データ利活用と個人情報・プライバシー保護―最新動向と企業の実践事例

現代の事業成長のカギとなるDX推進において、パーソナルデータ（個人情報保護法上の個人情報だけではなく、個人に関連するあらゆる情報を指す。以下「データ」という）の収集と利活用は欠かせない要素だ。顧客の購買履歴、ウェブサイト上の行動履歴等のデータは効率的な広告戦略に寄与し、指紋や顔認証等のデータは先進技術を用いた新商品開発のヒントや付加価値になりうる。しかし、データ利活用の進展は、同時にデータの漏洩や不適切な取扱いによるリスクの側面も持ち合わせており、個人情報保護に限らず、プライバシー保護との繊細なバランスが求められる。
国内外の個人情報保護法制に精通し、複数企業のデータ利活用支援の実績を持つT&K法律事務所の墳﨑隆之弁護士は、日本におけるデータの利活用はまだ過渡期にあり、今後の法改正の動向次第では、企業が取り組むべき課題がさらに増えるだろうと予測する。
「2025年の個人情報保護法改正により、個人の権利利益の侵害につながる不適正利用および不正取得について、IPアドレスやCookieなどの識別子（個人関連情報）も個人情報と同等の保護対象になる可能性があります。その場合、プライバシーポリシーの改訂が必要になるほか、第三者提供に伴う同意取得の方法やタイミングが問題となります。そもそもCookieはサイト訪問とほぼ同時に取得が開始されるため、厳密には訪問と同時に本人の同意を得るのが理想です。しかし、ウェブサイトを訪れるたびに同意確認を求めるのは、消費者にとって煩雑であり、また、企業側にとってもスムーズなサービス提供の妨げになりかねません。今後の法改正では、データ利活用に関する実務上の課題や技術的制約も踏まえ、より具体的でバランスのとれた同意取得のルールが示されることが期待されます。この観点から、最近のトピックとして、統計の作成に該当するようなAI開発においては、本人の同意なく第三者提供を可能とする方向で法改正が検討されていることは、実務への配慮を示すものであると評価できます」（墳﨑弁護士）。
一方で、データ利活用における企業の取り組みや問題事例に詳しい田畑早紀弁護士は、「データ利活用を先行させるあまり、消費者に十分な説明がないまま顔認証情報やSNSアカウントなどのさまざまなデータを収集し、消費者から“不透明・不適切な取扱いをされている”と批判を浴びて炎上し、ブランドイメージや信用を毀損してしまうケースが増えています」と、警鐘を鳴らす。
なぜそうした事態が絶えないのか。田畑弁護士は社内体制の不備を理由の一つに挙げる。
「DXを推進し先端事業を手がける企業の中には、スピード感を重視するあまり、法務部門や情報セキュリティ部門との十分な連携がなされないまま、見切り発車でサービスを開始してしまうケースが多く見られます。複数の事業部やグループ会社でそれぞれ収集されたデータを統合して活用しようとする際に、データの利用範囲や責任の所在に関する社内ルールが未整備で、現場の担当者が手探りで対応せざるを得ないといった実情も窺えます。その結果、グループ会社間での個人情報保護法に違反する個人情報の共有事例などが多く報道されているところです」（田畑弁護士）。
実際、同事務所では、データの利活用を進めつつ、不透明なデータ利用や漏洩によるトラブルやレピュテーションリスクを回避するための取り組みについて、多角的な視点からアドバイスを求められる機会が増えているという。

企業価値と消費者の信頼を高める“プライバシーガバナンス”

こうした状況下で、企業がデータ利活用とプライバシー保護を両立させるために不可欠なのが“プライバシーガバナンス”の構築だ。
田畑弁護士はその本質をこう説明する。「プライバシーガバナンスとは、単なる法令遵守にとどまらず、個人情報を超えたプライバシー保護に配慮し、社会的に受容される体制を構築する取り組みです。総務省と経済産業省が公表している「DX時代における企業のプライバシーガバナンスガイドブックver1.3」（2023年4月25日）では、“経営者が積極的にプライバシー問題への取り組みにコミットし、組織全体で取り組むための体制を構築し、それを機能させること”だと説明されています。これらのプライバシー保護の取り組みを通じて競争力や社会的信頼を戦略的に高めていくことが、これからの企業の重要な経営課題になってきています」（田畑弁護士）。
その背景には、個人のプライバシーに対する意識の高まり、そしてプライバシー概念の広がりがあると、墳﨑弁護士は指摘する。
「SNSで個人の発信が容易になり、情報が瞬時に拡散される現代において、自身の情報が意図しない形で第三者に利用されたり、プロファイリングされたりすることへの警戒が高まっています。特にデジタルネイティブ世代である若年層は、オンラインでの自己表現とプライバシー保護のバランスに敏感であり、企業によるデータの取扱いに対しても、より透明性と誠実な説明、そして主体的な情報コントロールを求める傾向が強くなっています。プライバシーとは、伝統的には“他人に知られたくない個人の情報”という私生活の秘匿の面を核とするものでしたが、やがて“外部に対する自己発信や誰とどう社会的につながりたいかを自己決定する権利”に拡張していき、さらには、データ利活用の技術が発展して、情報そのものが“財産的価値”を持つようになってきました。プライバシー保護のあり方として、個人情報を伏せればよいということではなく、データとして活用するが、その際に、人格権としての本人の自己決定権の尊重と、情報が財産でもあるという、両方の側面を考慮する必要が生じてきているといえるでしょう」（墳﨑弁護士）。

