DX 时代企业隐私治理指导手册 ver1.1 2021 年 7 月 本文档仅供“数据合规公社“社群内部学习交流使用 禁止其他任何渠道的商业性使用 总务省 经济产业省 1 变化的历史 版本 变更内容 变更者 1.0 "DX时代的新企业隐私治理指导手册"。 总务省、经济产业省 增加或修订"3.管理层要解决的三个要求" 和"4.隐私治理的关键问题"中的例子。 1.1 Ver. 1.0更新后，根据出版后各公司的隐 私治理实践状况，加入了更多应作为参考 的隐私治理实践实例。 更新的参考资料 2 总务省、经济产业省 目录 一、本指导手册的定位 ............................................................ 4 二、指导手册的前提 .............................................................. 5 2.1. 社会5.0和企业的作用....................................................... 5 2.2. 隐私政策 ................................................................. 6 2.3. 公司隐私治理的重要性 ..................................................... 8 三、管理层需要解决的三个要求 ................................................... 11 3.1. 明确说明我们对隐私治理的立场 .............................................. 13 3.2. 任命隐私官 .............................................................. 14 3.3. 将资源用于隐私倡议 ...................................................... 14 四、隐私治理的主要方面 ......................................................... 15 4.1. 建立一个系统 ............................................................ 15 4.1.1. 隐私官的作用 ......................................................... 17 4.1.2. 隐私组织的作用 ....................................................... 17 4.1.3. 业务单位的作用 ....................................................... 19 4.1.4 第三方组织，如内部审计部门和咨询委员会的作用 .......................... 20 4.2. 建立和传播业务规则 ...................................................... 20 4.3. 培养公司的隐私文化 ...................................................... 20 4.4. 与消费者沟通 ............................................................ 21 4.4.1. 组织活动的公开与宣传 ................................................. 21 4.4.2. 与消费者持续沟通 ..................................................... 22 4.4.3. 发生问题时与消费者沟通 ............................................... 23 4.5. 与其他利益相关者的沟通 .................................................. 24 4.5.1. 对利益相关者作出回应 ................................................. 24 4.5.2. 收集有关隐私问题的信息 ............................................... 26 4.5.3. 其他举措 ............................................................. 27 五、(参考)隐私风险政策 ......................................................... 27 5.1. 识别和组织及有关各方处理的个人数据的生命周期............................. 27 5.2. 识别隐私风险（识别隐私问题） ............................................ 28 5.3. 隐私影响评估（PIA） ..................................................... 31 六、设计中的隐私 ............................................................... 33 七、总结....................................................................... 35 3 一、本指导手册的定位 为了实现以人为本的社会 5.0，网络空间和物理空间高度融合，企业在促进经济增长和 解决社会问题方面发挥着核心作用。通过利用数据创造创新，各方都在推进服务和产品的发 展。 在个人数据领域1，人们对隐私保护以及创新解决社会问题的需求越来越大。为了应对 这种需求，公司需要尽可能地保护消费者的隐私，由此赢得消费者的信任，使他们获得商业 优势。本指导手册列出了公司率先采取的步骤，以确保他们积极主动地解决隐私问题，建立 信任。这对新业务的顺利运行至关重要。 本指导手册特别针对使用个人数据向消费者提供产品和服务的公司，这些公司可能会受 到消费者的直接压力，需要考虑他们的隐私，以及与这些公司做生意的供应商。 我们设想公司中的以下职位将会是主要读者： ⚫ 参与数据使用和数据保护管理的公司经理，或是可以向管理层提出建议的人员； ⚫ 负责全面管理数据使用和保护有关事项的部门负责人等。 此外，我们还设想了以下使用场景。 ⚫ 参与数据使用和数据保护管理的公司经理，或是可以向管理层提出建议的人员。 ⚫ 负责全面管理数据使用和保护有关事项的部门负责人等。 ⚫ 当开始考虑一个可能会对消费者产生重大隐私影响的项目时； ⚫ 当我们被管理层、股东、投资者、母公司或其他相关方要求加强对隐私相关问题 的回应时； ⚫ 我们想请管理层加强保护隐私的制度时(要求适当分配管理资源)； ⚫ 如果个人数据的使用在公司、行业等内部引起关注，即个人数据的使用会被批评 为隐私问题（即所谓的“丑闻”23）时，等等。 如上面的例子中包含有你或你正面临的问题，你应当开始阅读本手册。本手册也可以作 为广泛参考。4 本指导手册的内容部分涉及法律义务，但个别具体的例子应根据个别公司的情况灵活使 1 个人数据是指与个人有关的任何信息，而不仅仅是《个人数据保护法》规定的个人数据。 原文为“炎上“，在日文语境中，当一起事件引发了普罗大众的抨击、批评、或吐槽时，这种一发不可收 拾的舆论环境就会被称为炎上。——译者注 3 然而，本指导手册并没有提到在发生所谓的 "丑闻"后应如何应对。 4 无论公司的规模如何，都会出现隐私问题。对于处理个人数据的中小型企业和风险企业来说，应该参考 这本指导手册的思路和考虑，尽管它包含了一些实施上的困难，如建立系统。 4 2 用，并允许根据公司的规模和资源来应用。 本指导手册将继续酌情更新，以考虑到社会趋势。如下文所述，隐私的影响和隐私的潜 在后果是动态的。 二、指导手册的前提 2.1. 社会 5.0 和企业的作用 由于数字技术的发展和网络空间的扩展，我们今天所处的社会正在经历快速的结构转型。 物联网以其高度发达的传感器、摄像头和其他信息采集技术，以及将一切事物连接到网络的 能力，正在将现实世界中的人和地面上的各种物体与互联网连接起来。此外，人工智能等技 术的最新成果使估算物理空间的各种条件成为可能。因此，物理空间可以被理解和解释为网 络空间的数据。结果可以通过各种方式反馈到物理空间。日本政府将"社会 5.0"定义为"以人 为本的社会，通过高度整合网络空间和物理空间的系统，实现经济发展和解决社会问题"， 并将实现这一社会作为日本要实现的目标5。为了实现社会 5.0，业务和管理以及法规制度都 需要进行数字化转型。 人们认为，以综合方式促进 DX6的发展是重要的。此外，日本正在从创建"实现创新和 社会信任的模式"的角度考虑数字治理改革。 图 1 迄今为止的信息社会和社会 5.0 社会 5.0 是网络和物理空间的高级融合，将带来创新的服务和技术，丰富人们的生活。 5 内阁办公室协会 5.0 (https://www8.cao.go.jp/cstp/society5_0/index.html) 数字化转型（DX）是指，例如，根据客户和社会的需求，利用数据和数字技术来应对商业环境的快速变 化，对公司的产品、服务和商业模式进行转型，以及对企业本身、组织、流程和企业文化及氛围的转型。 它还意味着改造企业本身、组织、流程以及企业文化和氛围，以建立竞争优势。 5 6 这些服务包括我们日常使用的各种数字平台提供的服务，正在全球范围内开发和实施的自动 驾驶，以及与环境相容并提供舒适和安全生活环境的智能家居。在这样一个社会中，以前由 人类和硬件在物理空间中执行的功能将被重新定义、频繁更新、并发展为网络空间中的数据 和软件。 网络空间创新的特点是变化迅速，易于跨境发展业务，以及由于数据积累和或直接或间 接的网络效应而产生的赢家通吃现象7。因此，为了在软件驱动的社会结构转型中保持日本 未来的经济增长，无缝连接物理空间和网络空间的创新对于实现社会 5.0 至关重要。 虽然这种创新可能