「個人情報保護法コンプライアンスに現場と前向きに取り組めるようにしたい!」OneTrustを活用した大手自動車部品メーカーでの取り組み事例
- 執筆者
-
aslead編集部
こんにちは。aslead編集部です。
最新ソフトウェア開発のトレンドから、AI・DXツールの効果的な活用法、企業のITガバナンスの強化、業務効率化やDX化を成功に導くソリューションまで、幅広い記事を提供しています。
企業が直面する課題の解決策として効率的なツールの活用方法を探求し、生産性の向上に繋がる実践的な情報をお届けすることを目指します。
左から株式会社デンソー 法務部/山本係長、西口課長、岩崎さん
1.貴社の事業内容について教えてください
デンソーは、先進的な自動車技術、システム・製品を提供する、グローバルな自動車部品メーカーです。また、自動車部品以外の様々な新事業分野への挑戦も日々続けています。 本社は愛知県にありトヨタグループの一員ですが、連結子会社は約190社、従業員数は約11万人にのぼり世界の多くの国々で多様なお客様向けの事業を展開しています。事業・製品群別に事業部体制を敷き、事業部毎には企画、技術、品質保証、製造など各事業の研究開発・製造・販売などの推進に必要な部門設置しています。
2.法務部の業務内容について教えてください
事業部各部門をいろいろな機能面で支えるため、私たち法務部や、経営戦略部、リスクマネジメント推進室、経理部、人事部、総務部、技術企画部、IT基盤推進部、情報セキュリティ推進部など多くの機能部門を設定しています。法務部は独占禁止法遵守や贈収賄防止など重要法令のコンプラアンス推進と、各事業部のM&Aその他のプロジェクトのスキーム立案や契約検討などを事業現場とともに法的観点から推進し、また、他の機能部とも連携して事業現場での法的課題やトラブルの解決をミッションとしています。今回、OneTrustを活用して改善に取り組んだ個人情報保護法コンプラアンスの推進も重要なミッションの一つです。
3.個人情報保護の対応について教えてください
個人情報保護法コンプラアンスの肝となる対応事項は以下の3つです。
- ご本人に対して、どの様な情報をどの様な事業目的でどの様な使用範囲で使用するのか、また苦情等がある場合にはどこにどの様に連絡するのかなどを、きちんと明示し同意を得て個人情報を取得すること。
- 取得した個人情報に漏えいや不正使用などの事件・事故が発生しないようきちんとセキュリティ管理を徹底すること。
- 万が一、事件・事故が発生したら、ご本人に速やかに事実を通知の上お詫びをし、被害拡大防止や原因調査の初動対策から再発防止対策まできちんとやりとげること。必要に応じて個人情報保護委員会など当局報告を行い、助言や指導を受けこれを徹底すること。
この個人情報保護に関する3事項に対応することは、会社の秘密情報を守る活動と類似しています。従ってデンソーでは、情報セキュリティ推進部と法務部が密に連携し、情報管理に関する会社ルールの制定、事業現場での教育・訓練や監査・改善活動などを推進しています。
4.OneTrustを導入する前のお悩みや課題を教えてください
法務部の様な機能部門が、個人情報保護法コンプラアンスを効果的に推進するためには、先ず、会社のどの部門が、どの様な個人情報を、どの様な事業やプロジェクトに使用しているかを把握する必要があります。例えば、総務部や人事部が従業員情報を福利厚生や給与計算業務に使用することは十分予測できますが、各事業部の現場で個別事業やプロジェクトに個人情報が使用される場合、法務部が事業現場の状況を把握するためには、積極的に事業現場と一体となって事業やプロジェクト推進に関わっていかなければ十分に把握することはできません。そのため、事業現場での個人情報の保有状況の年次点検を法務部主導で行っています。
しかし、その年次点検には2つ課題がありました。
1つ目は事業現場での管理の複雑さ・煩雑さです。各事業部では会社ルールに従って事業やプロジェクトで使用する個人情報の管理台帳を作成し随時更新しています。例えば、技術部門で実験参加者を募集して新製品の開発試験を行う場合などです。この管理台帳は法令に準拠した記載内容を所定の帳票に記入して作成するものですが、現場担当者にとって判り易く短時間で作成できるとは言えない帳票でした。法務部の年次点検の際には、管理台帳が適切に作成・更新されているかについて点検報告書を提出しなければなりませんでした。
2つ目は、タイムラグです。各部門には、情報セキュリティ推進リーダーが設置されていて、年次点検にあたっては、そのリーダーをハブにして各部門での個人情報の管理・使用状況を確認してもらい、結果をとりまとめて提出してもらっていました。この様な点検方法のため、各部門で確認・結果報告とりまとめから法務部への報告、法務部での内容精査、各部門への改善処置などのフィードバックを行うにもタイムラグが発生していました。
コンプラアンスの浸透にあたりましては、管理部門も事業現場も前向きに推進する気持ちにならなければ持続的に推進することは出来ません。これらの課題に対し、欧州個人情報保護法コンプラアンスをサポートすることからグローバルに普及してきている著名なプライバシーテック「OneTrust」を活用し、管理と報告の効率化に取り組むことを企画したわけです。また、欧州のグループ会社でOneTrustの導入実績があり、その評価が良かったこともこの企画を後押ししてくれました。
5.OneTrustを導入して、どのような点が改善されましたか?
