プライバシーの取り組みを社内で理解してもらうには?

はじめに
プライバシーの取り組みを社内で理解してもらい、プログラムへの賛同と協力、さらには必要な予算の承認を得ることは重要です。しかしながら、これを実現するのは容易なことではありません。
この課題は、世界の各地域(法域)によっても全く難易度が異なります。例えば、その地域の法規制(特に罰則)がどれくらい厳しいかといった要素のほか、これまでの商習慣や経営層や従業員のプライバシー保護に対する問題意識も大きく影響します。
特に、法規制による執行、その企業の消費者やマーケットからの評価や経済的にどういった制裁や罰金が科されるかは、企業が経営課題として優先的に取り組むべきかどうかの判断を左右する大きな要因となります。
実際、GDPRが施行されているEUにおいても、NOYB(オーストリアの非営利団体)のDPO(Data Privacy Officer)に対するアンケートにおいて「コンプライアンスの最大の推進要因として罰金などの制裁や評判の失墜の可能性が影響すると考えている」ようです。
社内で推進するための仕組みづくり
世界的なプライバシー専門家のコミュニティであるIAPPでは、プライバシープログラムを推進するために単に経営層や社内からの協力を得る、教育を提供するといった方法論にとどまらず、それを「文化」として育むことの重要性についてブログ「How to build a ‘culture of privacy’」で触れています。
プライバシーは法令遵守以上の意味を持つ
プライバシー保護を推進するためには、「プライバシー文化」を醸成することが重要であり、単に法規制を遵守するだけでなく、企業の運営、意思決定プロセス、ステークホルダーとの関わりにおいて、プライバシー保護の意識が浸透した組織、職場環境を作り出すことが重要です。
プライバシー文化を醸成するためのポイント
ここでは、プライバシー文化を醸成するポイントを紹介します。
経営層の賛同を得る: 企業文化は、経営のトップを起点とします。共通のビジョンを持つためには、経営層の協力を取り付けることが不可欠です。まずは、経営陣への提案をサポートしてくれる数人の主要人物からのサポートを得るところから始め、プログラムがどのように機能するかについての概要を説明し、他の支持者を集めていきます。
プライバシーチャンピオンという役割を設置: プライバシーチャンピオンは、自分のチーム内でさまざまなプロジェクトに取り組みながら、プライバシープログラムの推進を支援する個人です。企業全体の主要な部門やビジネスの分野、特にデータの使用によって大きな影響を受ける分野に配置するのが効果的です。
データプライバシーについて会話する: データ プライバシーについて話す機会を持つことも重要です。フィッシング攻撃などの事例が発生した場合、企業が保有するデータの重要性を強調する機会として利用するチャンスです。また、定期的にデータクリーンアップ デーを企画し、従業員にコンピューターに保存されもはや不要になった情報を削除するよう奨励することで、データ最小化を進めることが可能です。たとえ小さな取り組みであっても、社内とのタッチポイントが多ければ多いほどデータプライバシーへの意識が高まります。
従業員ハンドブックや新人研修に含める: 文化は、実際に個人的に毎日行っていることの積み重ねで醸成されます。従業員ハンドブックや入社時の教育にプライバシーを含めることで、新しく入社した従業員にプライバシーが重要な文化的価値であることを示すことができます。
法令遵守以外の視点をプログラムに含める
また、法令遵守はプライバシー保護のための取り組み=「プライバシープログラム」の成果の1つに過ぎず、法令遵守そのものがゴールではないことを強調しています。
これは、法規制上の義務だけでなく、契約上の義務、顧客の期待、組織の倫理、戦略的取り組みといった複数の視点からプライバシーとデータガバナンスを検討する必要があることを意味しています。
- 法規制上の義務: 昨今、プライバシー関連の法規制の施行、改正の波はすさまじく、それらを全て把握し、各法規制のカバレッジや規制内容を把握することは困難です。プライバシー文化によって強力な基礎を整えることで、新しい法規制の施行や改正への対応に振り回されず、迅速に対応することが出来ます。
- 契約上の義務: 多くのプライバシー プログラムは、法規制に準拠することのみを目的としています。ただし、規制自体は、多くの現実社会におけるビジネスシナリオを網羅しているわけではありません。例えば、他の企業や団体の「データ処理者」として事業を行っている場合、特定の契約要件に関連付けられた義務を負っています。データの取り扱いを制限する「契約上の要求事項」を無視すると、重要なビジネス関係を重大なリスクにさらす可能性があります。
- 倫理的義務: 多くの企業では、法律や契約がデータの取り扱いに適用されない場合があります。しかし、法律や契約上の縛りがないことは、企業が個人データの利用について何をしても許されるという意味ではありません。倫理的であるためには、企業は従業員と顧客のプライバシーを同様に尊重する必要があります。倫理は重要なブランド価値の観点から語られることが多くなり、データ倫理もその重要な部分を占めています。
- 顧客中心: 顧客と従業員の期待に応えることは、信頼を構築するために不可欠な部分です。プライバシーの文化を醸成することで、消費者と従業員の両方がビジネスにとって重要であることを企業理念として示し、信頼を育みます。また、個人が企業と共有するデータを適切なレベルで制御できるようになることで、個人からの信頼を獲得することが出来ます。個人にとって自身のデータがどう扱われるかをコントロールできていると感じることで、より多くのデータを共有する可能性が高くなります。これは、競合他社との差別化につながります。
さいごに:プライバシーコミュニティに参加する
プライバシー文化の重要性だけでなく、文化を作るためのポイントを理解したとしても、そこに至るために何をすべきかイメージが湧かないこともあるかと思います。また企業のプライバシー成熟度や体制等によっても、スタート地点や優先的にやるべき取り組みも変わってきます。
何からどう手を付ければいいか、どういう風に進めるべきかといったスタートを切るためのヒントを必要とされる方には、プライバシーコミュニティへの参加をお勧めします。
弊社でも、プライバシーの課題に取り組むプライバシー業務従事者を支援するためのプライバシー従事者向けミートアップイベントを定期的に開催しております。
もし、どこから手を付ければと悩まれている方は、異なる組織で同じ課題に取り組まれている方と意見交換することで、自社の取り組むべき課題の優先順位や今後の取り組みの進め方やアプローチ方法などヒントを探してみてはいかがでしょうか?