目次
国内に限らず、世界的にもプライバシーや個人情報を重要視する動きが強まっています。
ベルフェイスでは、2022年9月28日にスタートアップ支援の一貫として、スタートアップの法務・プライバシー担当者を対象に「プライバシーガバナンス・個人情報保護法対応において企業が対策すべきポイント」についてのセミナーを主催いたしました。
セミナーでは、日頃よりスタートアップ支援政策に熱心に取り組まれていらっしゃる議員、および各有識者による解説がおこなわれました。
本記事では、セミナーの内容についてのレポートを前後編に渡ってお届けします。
前編は個別登壇、後編は当日寄せられたご質問への回答となっています。
登壇者(敬称略)
岩田 和親(衆議院議員)
島岡 政基(経済産業省)
別所 直哉(紀尾井町戦略研究所)
淵邊 善彦(ベンチャーラボ法律事務所 弁護士)
多田 昂正(株式会社コドモン)
左古 悠志(ベルフェイス株式会社)
※本記事内ではみなさま敬称略とさせていただきます
個人情報保護法・プライバシーガバナンス対応の重要性及びスタートアップ支援に関するメッセージ
スピーカー:岩田 和親(衆議院議員)
私はこの秋より、自民党の経済産業部会の部会長という役目をお預かりしました。
岸田総理は今年をスタートアップ創出元年とし、この五か年で全力でさまざまな政策に支援を投入して、スタートアップ関係の政策への取り組みを進める方針を打ち出しています。
大きなテーマで言うと、例えば人材の課題。そして、事業環境を整える課題。また、資金の量や流用性などの課題を整理しています。
すでにいくつかの政策についてはスタートをしている状況です。そのなかで、スタートアップへの法務分野でのサポートも重要な課題として挙げられています。
今回のテーマである、DXの推進と個人情報の保護は切っても切れない課題です。
特にスタートアップにとって、個人情報をスマホやデバイスなどで取得をして活用していくことは、まさにビジネス戦略の中心になるでしょう。ぜひ個人情報などの法務的な分野でつまづくことないよう、まずはしっかりと守りを固めていただきたいと思います。さらには法務的な課題をよくご理解いただき、プラスに活用していただく攻めの姿勢に、私たちは期待をしています。
今年の2月には、このDX時代における企業のプライバシーのガバナンスガイドブックを経産省として整理をいたしました。このあとその点に関して詳しく、特に今日はスタートアップ向けに説明すると承っております。
個人情報の課題をはじめとして、スタートアップの法務や専門的知識に関して、国がさらに支援していくことをお約束申し上げます。
これから年末に向けて、「スタートアップ育成5か年計画」の策定、また、そのなかの大事な課題であるストックオプションやオープンイノベーションに関する税制などの議論が控えています。国としては、ここでスタートアップの新興を成功させなければ、もうあとがないという危機感を強く持っております。
世界情勢や経済も不透明ななかではありますが、しっかりと環境を整備するために私たちは全力を尽くしてまいりますので、どうぞそれぞれ現場でご活躍のスタートアップの皆様には、ますますチャレンジをしてご発展いただきますよう、心から御祈念をさせていただきます。
「DX時代における企業のプライバシーガバナンスガイドブックVer1.2」について
スピーカー:島岡 政記基(経済産業省)
企業のプライバシーガバナンスとは、プライバシー問題を企業の価値向上に活用するための、単なる法令遵守・コンプライアンスに限らない取り組みを指すフレーズです。
これを実施していくためには、現場や法務部門等に限らず、経営陣が自ら積極的にコミットしていくことが不可欠です。
「DX時代における企業のプライバシーガバナンスガイドブックVer1.2」でも、主に経営陣の方々に訴求すべき内容を取りまとめております。
プライバシーガバナンスが重要視される背景
昨今では欧米を中心に、経営者にはプライバシー問題を経営上の問題として取り扱うことが求められています。よく知られている例では、EUのGDPR(一般データ保護規則)において非常に強い規制がかかっており、EUとの間にデータのやりとりがある企業には無視できないものとなっています。
また、ニュース等でもプライバシー関連記事の露出が増え続けているなど、プライバシーへの関心が高まっているのはご存知のとおりです。
これらは一見すると向かい風のように思えますが、逆に追い風ととらえプライバシー問題に積極的に対応していくことで、社会的な信頼を得て企業価値の向上につなげている企業が増え始めています。特に、プライバシーの対策技術を売りにしているプライバシーテックにおいては、出資が拡大されている状況です。
以前は個人情報保護法を遵守しているというコンプライアンスの目線だったものの、法令遵守だけでは批判・炎上を避けきれないというケースも散見されます。そのため企業にとっては、受け身の姿勢だけではなく、より能動的に対応していくことが重要となってきます。
対象を法令規制に限らず、プライバシー問題やステークホルダーの範囲をより俯瞰的にとらえ、積極的にコミュニケーションをはかっていく。それにより信頼を獲得し企業価値向上につなげていくという取り組みが、プライバシーガバナンスと位置付けられています。
「プライバシーガバナンスガイドブックVer1.2」の概要
