データ活用が企業経営の重要な要素となるなかで、プライバシー保護への取り組みがますます注目されている。

8月26日~29日に開催されたオンラインイベント「TECH+ フォーラム データ活用 EXPO 2025 Aug. データを実装し、ビジネスを駆動させる時代」において、楽天グループ 情報セキュリティ・プライバシーガバナンス部 シニアマネージャー兼ジャパン・プライバシー・オフィサーの辻畑泰喬氏は、同社におけるプライバシーガバナンスの実践例を詳しく紹介した。

高まる消費者のプライバシー意識

デジタル化の加速により、企業を取り巻くプライバシー環境は大きく変化している。辻畑氏は、「インターネットを通じたビジネスモデルの多様化、デジタル化によるデータの利活用の促進、生成AIの加速的な進化、サイバー攻撃の増加や巧妙化、グローバル化によるデータの越境移転、炎上事案の発生、個人情報保護法の定期的な見直しなど、さまざまな背景からプライバシーが重要になってきている」と指摘した。

さらに消費者意識の変化も重要な要因である。日本情報経済社会推進協会(JIPDEC)が実施した調査では、7割以上の消費者がプライバシー保護に関して関心を持っており、プライバシー保護に取り組む企業に対して肯定的に捉える傾向が示されている。とくに注目すべきは、複数の会社が同じようなサービスを提供している場合、9割ほどの消費者がプライバシーの取り組みを購買判断の考慮要素とするという結果だ。

楽天グループのプライバシーガバナンス実践

総務省と経済産業省が公表した「DX時代における企業のプライバシーガバナンスガイドブック」では、単に個人情報保護法を遵守するだけでは不十分で、より広範な視点でのプライバシーガバナンスが必要であるとの趣旨が述べられている。個人情報保護法が「最低限の義務を規定したもの」であるという認識のもと、従来の法務部門のみが担当する領域を超え、企業全体でプライバシー保護に取り組むことの重要性が指摘されているのだ。

また、同ガイドブックでは、企業を取り巻くステークホルダーが多岐にわたることから、イノベーションの創出やプライバシーリスクマネジメントにおいて、ステークホルダーへの積極的な説明と信頼獲得が不可欠であるともされている。

これらの背景を踏まえ、プライバシーガバナンスガイドブックは企業へのさまざまな要求事項を示しているところ、辻畑氏は、それを簡潔に以下の4項目に分類したうえで、これに沿って楽天グループの実践例を紹介した。

  • 1. 姿勢の明文化
  • 2. 体制の構築
  • 3. 組織内への周知と文化の醸成
  • 4. 対外的コミュニケーション

    • 辻畑氏は、この4つの項目に沿って楽天グループの実践例を紹介した。

    1. 姿勢の明文化

    楽天グループでは、企業全体に適用される「楽天グループ企業倫理憲章」をWebサイトで公開している。同憲章の1つである「すべての人を尊重します」という理念に基づき、個人情報を含む顧客の情報が「極めて重要な情報資産」であると認識し、適正に使用・管理することを明確にしている。

    さらに、「プライバシーへの基本的な考え方」を策定・公開している点も特徴的である。そこでは、「プライバシーは、テクノロジーの利用、イノベーションの促進、ステークホルダーの信頼獲得など、持続可能な『楽天エコシステム』の構築に欠かせない重要な要素であり、単なるコンプライアンス上の問題に限りません。すべてのお客様に安心して楽天のサービスをご利用いただけるよう、楽天グループは法令要件を上回るプライバシー対策の実施、強化、徹底に努めます」と示されており、辻畑氏はそのなかでもとくに、法令要件を上回る取組みに努めているとする点が特徴的があると指摘した。

    また、ESGの取り組みにおいても、「情報セキュリティ」や「コンプライアンス」とは独立したカテゴリーとして「プライバシー」を事業基盤に位置付けており、企業としての強いコミットメントを明確にしている。

