昨今、従来の法令遵守や情報漏えい防止等のセキュリティの観点でのプライバシー対応だけでなく、「プライバシーテック」の進歩に伴い、プライバシー保護とプライバシーデータ活用を両立させた取り組みにより新たなビジネス機会の獲得を狙う企業が増えてきています。（プライバシーテックおよびプライバシーテックを用いたビジネス機会獲得の事例については前回の記事をご参照ください。）
前回の記事では、プライバシー対応をより広い概念として捉えることで、ビジネス機会の獲得につながることをご紹介しました。しかし、こうしたビジネス機会を確実に捉え、持続可能なプライバシーデータの活用を実現するためには、サービスやシステムを企画・設計するプライバシー保護の考え方を組み込む必要があります。いざビジネス機会獲得に向けてプライバシーデータを活用しようとしても、プライバシー保護とプライバシーデータ活用を両立するための仕組みやルールがなければ「企業がやりたいこと（プライバシーデータの活用範囲）」と「法制度、顧客の期待、社内運用」との間にギャップが生じ、企業イメージの毀損や批判の高まりにつながる可能性があります。
そこで今回は、そのギャップを埋め、円滑にプライバシーデータ活用を進めるための仕組み構築のアプローチについて解説します。

この章では、企業がプライバシーデータを活用して「やりたいこと」と、内部/外部環境で制限される「できること」の間に生じる3つのギャップについて紹介します。
図1は、企業が利活用したいプライバシーデータの範囲と内部/外部環境で制限される「できること」とのギャップを示しており、左がルールギャップ（法制度で許可された範囲とのギャップ）、中央が部門間ギャップ（企業内における攻め/守りの部門における思想や考え方の違いから生じるギャップ）、右がユーザーギャップ（顧客が許容する範囲とのギャップ）を示しています。

図1　企業が活用したいプライバシーデータの範囲と3つのギャップ

1. （1） 法制度との乖離（ルールギャップ）
   1つ目は、法制度との「ルールギャップ」です。このギャップが生じた際、企業が取るべき行動は明確であり、当然のごとく「法制度」に合わせなければなりません。法制度で許可されている範囲を読み違えれば、企業の信頼は瞬く間に失墜します。
   しかし、常に法制度側へ合わせ続けるプロセスには、構造的な難しさが存在します。
   • ①専門知識の必要性
     法制度を正しく解釈するには専門知識が不可欠です。プライバシー分野では、プライバシーデータの匿名加工・仮名加工の要件、同意取得の妥当性、第三者提供や越境移転の適法性など、高度に専門的な論点が多く、独自判断すると誤解釈や過度・過少なリスク評価につながりかねないため注意が必要です。
   • ②最新情報のキャッチアップに係る多大な労力
     また、プライバシー関連法制度は頻繁に改正されます。3年ごとの国内法見直しや各国の規制変更により、ルールそのものが頻繁に変わります。企業は常に最新情報をキャッチアップし続けなければならず、多大な労力を要します。
2. （2）顧客が許容する範囲との乖離（ユーザーギャップ）
   2つ目は、企業の認識と顧客（ユーザー）の感覚のズレから生じる「ユーザーギャップ」です。現代のプライバシーデータ活用において最も警戒すべきは、「法的に問題がないからといって、ユーザーが許容するとは限らない」という事実です。
   例えば、クレジットカード会社A社は、パーソナライズされた広告配信や公式SNSを用いた情報提供などのユーザー利便性向上を目的として会員規約を改定し、ユーザーの個人情報がハッシュ化されたうえで第三者へ提供されることをデフォルトとした結果、一部のユーザーに「勝手に個人情報が第三者提供される」と解釈されてSNSで炎上してしまい、釈明対応に追われることとなりました。
   このように、たとえ法制度を遵守していたとしても、透明性が低く、不意打ちのようなプライバシーデータ活用が行われた場合、ユーザーは「裏切られた」と感じます。ユーザーのプライバシー意識は年々高まっており、ユーザーが不信感を抱けば、瞬く間にSNSでの炎上や顧客離れに直結するのです。
   特に危険なのが「ユーザーに選択肢が少ないサービス」です。インフラや公的サービス等で得たプライバシーデータを、安易にマーケティング等の収益目的で利用してしまうと、ユーザーから見れば「弱い立場に付け込まれた」と映り、大きな問題に発展する傾向があるため注意が必要です。
3. （3）社内での許容範囲の乖離（部門間ギャップ）
   最後に、社内の「部門間ギャップ」です。部門ごとに立場や考え方が違うため、法改正等に応じたプライバシーデータの利活用に関するルールの作成や改訂に関する調整は一筋縄ではいきません。
   例えば、法務やコンプライアンス、セキュリティ部門は「守り」を重視しますが、事業部門やDX部門は「攻め」の姿勢が強い傾向があります。こうした立場の違いが、社内の足並みを揃える上で大きな障壁となります。全員が納得できるルール作りには、部署間の橋渡しが不可欠です。
   さらに、ルールを作るだけでは不十分で、実際に守られなければ意味がありません。プライバシー関連の法制度に詳しくない従業員が、意図せずルール違反を犯すリスクもあります。
   例えば、分析担当者が良かれと思って複数のデータベースを結合した結果、本来は分離すべき同意取得範囲の異なるプライバシーデータが混ざり、意図せず目的外利用につながってしまうといったリスクが考えられます。

