体制構築の疑問「どの部署が対応すべきか?」
まず、課題としてよく相談をされるのが「どの部署が対応するべきなのか」という点です。データに関わるプライバシー問題を取り扱うという点で言えば、個人情報保護法を含めた法律面での対応を検討するという観点から「法務担当者」、データを活用することの多い「マーケティング担当者」さらにはデータの収集や取り扱いおよび運用体制の構築という面でいうと「システム担当者」が担当者として選ばれるケースが多いです。どの担当者が最適かという点については組織によって事情が異なるため、組織として重要視している目標から逆算して、「データの収集や保持に対するコスト」と「プライバシーの保護」のレベルを定義し、「システム運用に耐えられる内容にしていく」ことが重要であると考えています。
システムにおける課題
役割が決まり具体的に体制の構築をしていく上でよく課題として出てくるのが、「どのようなシステムで対応していくか」という点です。日本で言えば個人情報保護法、EUで言えばGDPR、その他にも個人情報を守るための法律が各国で存在しています。それぞれの内容は若干異なるため、対応したい国の法律に合わせたシステムを導入する必要があります。なお、データに関わる法律で有名なGDPRは他の国の法律と比べて制約が多いため、GDPRを遵守した上でデジタルマーケティングの施策を打とうとすると、コストが上がります。
また、GDPRを遵守しているからといって、日本の個人情報保護法に特有で存在している個人関連情報(Cookieなどの個人情報ではないが個人に紐付け可能な情報)と個人情報を紐づける際の確認記録義務やその他ルールを守れているという保証はないので、注意が必要です。そういった面でいうと、法律を遵守した状態でデジタルマーケティングの効率をあげることができるようなシステムを構築する、ということが重要になります。
法の変化や社会情勢に照らして、運用・改善する
最後に、プライバシーガバナンスを構築したのちには「運用」を行う必要があります。たとえば、2022年の4月にプライバシーガバナンスを構築したとして、その後も個人情報保護法の改正や電子通信事業法などのデータに関わる法律の変化やその他社会の情勢に合わせて、プライバシーを保護する体制を常に変化させていくことが求められるのです。
プライバシー保護の体制を変えるという観点で言うと「社内ルールの整備」はもちろん「消費者にプライバシー保護体制を明示するためのプライバシーポリシーの変更」、第三者とデータを連携している場合は「対象企業への周知と確認記録義務用のデータの提出」、そしてこれらの三つを運用するための「システム面での対応」が必要になります。
続いて次項では、プライバシーガバナンスの体制構築・運用をしていく上で必要となる視点・考え方について紹介します。