    2. 体制の構築

    楽天グループのプライバシーガバナンス体制は、CISOをチェアマンとするグループ情報セキュリティプライバシー委員会を中心とした組織構造となっている。この委員会はプライバシーとセキュリティに関する重要事項を決定し、コーポレート経営会議や取締役会に対して必要事項をレポーティングしている。

    特徴的なのは、グローバルプライバシーマネージャーを責任者とする階層的な体制である。その下に日本、アジア、欧州、米国の各リージョンにリージョナルプライバシーオフィサーを配置し、さらにグループ各社ごとのプライバシーオフィサー、そしてより実務に近い役割を担うプライバシーチャンピオンまで任命している。

    「これらメンバーが一体となってグループ全体でプライバシー施策を推進するネットワークを構築しています」(辻畑氏)

    • 楽天グループのプライバシーガバナンス体制

      楽天グループのプライバシーガバナンス体制

    プライバシーの専門部署でもあるグローバルプライバシーオフィスは、ジャパンプライバシーオフィスとグローバルDPOオフィスで構成され、複数の弁護士資格者を含む法務系メンバーに加え、セキュリティ、IT、顧客対応、デザイナー、プロジェクトマネージャーなどさまざまなバックグラウンドを持つメンバーにより構成されている。多くの外国籍メンバーが所属し、さまざまな国の弁護士資格を持つメンバーも活躍している点も特徴的だ。

    3. 組織内への周知と文化の醸成

    全従業員を対象とした多角的なトレーニングも継続的に実施している。プライバシーの基礎、生成AIとプライバシー、役職者向けの研修、特定の部門向け研修、ケーススタディ形式の研修など、さまざまなニーズに対応したプログラムを提供している。

    毎年1月28日の「データプライバシーデー」にあわせて、その前後に、楽天グループ全従業員が参加可能な年次イベント「プライバシーアウェアネスデー」を開催。チャイルドプライバシー、AIとプライバシーなど、その時々の重要なテーマに関するセミナー、展示、さらには「プライバシーレビューをしてみる」といった体験型コンテンツも提供し、工夫を凝らして従業員の意識向上を図っている。

    社内向けポータルサイトも充実しており、プライバシー部門の紹介、相談フォーム、関連規約集、プライバシーに関するニュースやイベントアーカイブなど、さまざまな情報を集約・提供することで、従業員がいつでも必要な情報にアクセスできるよう配慮している。

    4. 対外的コミュニケーション

    最後の柱である対外的コミュニケーションでは、社外向けの「プライバシーセンター」を開設し、一般ユーザーにも分かりやすいコンテンツ提供に努めている。

    とくにユニークな取り組みとして、「プライバシースクール」と称し、小中高校・大学生に向けた出前授業を展開している。一例として、インターネットサービス利用時の情報収集の仕組みや、それを利用した広告配信、商品レコメンドについてグループで議論し、どのような表現なら受け入れられ、どのような表現だと不快に感じるかといったワークショップなどが実施されている。

    • プライバシースクールの概要

      プライバシースクールの概要

    辻畑氏は、「普段聞くことのできない若い世代のご意見を聞くことができる。これはプライバシー施策を考えるうえでも参考になる」と、若い世代との対話を通じて得られる知見の価値を強調した。

    プライバシーガバナンスは「雲を掴むような発展途上の分野」

    辻畑氏は講演内で、プライバシーガバナンスが「雲を掴むような発展途上の分野」であると述べ、各社が限られたリソースのなかで試行錯誤を続けている実態を吐露した。理想的な施策と現実の実務への落とし込みのあいだには依然として難しい課題が存在する。

    しかし、情報のデジタル化やデータの利活用推進、そしてサイバーインシデントは止まることなく進んでいく。だからこそ、企業は継続的にプライバシーガバナンスの在り方を改善し、新たなアイデアを出し続ける必要があるのだ。