OneTrustは、デンソーで言う管理台帳と年次点検報告書の両方の内容を兼ね合わせており、現場がWEBアンケート形式で入力することで手軽に作成出来るため、現場に「判り難い・時間がかかり過ぎる」と言うストレスをかけず、効率的に入力を進めることが出来ます。単にWEB帳票に変更して作業効率化を図ったと言うだけではなく、現場からより前向きな気持ちでより正確な回答を引き出せる標準化を図れたことが大きな効果だと考えています。
また、OneTrustにより、現場で個人情報を使用する際に作成される管理台帳を、法務部がダイレクトかつリアルタイムで確認し必要なフィードバックを行える様になりました。
コンプラアンス推進には、リスクマネジメントの側面もありますが、OneTrust活用により管理部門である法務部と事業現場とがより良く繋がった今回の改善は、上場企業のリスクマネジメント活動の原則として日本取引所グループが推奨している「実を伴った実態把握」と「双方向のコミュニケーション」の観点からも理に適った改善活動だったと考えています。
6.具体的にはどれくらいの効果がありましたでしょうか?
今回の改善効果は、効率化と事業現場との繋がりの強化という品質面の効果が最大のメリットだったと考えています。一方で、コストの面でも大きな効果があったと試算しており、従来の年次点検と比較して全社で各部門の情報セキュリティリーダーをはじめ多くの関係者の工数の削減ができました。具体的な試算金額は割愛しますが、OneTrust導入の承認を得るために十分なコスト削減効果を説明出来ました。
7.一部署からではなく一気に全社展開はすごいと思ったのですが、大変ではなかったですか?
いかにWEBアンケート形式の判り易い入力と数百名のユーザーが初めて使用するわけですから、一過性での多くの問い合わせに対応する必要がありました。しかし、新しいテクノロジー導入すること、大きな業務改善を行うことの産みの苦しみとして当然と覚悟して対応しました。入力要領を音声解説した動画教材を準備したり、直観的に操作してもらえるような操作要領書を準備するなどの工夫をしました。また、事業現場との間で効率化が大きく進むと言う期待を共有したことも良かったと思います。
8.NRIがお役に立てたことはありますか?
まず、OneTrust導入企画立案や社内承認取得に際し、OneTrustのプライバシーテック市場での優位性やユーザーフレンドリーな仕様・操作感覚、あるいは仕様の限界点や発展途上の機能などについて客観的な情報・資料提供を豊富に頂いた点が良かったです。また、OneTrustの日本サービスの幾つか代理店の皆さんにご相談させていただいた中、NRIさんはベテラン営業マネージャー、プライバシー・コンプライアンス専門コンサルタント、複数のプライバシーテックエンジニアがチームを組んだ体制でソリューション提案や導入サポートをいただけた点が、とても心強く安心して取り組むことができました。チームを束ねる営業マネージャーの方が、時に弊社の都合やこだわりに対して顧客目線で寄り添い、チームをその方向で引っ張っていただいことにも感謝です。エンジニアの方々には、多くの部門やグループ会社が設定するユーザーID設定・連携や組織情報管理など、非常に苦労しましたが、NRIさんが直接、弊社IT部門担当者とも連携して粘り強く解決方法や次善代替策を模索していただき、無事に導入することができました。
9.OneTrustに期待すること
OneTrustは多くの国の200名を超える弁護士が監修しているサービスですが、私たちが使いこなせていない面もあるとは言え、日本向けサービスに改善の余地を感じています。例えば、各国の個人情報保護法に対応したリスク判定シートが140以上整備されていますが、日本企業の目線では「整備されているはず」と期待する国のリスク判定シートがない反面、日本企業の進出が少ない国のリスク判定シートが充実していることや、日本語翻訳にはまだ翻訳不備が目立つことなどです。また、OneTrust本社があるアメリカの企業では、本社にプライバシー専門の管理者がいて、その管理者がOneTrustでリスク判定シートを活用するシーンが多く、それを前提とした仕様・機能が多いのですが、当社のように管理部門と事業現場を繋いで活用するシーンが日本企業では多いのではないかと思い、日本向けサービスの拡充と継続的な改善をお願いしたいです。
10.読者の方にメッセージがあれば
日本企業の皆さんで、OneTrust活用が普及すればするほど、日本向けサービスが充実しより良いサービスに進化すると考えています。価格面でも既に普及している欧米向けとでは倍以上の大きな差があると聞いています。当社と同じ様な課題を持たれている皆さんや、この記事を読んでいただき何かヒントをつかまれた皆さんには、ぜひ一度、OneTrust導入を検討してみていただきたいです。
<まとめ>
西口課長を含む法務部の方や事業部の現場の方が、これまで膨大な時間をかけて対応していた個人情報保護の管理が、OneTrust導入によって楽になったとお伺いし、販売代理店として本当にお役に立てて良かったです。
OneTrustが日本で普及しにくかったのは、組織の在り方や個人情報保護に対する企業の姿勢が欧米と日本では異なるからであると、本日のお話を伺って再認識しました。今回のデンソー様のように、日本企業に合わせたOneTrustの活用が広がることで、多くの企業に利用され、日本企業のプライバシー保護に貢献できるよう、引き続きNRIがサポートしていきます。