対象読者は、パーソナルデータを利活用する企業の経営陣、あるいは経営陣に対して提案できる立場にいる管理職の方々を念頭に置いています。
メインの内容は、経営者がコミットすべき3つの要件と、それを実践するための5つの重要項目です。
特に消費者・その他のステークホルダーとの継続的なコミュニケーションを通じて、社会からの信頼の獲得・企業価値の向上・ビジネス上の優位性を目指していくための、エッセンスを解説した内容になっています。
この3つの要件と5つの重要項目の具体的な「HOW?:どうやって?」については、統一的な攻略方法があるわけではなく、各社戦略や環境等に応じてさまざまであることが、これまでのヒアリングを通じてわかってきています。
さまざまな事例をご参照いただき、各社の戦略や環境に応じて適宜カスタマイズしながら取り組んでいただければと思います。
スタートアップであっても、企業が主体的に取り組む姿勢を持つことでプライバシーガバナンスは実践できます。むしろプライバシーガバナンスの点では、大企業よりもスタートアップにアドバンテージがあります。
なぜなら大企業は、システムや組織体制などさまざまな面でレガシーや制約が多いという理由から、マイナスからのスタートになってしまうことが多々あります。これに対してスタートアップは、プライバシーガバナンスをゼロから作れるため、プライバシーを攻めに活かすアドバンテージはむしろスタートアップにあるのです。
株式会社コドモンにおける個人情報保護法・プライバシーガバナンス対応について
スピーカー:多田 昂正(株式会社コドモン)
コドモンの個人情報に対するスタンス
株式会社コドモンは、保育・教育施設向けにICT業務支援システム『CoDMON(コドモン)』の提供をはじめ、EC事業、研修サービスなど、多種多様な個人情報が関わる事業を展開しています。
なかでも特に、今回の個人情報保護法・プライバシーガバナンスに強く関連するのが、業務支援システム『CoDMON』です。子どもの情報だけでなく、保護者や施設の職員の情報など挙げていくときりがないほどの個人情報が取り扱われます。
そのためコドモンでは、2021年6月に法務機能を立ち上げ、2022年8月から2名体制で運営しています。法務としては、一般的な新規事業のサポートや個人情報・プライバシーや知財などの法務をチームが請け負っています。
個人情報は当然の大原則として、情報の主体となる本人のものであり、保護される権利利益の帰属主体のものです。しかし、コドモンのサービス提供先は子どもたちであるため、実際には法定代理人となる保護者が管理主体となります。
それを前提として、コドモンでは「情報が本人のものである以上は、本人から取得するのが望ましい」というスタンスです。そのため、ユーザーから見たときに情報の流れを明確にし「自分がどこにどのような情報を提供しているのか」がわかるようにすることを意識しています。
コドモンの情報管理体制
個人情報の種類やサービスによって、法的な整備がまったく異なるため、その先でどのようなガバナンス体制を組むかも変わります。コドモンでは、それぞれのサービスや情報の性質に応じたスキームを構築して対応しています。
基本的には、法務と情報セキュリティ委員会の2つでの情報管理体制を組んでいます。情報セキュリティ委員会は、委員長に代表取締役が就いています。推進責任者にはシステム側の担当者と、個人情報保護管理者として法務の担当者が入っています。
さらに、これだけでは委員会でカバーできる範囲に限りがあるため、各部署ごとに部門管理者と部門責任者を設置し、状況把握や対策管理の体制を取っています。部署ごとの意識啓発も狙いに、部門管理者は一定期間で担当を変え、事務局活動の中で得た知見などを各部署内で展開してもらうようにしています。
補足として、2022年10月からは推進責任者も法務側が担うようになり、より情報やプライバシーガバナンスを意識した体制を進めていく予定です。
情報管理に対する啓発活動
ベンチャーやスタートアップが情報管理をおこなうにあたっては、基本を忠実に守ることが重要です。そのうえで、状況に応じた改善を常に作り、サイクルを作っていくことが大切だと考えています。
管理体制に紐づくトピックから、今回は『社内研修等による意識啓発』に絞ってお話をいたします。社内研修では、従業員向けと経営陣向けの2つの方向からの意識啓発にアプローチしています。
従業員向けには、基本的な情報研修や、コドモンのサービスがどのようなスキームで動いていてどこに気をつけなければいけないかや、セキュリティ上のルールを研修しています。これらの研修は、全社向け・マネージャー向けなどターゲットによって、内容を調整しています。
また、法務が回答した個別事案は各チームに持ち帰って共有してもらい、全社で閲覧可能な社内ポータルを使って水平展開もおこなうという方法をとっています。同時に、法務からの直接の発信や、記事作成による情報提供も実施しています。
経営陣向けとしては、法務から社長に対してアプローチし、社長からほかの役員に水平展開してもらうという流れになっています。
具体的には、法務と社長が毎週30分の1on1をおこない、リスク状況や今後の体制構築、今考えているビジネスに応じて何を考慮しないといけないかなどの提示をおこなっています。
加えて、社長・セキュリティ委員会の推進責任者・法務担当の3人での、定期的なミーティングの場も設けています。
