プライバシープログラムを構築するには? Part2

はじめに

強固なプライバシープログラムを構築するには、プログラムが正しく機能するための仕組みが必要となります。

今回のブログでは、プログラムを構築する上で欠かせない要素のうち、組織体制とテクノロジーについて紹介します。

プライバシーチーム

先日公開された「IAPP-EY Privacy Governance Report 2023 」(プライバシー専門家に対するサーベイをもとに作成)によると、33%の企業でプライバシーチームが拡大した(14%が減少と回答)としており、プライバシーの専門家とプライバシーチームの役割が増し、投資が拡大していることが分かります。

また、同レポートでは、86%の企業において定期的に3つ以上のチームと協力し仕事をしているという結果から、現在の情報社会において、企業がデータの不正アクセス問題への対応をはじめとする問題に対処するためには、他チームと連携して対処していくことが必要であることが分かります。

プライバシーチームをどういう体制で構築するかは、さまざまなアプローチと方針があります。

ガバナンスモデル

ガバナンスモデルには、3つのパターンがあります。ここで紹介する3つのパターンについては、他のフレームワークでも使用されているコンセプトであり、目新しいものではありません。

それぞれにメリットとデメリットがあり、それら考慮した上で、自社にとって一番フィットするものを選択します。

ガバナンスモデルのうち、どれを採用するかも重要ですが、組織全体の中でプライバシー保護組織がどこに位置付けられるか(どの部門の配下に属するか)も、チームの責任範囲、役割、権限に影響を与えます。

一番重要なことは、チーム体制や位置づけという観点で見た場合に、組織が実現しようとしている目的やそのためのアプローチに適しているかどうかということです。

①中央集権型

プライバシーに関連する権限(戦略や計画、意思決定)は全て1つのグループがもち、他のグループはその方針に従います。この中央集権型のグループは、プライバシー保護組織やプライバシー保護責任者によって構成されます。

これは、本社主導でガバナンスを効かせたいグローバルな組織にとって、最適なモデルです。また、分散型と比べて、中央の組織に機能を集約することで、組織での標準化が図られ、各国や地域のローカル組織で個別に対応していくよりも、費用面でのメリットが大きいとされています。

②分散型

国や地域ごとにそれぞれのプライバシー保護組織または保護責任者を置き、プライバシーに関する権限を委譲します。このモデルのメリットは、国や地域間で適用されるプライバシー法規制の要件が異なる場合、それぞれの国や法域のプライバシー規制に詳しい現地の担当者の裁量により、迅速かつ適切な方法で対応することができます。

権限を委譲することの懸念点として、本社側で関与する機会が減り、各国や地域ごとの取り組みやルールが果たして十分にとられているかどうかの判断、本社のガバナンスが難しくなる点が挙げられますが、本社・ローカル組織間でコミュニケーションを定期的にとることにより、ガバナンスを効かせる工夫とともに現地のベストプラクティスやユースケース、発見された課題やリスクなどについてローカル組織で得た教訓やナレッジを本社にフィードバックし、組織全体で共有することが可能です。

③ハイブリッド型

ハイブリッド型は、ここまで紹介した中央集権型と分散型モデルの両方のいいとこ取りを意図したモデルです。本社で保持すべき権限とローカル組織で保持すべき権限を分けることで、方針やルールなど本社側でコントロールしたほうがいい部分は本社側が権限をもち、それ以外の部分はローカル組織側に権限を持たせることでローカルのニーズにも柔軟に対応することができます。

組織体制

チームを構築する上で重要となるタスク

上記のガバナンスモデルに関係なく、プライバシー保護組織、チームを構築する上で以下のタスクは、組織の目標を達成するのに必要不可欠です。

  • シニアリーダーシップを巻き込む
  • 関係者を巻き込む
  • 組織内の協力関係の構築する
  • 柔軟性を提供する
  • (必要な関係者や組織と)コミュニケーションを図る
  • (必要な関係者や組織と)協力して取り組む