墳﨑 隆之 弁護士

プライバシーガバナンス構築に向けた取り組みとその課題

では、具体的にどのようにプライバシーガバナンスを構築していけばよいのか。田畑弁護士は組織体制の重要性を強調する。
「プライバシー保護責任者の設置に加えて、当該責任者の下で、プライバシー保護やデータ利活用に特化した部署やチーム（プライバシー保護組織）を新設し、各事業部からの相談を一元的に受け付け、対応できるような体制を構築する事例も増えています。このようなプライバシー保護組織を専門部署として設けるか、または法務部門、情報セキュリティ部門、さらには事業部門と紐づけて設けるかは企業規模、現状の組織体制や取り扱うデータの内容等によりケースバイケースです。また、上場企業を中心に、CPO（Chief Privacy Officer：最高個人情報保護責任者）といった自社の保護方針策定、組織体制構築、従業員教育、インシデント対応等を統括する経営レベルの責任者を設置する動きも徐々に広がりつつあります。このような経営レベルの責任者の設置により、経営会議等を通じて、プライバシーに関する経営事項をトップマネジメントに直接提言し、必要なリソース確保や意思決定を迅速に行うことが可能となります。プライバシー問題に係るリスク管理が適切に行われていることを、独立した立場からモニタリングや評価するための部署や委員会等を設置し、中にはメンバーに弁護士などの専門家を招聘してモニタリングする事例もあります。また、製品やサービスの企画・設計段階からプライバシー保護を考慮する“プライバシー・バイ・デザイン”の考え方を取り入れ、製品開発・サービス設計、リリースまでの各段階でプライバシー担当部署や責任者がチェックを行うフローを取り入れる方策も有効です。開発の初期段階で潜在的なプライバシー侵害リスクを特定し、未然に防ぐことが可能になるため、製品やサービスのリリース後に問題が発覚し、大規模な改修や消費者への謝罪、補償といった事態に発展することに比べ、結果的にコストを大幅に削減できるだけでなく、このような取り組みを公表することで、消費者の信頼を得やすい製品・サービスにつながり、競争上優位になりやすいというメリットがあります」（田畑弁護士）。
「プライバシー保護に求められる専門性は、法務知識に限られません。情報システムの知識も不可欠です。昨今問題になる事案としては、依然として情報漏洩が非常に多く、漏洩の原因は多くが情報システムに起因するものです。日々進化するサイバー攻撃の手法などを常に把握し、自社のシステムへのフィードバックや役職員への注意喚起ができる専門性が重要です。法務と情報セキュリティ、この両輪で対応しなければなりません」（墳﨑弁護士）。
プライバシーガバナンス構築の一環として、個人情報の取扱いを定めるプライバシーポリシーだけではなく、会社が取得したデータを活用する理念や方針を示すパーソナルデータ指針を策定する動きもあるが、田畑弁護士は「プライバシーポリシー、パーソナルデータ指針のいずれであっても、重要なのは、誰にでも理解できるわかりやすい言葉で、“透明性のある指針”を策定することです」と話す。
墳﨑弁護士は、データ利活用が進む中でのプライバシーポリシーにおける実務上の課題を次のように提示する。
「消費者が求める“透明性”を確保するために、利用目的の詳細な記載は非常に重要ですが、そこにはジレンマが伴います。日本の個人情報保護法は、個人情報を取り扱う際の利用目的の特定を求めています。消費者の信頼を得るために、どの情報が、誰に、どのような目的で提供されるのかをできるだけ具体的に記載することで透明性は高まりますが、細かく記載するほど利用目的の柔軟性が失われます。たとえば、“取得した購買履歴を自社商品の広告配信に利用します”と明記すれば、その範囲においては透明性が確保されますが、将来的にそのデータを分析してグループ会社の新商品開発に役立てたい、あるいは提携企業のサービスに利用したいと考えた場合、当初定めた利用目的の範囲を超えてしまうという問題に直面するのです。本人の同意なく利用目的を変更するのは、“変更前の利用目的と関連性を有すると合理的に認められる範囲”でなければなりません。しかし、その解釈が難しく、実務上は、ガイドラインや個人情報保護委員会の見解などを踏まえて判断していくしかないため、結果として“当初定める利用目的は包括的・抽象的にしよう”という方向となり、“透明性”の理念に反することになりかねません。このため、初期の利用目的設定においては、具体性と将来の事業展開を見越した拡張性のバランスを考慮して検討をしていく必要があります。過去に自社やグループ会社が取得した個人情報の取扱いについても同様であり、長年蓄積してきた膨大な個人情報をどう扱えばいいのか、多くの企業がいまだに苦慮しています。近時は、企業の将来の事業展開や個人情報を含むデータ利活用を踏まえた利用目的の検討、データの取扱い時のリスク分析、各企業の個別状況に応じた幅広い解決策について助言する機会が増えています。この点は今後ますますクローズアップされる課題といえるでしょう」（墳﨑弁護士）。
墳﨑弁護士は、もう一つの重要な視点として、個人の“自己情報コントロール権”をどこまで保障するかという問題を挙げる。「現行法でも、自己情報コントロール権の具体化として、自己の個人情報に対する開示、訂正および削除などの請求権などが認められていますが、これらの権利行使を、よりわかりやすく、利便性の高い方法で可能とすることも、サービスへの信頼を高めるものであり、これからのプライバシーガバナンスの一環として重要になってくるでしょう。オンラインで簡単に自分のデータを確認できたり、利用目的の変更を依頼できたりするしくみを構築することは、消費者との信頼関係を築くうえで有効な一手となり得ます」。
「アンケートなどを通じて、消費者がどのような点に不安を感じているのかを把握する試みや、消費者自身が過去に同意した個人情報の提供範囲を確認・変更できるウェブサイトを開設する試みを行っている事例もあります。このような消費者との継続的なコミュニケーションにより、消費者の意識の変化を継続的に取り入れていくことは、自己情報コントロール権に配慮した消費者との信頼関係構築やサービス改善に有効といえます」（田畑弁護士）。
墳﨑弁護士は、現行法における“オプトアウト制度”について、「現行の第三者提供にかかるオプトアウト制度は個人情報保護委員会への届出が必要とされるため、利用のハードルが高く、実務上の利用は限定的ですが、現在、より簡易なオプトアウト制度により個人情報の第三者提供を認める方向での議論もあります。消費者が主体的に情報提供の可否を選択できるようになれば、データ利活用促進の観点からも有益でしょう」と、今後の展望を示した。