ベルフェイス株式会社における個人情報・プライバシー保護対策4つのポイント
スピーカー:左古 悠志(ベルフェイス株式会社 IT統制統括室)
世の中のプライバシー炎上案件
世の中では、さまざまなプライバシー問題による炎上が発生しています。いずれのケースもサービスの終了や行政指導といったペナルティを受けていることから、プライバシーでの炎上については考えていかなければならないことです。
炎上が起きると正常な業務が全社的に停止したり、安全重視の重い対策を取らざるをえなくなったりして、スタートアップにとっては非常に致命的な問題となります。そのため、平常時からしっかりとプライバシー保護の意識を持って対策していくほうが、リーズナブルだと考えています。
ベルフェイスのサービスにおけるプライバシー保護について
弊社の個人情報の委託・許諾関係についてご説明します。
bellFaceを利用する顧客をホストと呼び、ホストのお客様をゲストと呼びます。ホストはゲストに個人情報の利用の許諾をしていただき、弊社ではその個人情報の委託を受けるという関係性になっています。
bellFaceでプライバシー情報が発生する場所は、主にゲストとホスト間の商談の場です。
例えば生命保険関連のお客様であれば、病歴や加入保険情報。通信系のお客様であれば、本人確認情報。コールセンターであれば、個人情報やお部屋の映り込みといった、個人情報が発生します。
そのため我々も、商談の場において発生しうる個人情報の保護と、それをお預かりしているシステムの保護のお話は、両輪として進めていかなければならないと考えています。
また、お客様からいただいたプライバシー保護の観点でのご要望も参考にしたうえで、お客様により安心して使っていただけるような機能を開発・提供しています。
例えば、商談時に背景をぼかす機能や、画面共有時に特定のフォームを隠すマスキング、写真や画像の共有をする際は、永続的な保持ではなく商談終了時に削除されるなどです。
システムの面については、以前より取得済みのISMSに加え、2022年にISO27017(CLS:クラウドサービスセキュリティ)を追加取得いたしました。
現在提供しているサービスだけでなく、今後開発するものに関しても安全性を担保するよう動いています。具体的には、ベルフェイスではオープンプロダクトマネージメントワークフローを使って開発をおこなっており、こちらのストラテジーフェーズで、プライバシーや法務相談をいただけるように継続的に働きかけています。
ベルフェイスのプライバシーガバナンス体制
プライバシーワーキンググループの常設
情報セキュリティ委員会の下に、プライバシーの対策をおこなうワーキンググループ(以下、WG)を置いています。
情報セキュリティ委員会の推進者が社内セキュリティ責任者を兼務し、法務マネージャーと一緒にその下のプライバシーWGを運営しています。
2022年からプライバシーWGを母体に、個人情報の保護法の対応プロジェクトを始動しました。このプロジェクト自体は全社的な取り組みになっているため、プロダクト・コーポレート・マーケティングと、それぞれの領域でWG化しました。WGに置いたリーダーとともに全体調整をしながら、大きく「サービス」「自社営業」「社内対応」のカテゴリで進めています。
具体的な対応について
対応事項の一例としては、法的要件が改定されている部分についての、プライバシーポリシーや利用規約の改定をおこなっています。また、商談開始時には、ポリシー文章を提示するといった対応もとっています。
そのほかにも、Cookie同意バナーの設置、個人情報を取得する際にポリシーを提示しているかの点検、開示請求がきた場合に備えた社内フローの整備の実施などをおこなっています。また、弊社では海外からの業務制限や、個人データの海外での蓄積を禁止しており、社内に周知もしています。
社内研修も実施しており、そもそも個人情報やデータがどのようなものなのか、サービスでどう取り扱われているかなどの研修をおこなっています。その研修のなかで、法的要求事項や個人情報を取得する際の作法や、社内のルール・禁止事項などを説明しています。
個人情報・プライバシー保護対策4つのポイント
ここまでのお話を「個人情報・プライバシー保護対策4つのポイント」を3つのステップにわけて総括します。
まず1ステップ目の『地盤』として、サービスにおけるプライバシー・個人情報の取り扱いに対する正しい理解は大前提です。同時に、個人情報保護のための全社体制の構築と、社内理解を進めることで、地盤を固めることが重要となります。
2ステップ目は『守り』の部分です。安心・安全なサービスを提供するために、サービス開発にあたっては開発系の部門と連携して、プライバシー考慮をサービス開発のプロセスに組み込んでいく。
最後3ステップ目の『攻め』については、お客様のプライバシー懸念をご意見として吸い上げ、解消していくこと。これが、サービスの価値にもつながります。
まとめ
「プライバシーガバナンス・個人情報保護法対応 対策すべきポイント」のセミナーレポート前編は以上となります。
後編では、パネルディスカッションの様子をお伝えします。当日は時間の都合上回答できなかったご質問にもお答えしています。ぜひ後編もご覧ください!
「プライバシーガバナンス・個人情報保護法対応 対策すべきポイント」【前編】 https://bs.bell-face.com/2022/11/10/2022111001/