2019年7月17日現在、ビジネスのグローバル化は加速の一途を辿り、データの利活用が企業の競争力を左右する時代へと突入しました。こうした中で世界的な注目を集めているのが、欧州で施行された一般データ保護規則、通称「GDPR」です。この規制は国境を越えて適用されるだけでなく、違反時には巨額の制裁金が課される可能性があるため、日本企業にとっても決して他人事ではありません。もはや国内法への対応だけを意識するフェーズは終わり、グループ全体でのガバナンス整備が最重要課題になったと言えるでしょう。
SNS上でも「制裁金の額が桁違いで恐ろしい」「日本企業も本気で対策しないと取り返しのつかないことになる」といった投稿が目立ち、現場の緊張感は高まる一方です。ここで言う「ガバナンス」とは、企業が健全な運営を行うための統治体制を指します。EY Japanのシニアマネージャーである熊谷真知子氏は、日本企業が今すぐ取り組むべき3つの要点を提示しました。まず1点目は、世界規模での管理体制を築くことです。海外拠点に運用の判断を委ねるのではなく、各国の法規制を網羅した共通ルールを確立しなければなりません。
アジア諸国などでも規制強化が進む中、地域ごとに異なる細かなルールへ注意を払う必要があります。単に日本の法律やGDPRをなぞるだけではカバーしきれない、その土地固有の規制が潜んでいるからです。グローバル企業としての責任を果たすためには、こうした多角的な視点でのルール作りが欠かせない要素となります。各拠点がバラバラに動くのではなく、組織として一本筋の通った指針を持つことが、リスク回避の第一歩になるはずです。
透明性が信頼を生む!個人の感情に配慮した「PIA」の活用
2点目に挙げられるのは、法律の遵守という枠組みを超えた、個人の権利や感情への配慮です。2019年1月には、フランスの当局が米国の巨大企業に対し、約62億円もの制裁金を課す決定を下して世界に衝撃を与えました。情報の透明性が欠如している、つまり「自分のデータがどう使われているか分からない」と本人に感じさせてしまったことが大きな要因です。こうした対応の不備は、法的な罰則だけでなく、企業のブランドイメージを著しく損なうリスクを孕んでいることを自覚すべきでしょう。
このようなリスクへの特効薬として期待されているのが、プライバシー影響評価(PIA)という手法です。PIAとは、新しいシステムを導入したり業務プロセスを変更したりする際に、個人のプライバシーにどのような影響を及ぼすかを事前に評価し、対策を講じる仕組みを指します。2019年5月には日本の個人情報保護委員会もその重要性を強調する資料を公表しました。企業が一方的にデータを活用するのではなく、データ主体である本人のプライバシーを尊重する姿勢こそが、現代のビジネスには不可欠なのです。
「兼務」からの脱却!専門家チームによる実行力の確保
最後に必要となるのが、専門性の高い組織体制の構築です。これまでの日本企業によく見られた「他部署との兼務」や「寄せ集めのチーム」では、激変する世界の法規制やビジネスへの影響に即座に対応することは困難だと考えられます。プライバシーリスクを多角的に分析できる有能な専門家を配置し、強力な権限を持って対策を推進する実行部隊を作り上げることこそが、3点目の重要なポイントです。サイバー対策が経営の主要テーマとなったように、個人情報の保護も企業の標準装備となる日が近づいています。
私自身の意見としては、このデータガバナンスの強化を単なる「守りのコスト」と捉えるのではなく、顧客との信頼関係を強固にする「攻めの投資」と捉え直すべきだと考えています。EYの調査によれば、先進企業の9割以上がプライバシーポリシーの策定や社内教育に注力しており、その意識の高さが伺えます。誠実にデータと向き合う姿勢は、デジタル社会における最強のブランド価値になるはずです。熊谷氏が警鐘を鳴らすように、早急な体制整備に乗り出すことが、未来の成功を手繰り寄せる鍵となるに違いありません。
コメント