役割と指揮系統

上記で必要な関係者を巻き込むことも重要ですが、戦略とそれに沿ったオペレーションを実現するための組織体制が重要となります。プライバシー保護組織やチームのコアとなる役割とその責任を明確化するとともに、指揮系統と併せて体制に組み込むことが重要です。

以下は一般的に組織の大小に関係なく必要とされる役割の一覧です。組織を構築する上で、役割を定義するだけでなく、それぞれの役割がどういう指揮系統でレポートするのか(または独立性を保つのか)など、どのように動く(機能する)のかについても併せて決定する必要があります。

  • CPO ( Chief Privacy Officer )
  • プライバシーマネージャー
  • プライバシーアナリスト
  • 各ビジネス部門のプライバシーリーダー(情報管理者というよりは、部門、ブランド、リージョンなどのシニアな管理者レベルの役職)
  • 法律顧問
  • インシデントレスポンスチーム(CSIRTなど)のメンバー
  • DPO( Data Protection Officer )※EU、カナダ、韓国など選任が必要となる場合
  • プライバシーエンジニア・技術者

テクノロジー

プライバシープログラム管理をサポートするためのソリューションベンダーの存在は、法令に遵守していることをを証明するために必要不可欠な要素です。

IAPPの2022年のレポートで紹介されているプライバシーテクノロジーベンダーの数は368社にも上ります。

同レポートでは製品機能について11種類のカテゴリに分類し、それぞれのベンダーがどのカテゴリの機能を提供しているかについてまとめています。ほぼ全てのカテゴリに対応した機能を提供しているベンダーもあれば、ある一部のカテゴリのみに特化したベンダーなど様々なベンダーについて確認することが可能です。

製品カテゴリ

  • アセスメント管理ツール(PIAのデータ入力やレポーティングの自動化等支援する)
  • 同意管理ツール
  • データマッピング
  • データ主体リクエスト(個人からのプライバシー権利リクエスト対応を自動化)
  • インシデント対応
  • プライバシー情報管理ツール(世界の最新のプライバシー法規制について広範かつ自動化された形で企業や組織へ提供するためのソリューション)
  • ウェブサイトスキャン(サイト上で使用されているCookie、ウェブビーコン、他トラキングテクノロジーをスキャンし、法規制の遵守を支援)

エンタープライズのプライバシー管理ソリューション

  • アクティビティモニタリング(ユーザーアクティビティ、システムイベント、データアクセスのモニタリング、異常検知)
  • データディスカバリー(データクラシフィケーションの自動化)
  • 匿名化と仮名化
  • エンタープライズコミュニケーション (電子メール、Chatツール、ビデオ会議などの情報通信を適切に保護し、組織内のコラボレーションおよび通信データの安全性を担保する)

さいごに

プライバシー保護のためのテクノロジーは、日々進化しており、先ほど紹介した通りIAPPのレポートに掲載されたものだけでも368社に及ぶベンダーがプライバシー関連のソリューションを提供しています。

プライバシー法規制とそれを遵守するための業務が複雑になればなるほど、テクノロジーの導入はプライバシープログラムを実行し管理するために重要な役割を果たします。

プライバシープログラムとOneTrustソリューション

プライバシープログラムは、個人情報を取り扱う様々な自社及び委託先の従業員、個人情報を共有する委託先やパートナー企業プライバシー法規制を遵守し、個人のプライバシーを組織的、技術的に保護するための様々な取り組みです。

個人情報のライフサイクル全体(収集、保管、利用、廃棄)を通して、プライバシープログラムを効率的に機能させるとともに適切に機能していることをモニタリングするためには、OneTrustのようなプライバシーマネジメントに特化した専門のソリューションが必要です。

以下の図は、OneTrustのソリューションがどのようにプライバシープログラムや法規制で求めれる要件と関連しているかを表しています。

もし、OneTrust 製品に興味がありましたら、ぜひ弊社のデモにお申し込みいただき、実際の画面を通して、操作感や機能についてご覧ください。

この記事をシェアする

OneTrust は、プライバシー分野でNo.1のソリューションです。

その理由は、機能の網羅性にあります。

OneTrustのソリューションに興味がありましたら

お気軽にお問い合わせください