プライバシープログラムを構築するには? Part1

はじめに

強固なプライバシープログラムを構築するには、プログラムが正しく機能するための部品や仕掛けが必要となります。

今回のブログでは、プログラムを構築する上で欠かせない要素のうち、前提となるビジョンやミッションステートメント、スコープの他、それらをベースにしたプライバシー戦略およびフレームワークについて紹介します。

ビジョンとミッションステートメント

ビジョンとミッションステートメントの作成方法は、組織によって異なるため、本ブログでは概要だけを紹介します。

ビジョンとミッションステートメントが重要な理由として、それ自体がプライバシープログラムを形作る上で核であり最終的なゴールとなるものだからです。もし、それがなければ、ゴールに向かうための戦略も決めることができません。実際の組織では、プライバシー・ビジョンやミッションステートメントは、企業としての使命、戦略的な目標(長期の目標)、企業として提供すべき価値(Value)など様々な表現を組み合わせて構成されており、広く活用されている画一化されたテンプレートなどはありません。

スコープ

ビジョンやミッションステートメントが決まると、次にプライバシープログラムのスコープを決めます。

スコープを決める際、①収集および処理している個人情報と②適用対象となるプライバシー法規制の2つの要素を考慮します。

1つ目の「収集および処理している個人情報」に関する情報を明らかにするには、組織内のインタビューを通して手作業で収集、保管、利用、廃棄といったデータのライフサイクルにおいて、どのように個人情報が組織内で扱われているかを明らかにします。(ここについては、OneTrustなどのテクノロジーを使用することで、ある程度自動化することが可能です。)

2つ目の「適用対象となるプライバシー法規制」を特定するのは、簡単なケースもあれば困難(複雑)な場合もあります。たとえば、日本で日本人向けにビジネスを行っている組織の場合、扱っている個人情報について、適用対象となる法規制について容易に特定することができます。しかし、グローバルでビジネスを展開している組織では、複数の法域においてプライバシー関連の法規制を受けるほか、ヘルスケア業界では扱う情報の秘匿性から、米国のHIPPAのような、各国レベルで業界固有の規制が適用される可能性があり、どの法規制が対象となるのかを特定するのはより複雑になります。(そのため、スコープを決める際に最も厳しい法規制に照準を合わせるといった方法もあります。)

スコープを決定する上で最も難しい点は、域外適用などのケースや業界固有の法規制が適用対象となるかどうかを見極める必要があることです。プライバシー専門家の重要な責任の1つは、データのライフサイクル(収集、保管、利用、廃棄)を通して適用される法規制を見極めることです。

また、国や州レベル、業界固有の法規制は時間の経過とともに新設・改正されるため、それらをモニタリングし、そうした変化に合わせて適切なスコープを決定していくことも重要となります。

OneTrustを使用すると?

OneTrustのデータディスカバリー機能があれば、これらのステップを自動化し、より効率的かつ通常のインタビュープロセスでは把握できないような、担当者が忘れていたり、知らない間に収集、保管、利用されている個人情報まで明らかにすることが可能です。さらに、検知された情報は、それが何であるか(電話番号、氏名、住所など)に分類され、どこにどのような属性の個人情報があるかまで明らかにしてくれます。

また、データマッピング機能を利用することで、データのライフサイクルを通して誰がどのように収集、利用、保管、廃棄しているかについての詳細な情報や扱われている個人情報の属性や保管場所、データ移転やアクセスする部門や外部のベンダー、廃棄期限やその方法、セキュリティ保護措置(通信や保管時の暗号化)などの情報まで補足することが可能です

プライバシー戦略

今回のブログの「プライバシー戦略」の定義は、プライバシープログラムとビジョンを組織に周知し、全社的な取り組みとして機能させるための組織的アプローチを意味します。

個人情報は組織のさまざまな部門で収集され、多くの従業員がそれらの情報を日々利用したり、管理しています。こうした従業員に対して、いくら素晴らしいポリシーやビジョンを作成しても、それらが周知され業務の中で機能しなければ、絵に描いた餅に終わります。

プライバシープログラムを正しく機能させるカギは、組織を構成する人の行動や考えを変えることであり、プライバシー戦略では、人や組織の考えや姿勢、行動を変えるためにどういったアプローチをとるべきかが重要となります。

経営層の賛同を得る

経営層からの賛同、すなわちリソース面・予算面での協力を得なければ、プライバシー保護を専門とする組織の設置やリソースのアサイン、さらにプライバシー保護のためのテクノロジーへの投資や従業員への教育といった取り組みを行うのは不可能です。

経営層の賛同を得ることのもう1つの大きなメリットは、このプログラムへの参画や協力を社内の他の組織に呼び掛ける際、この取り組みが組織として正式に承認された取り組みであること、組織として取り組む重要性について他のメンバーにアピールできる点にあります。

こうした理由から、スポンサーである経営層の理解を得ることは、必須要件です。

近年、個人情報保護の重要性は世間的に高まっており、適切な取り扱いが出来ていない企業に対する制裁金や訴訟に伴う金銭的ダメージやブランド価値の棄損は、企業としてプライバシー課題に取り組むのに十分な理由付けになります。

