする必要があります。
(4)ポジティブサムであること
プライバシー・バイ・デザインは、サービスやシステムによって生まれる利便性とユーザーのプライバシー保護のどちらか一方というゼロサムの関係であるべきではなく、双方に利益があるポジティブサムを目指します。
(5)実装ライフサイクル全体で保護されていること
プライバシー情報を収集・利用・保管・廃棄というというライフサイクル全体を通して、エンド・ツー・エンドの強力なセキュリティで保護することが不可欠です。
(6)可視化し透明性を維持すること
ユーザーのプライバシー情報を保護する仕組みが可視化され検証可能であること、またその仕組みが適切に機能することを全ての関係者に保証する必要があります。
(7)ユーザーセントリックであること
プライバシー・バイ・デザインでは、上述の通り、デザインや初期設定として組み込む、強力なセキュリティを実装する、個人情報の取り扱いに関してユーザーに通知するといった対応をするうえで、ユーザーのプライバシーを中心に考え、最大限に尊重する必要があります。
*1出典:Ann Cavoukian, “Privacy by Design: The 7 Foundational Principles”[PDF 486KB]
3.成功事例から読み解くプライバシー・バイ・デザインの実装モデル
では、実際にプライバシー・バイ・デザインをどのように実装すればいいのでしょうか。
一般的に、プライバシー・バイ・デザインというと、企画・設計段階でプライバシー情報の有無を確認する、開発段階でセキュリティ対策を実装するなどの一時的な対応を想像する方が多いかもしれません。しかし、真の目的は、ユーザーのプライバシーを恒久的に保護することであり、下図に示す通り、企画・設計・開発、そして運用においてもプライバシー保護対策を続け、定期的に見直しや改善を図ることにあります。
実際に取り組みを成功させている先進的な事例をご紹介します。企画・設計段階で、ビジネス部門が策定したサービスの企画書・設計書に対し、プライバシー保護部門がプライバシーレビュー、システム部門がセキュリティレビューを行います。これらのレビューで、プライバシーやセキュリティにリスクがあり、リスク低減策をとることが困難で、ユーザーのプライバシーに大きな影響を及ぼす可能性があると指摘された場合は、ビジネス部門はサービスを開発することはできません。なお、プライバシー保護部門は、当該サービスのユーザーによる個人情報の提供有無、個人情報の取り扱いに関する同意の取得粒度や、プライバシーポリシーをレビューします。また、プライバシー保護に関する情報へのアクセスのしやすさ、内容の平易さといったユーザーエクスペリエンスについても確認します。
4.プライバシー・バイ・デザインによるサービスの創造とユーザーエクスペリエンスの実現
近年、一部の企業では映像や画像を活用し、自社におけるプライバシー保護の取り組みを積極的に公表しています。これは、プライバシー保護が「法令対応」だけではなく、「ユーザーに個人情報の活用で実現できるサービスの価値を感じてもらう」という位置づけになりつつあるからだと考えられます。
このように、DXを進めていくうえで、プライバシー・バイ・デザインを導入し、社外にその取り組みを公表することは、新たなサービスの創造とユーザーエクスペリエンスの向上へとつながるでしょう。
執筆者
大井 哲也
TMI総合法律事務所/TMIプライバシー&セキュリティコンサルティング株式会社
パートナー 弁護士
平岩 久人
パートナー, PwCあらた有限責任監査法人
宮内 美里
シニアアソシエイト, PwCコンサルティング合同会社
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