この章では、3つのギャップを埋めるためのアプローチを紹介します。
図2は、図1で生じていた、企業がプライバシーデータを活用したい範囲と内部/外部環境とのギャップを埋め、実際にプライバシーデータを「企業が活用できる範囲」を示した図です。当初企業が活用したかった範囲から、法制度に即した活用範囲の見直し、部門間における攻守のバランスを取った活用範囲の見直し、透明性の高い説明等による顧客許容範囲の拡大により、企業が活用できる範囲を適切に設定することができている状態です。

図2　3つのギャップを埋めた後の企業がプライバシーデータを活用できる範囲

1. （1）ルールギャップに対しては、ITソリューションと外部リソースの活用で持続可能な体制づくりを
   専門知識と多大な労力が必要となるルールギャップへの対応は、情報収集・整理や標準的な解釈といった共通化できる部分はITソリューションに任せ、「自社固有の判断」が必要な部分を専門家と連携して対応する、という役割分担を明確にすることが重要です。
   例えば、プライバシーガバナンス・プラットフォームの中には、各国のプライバシー関連法制度の改正内容を専門家が確認し、プライバシーリスクを事前に評価するPIA（プライバシー影響評価）項目としてプロセスに組み込むことができるような形で提示してくれるサービスも存在します。これにより、法改正情報のキャッチアップや一次的な法解釈は仕組みとして自動的に反映され、企業は「自社としてどう対応するか」を判断するだけで済むようになります。
   一方で、ITソリューションも万能ではないため、自社の事業やプライバシーデータ利用の実態に合わせた関連法制度に関するチェックリストの作成や、プライバシー管理状況の把握を外部の専門家と連携して実施しておくことが重要です。
2. （2）ユーザーギャップに対しては、ユーザーへの透明性の高い説明と選択肢の提示を
   ユーザーギャップを埋める鍵は、図3のように、ユーザーに対して、透明性の高い説明、選択権とメリットの提示による納得感のある意思決定、そしてユーザー自身によるプライバシー管理を実現することにより、ユーザーが許容できる範囲を自ら判断・設定できるようにすることです。

図3　ユーザーが許容範囲を判断・設定するための3つの仕組み

1. • ①ユーザーへの透明性の高い説明
     企業は、ユーザーが自分のプライバシーデータ利用を正しく理解できるよう、ユーザーに対してプライバシーデータ活用に関する透明性の高い説明を実施することが求められます。
     具体的には、どのような目的で利用されるのか、誰に対してどのようなプライバシーデータが提供されるのか、といった利用目的や第三者提供、共同利用等に関する説明を分かりやすい形で実施することです。分かりやすい形の例としては、漫画形式や動画形式で解説することが挙げられます。
   • ②ユーザーに対する選択権の提示
     プライバシーデータ提供の見返りとしてポイントや便利な機能を享受できるといったメリットを提示し、ユーザーがより納得感を持ってプライバシーデータを提供できるようにします。
     その際、プライバシーデータ提供をするかどうかについて、ユーザーが自由に選択できるようにすることが重要です。
   • ③ユーザーによるプライバシー管理の実現
     ユーザー自身が同意状況をいつでも確認・変更できたり、自分のプライバシーデータがどのように利用されているかを可視化できるダッシュボード機能を提供したりすることで、ユーザー自身によるコントロール性を向上することも有効です。
2. （3）部門間ギャップに対しては、攻守のバランスを取ったルール策定プロセス設計を
   部門間ギャップを埋めるには、まず各部門の「思い」や「ミッション」をしっかり理解し、それぞれの立場を尊重しながら議論を進めることが大切です。
   具体的には、攻守のバランスの取れた中立的な立場のプロジェクトオーナーやCPO（Chief Privacy Officer）のような責任者を置くことが有効です。
   この責任者の重要な役割は、「何を止めるか」だけでなく「どこまでなら可能か」という観点から、事業部門と法務・セキュリティ部門の意見を整理し、全社としての許容範囲を示すことです。法令や社内方針といった抽象的な要件を「どのプライバシーデータを・どのような目的で・どの部門が活用するか」という具体的なルールに翻訳し、部門ごとの判断任せにしない共通基準を作ります。そして、新しいユースケースやリスク事例が出てきた際には、それらを踏まえてルールの見直しや改訂案を取りまとめ、関係部門との合意形成を主導することで、時代の変化に合わせてルールをアップデートしていく役割も担います。
   また、策定されたルールは、人の判断だけに任せるのではなく、システムに組み込んでいくことが望ましいです。
   例えば、データ連携の際に、利用目的に合わないプライバシーデータが混ざるのをシステムが自動でブロックしたり、許可された範囲だけでプライバシーデータを活用できるように制御したりすることで、ルール違反を未然に防ぐ確実性を高めることができます。

本記事では、ビジネス機会獲得に向けたプライバシー対応を行う企業が直面する「法制度（ルール）」「顧客期待（ユーザー）」「社内運用（部門間）」という3つのギャップと、そのギャップを埋める仕組み構築のアプローチについて解説しました。
これらのギャップは、人手による対応だけでは埋めきれない複雑さを持っています。ITソリューションによる効率化、透明性の高い説明、そしてシステム制御によるガバナンスを組み合わせることで、企業はリスクを抑えつつ、プライバシーデータを活用できるようになります。
ビジネス機会獲得に向けた「やりたいこと」に関するアイデアがある一方、「できること」との乖離に悩まれている場合は、ぜひ一度、現在の社内ルールやシステム基盤が、これら3つの視点をカバーできているか見直してみてはいかがでしょうか。