とはいえ、経営層からの賛同を得ることはそれほど簡単ではありません。ITセキュリティ、リスク、法務などを管理する経営層や管理職と非公式で対話する機会を設け、プログラムのスポンサー候補を見つけるところからスタートします。

プライバシーワークショップの開催

また、プライバシー戦略を進めて行く上で幅広いステークホルダーからの協力と関与を得る際にも重要な要素です。

ステークホルダーによってプライバシーに関する知識は異なるため、定期的にワークショップを実施することで、組織が直面するリスクや課題、課されるデータプライバシーの義務、高まるプライバシーに関するマーケットの期待について同じ理解レベルの基準を醸成することができます。

フレームワーク

スコープが決まると、個人情報を保護し、適切に取り扱うための仕組みを業務に組み込む必要があります。複数のプライバシー法規制で求められる様々な権利と義務に対応するには、「フレームワーク」を活用します。

「フレームワーク」は、プライバシープログラム管理を行う際のガイドとなるさまざまなプロセス、テンプレート、ツール、法律、原則、基準を指し、プライバシープログラムを構築する上で根幹となる部分です。

以下では、代表的なフレームワークについて紹介します。

OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data

「OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data(プライバシー保護と個人データの国際流通に関する ガイドライン)」は最も有名なガイドラインです。こちらのサイトでは、ガイドライン(英語:全文)やガイドライン(日本語:Overviewのみ翻訳 ※ただし公式翻訳ではありません)を確認することができます。

GAPP( Generally Acceptable Privacy Principles)

「GAPP(一般に公正妥当と認められたプライバシー原則)」は、米国公認会計士協会(AICPA)がカナダ公認会計士協会(CICA)と協力して2009年に公開したフレームワークです。SOC 2の構成要素でもあります。

個人を特定できる情報(PII)は、組織のプライバシーポリシーにおけるコミットメント、およびAICPA/CICAが発行したGAPPに定められた基準を遵守して収集、使用、保持、開示されなければなりません。このプライバシー目的は、10の主要原則と70以上の目的、および関連する測定可能な基準によって支えられている。

Management, Notice, Choice and Consent, Collection, Use and Retention, Access, Disclosure to Third parties, Security for privacy, Quality, Monitoring and Enforcementの10原則で構成されています。

NIST Privacy Framework

NIST プライバシー フレームワークは、組織がプライバシー リスクを特定して管理し、個人のプライバシーを保護しながら革新的な製品やサービスを構築できるようにすることを目的として、関係者と協力して開発された自主的なツールです。

あらゆる規模の組織において広く利用でき、特定のテクノロジーやセクター、法律、法域にとらわれないツールとして2020年1月に公表されました。

フレームワークは3つの階層に分かれています。

  • Core : 重要なプライバシー保護活動と望ましい成果について、経営陣から実装/運用レベルまでの対話を可能にする
  • Profile : 組織のプライバシーのバリュー、ミッションやビジネスのニーズ、およびリスクを最もよく満たす成果と活動の優先順位付けを可能にする
  • Implementation : プライバシーリスクを管理するための組織のプロセスやリソースが十分かどうかの意思決定とコミュニケーションをサポートする

Privacy by Design ( プライバシー・バイ・デザイン )

Privacy by Design(プライバシー・バイ・デザイン、以下、PbDと表記)は、情報技術やビジネスプラクティス、物理インフラストラクチャーの設計にプライバシーとデータ保護を組み込むことを目的としたフレームワークです。

PbDは、プロジェクトやシステムの設計段階から(事前に)プライバシーとデータ保護が考慮されるようにするためのものであり、7つの原則で構成されています。

Privacy by Designを実現する仕組み: OneTrust

Privacy by Designとは?今回のブログでは、Privacy by Designの説明とOneTrustのソリューションが、それを実践するための仕組みをどのようにサポートするかご紹介します。

その他

APEC Privacy Framework

アジア太平洋のデータ移転を可能にすることで消費者、企業、政府に資することを目的としています。情報に対しての個人の権利に関する記述はなく、情報開示の結果として生じる実際の損害または潜在的な損害に焦点を当てています。

European Telecommunications Standards Institute (ETSI)

ETSIはテレコム業界の非営利の標準化団体であり、情報通信業界向けに世界的に適用可能な基準を作成しています。(こちら

さいごに

強固なプライバシープログラムを構築するためには、その基礎となる土台が重要です。今回のブログで紹介した要素は、どれもプライバシープログラムを構築、正しく機能させるために重要なものです。

次回のブログでは、引き続きプライバシープログラムに欠かせない要素であるプライバシーチームやテクノロジーについて紹介します。

この記事をシェアする

OneTrust は、プライバシー分野でNo.1のソリューションです。

その理由は、機能の網羅性にあります。

OneTrustのソリューションに興味がありましたら

お気軽にお問い合わせください