データ利活用と並行すべき個人情報・プライバシー保護の出発点

リソースが限られている企業にとって、プライバシーガバナンス構築のハードルは高いように思えるが、墳﨑弁護士は、「まずは、社内におけるデータの取扱状況を把握するためのデューデリジェンスなどのアプローチで問題点を洗い出し、優先順位をつけながら段階的に体制を構築していく方法が現実的です」と説明し、その第一歩として、「社内におけるデータのライフサイクルをきちんと“見える化”することを推奨します」と語る。
「たとえば、店舗で顧客の情報をどのような方法で取得し、そのデータはどこに集約され、誰がアクセスでき、どのように利用され、最終的にどう廃棄されるのか。この“取得・利用・保管・廃棄”という一連の流れをマッピングし、それぞれの段階でどのようなリスクが存在するかを洗い出すことが基本となります。そうすることで、情報漏洩のリスクが高いところや、法令遵守の観点から改善が必要なポイントが具体的に見えてくるはずです」（墳﨑弁護士）。
「プライバシーガバナンスの構築は一過性のプロジェクトではありません。社会の変化や技術の進展、そして何よりも消費者の意識の変化に常にアンテナを張り、継続的に見直し、進化させていくべき経営課題なのです」（田畑弁護士）。

田畑 早紀 弁護士

読者からの質問（外部クラウドサービスを利用する際の法的留意点）

→『LAWYERS GUIDE 企業がえらぶ、法務重要課題2025』を 「まとめて読む」
→ 他の事務所を読む

　DATA　

所在地・連絡先：
〒102-0093　東京都千代田区平河町2-7-5 砂防会館本館2階
【TEL】03-6265-4680 【FAX】03-6265-4681

ウェブサイト：https://tandkpartners.com/