事業の大部分をオンラインに移行させるのは、ただでさえ困難な大仕事だ。しかし幸い、プライバシーの問題への対処は、さらにもう一つの難事になるとは限らない。プライバシー侵害のリスクを最小化するために実行できる、シンプルで有効な手段がいくつもある。

 今後の数カ月間で、迅速なデジタルトランスフォーメーションを合理的に、可能な限り安全に行うために、以下で挙げるプライバシー重視の施策を実践することを検討してみよう。それぞれは個別に実行可能だが、4つすべてを達成すれば、プライバシーのリスクを大幅に軽減できるはずだ。

(1)自社のベンダーと協業相手が顧客データをどう使っているのかに注意する

 事業者は、デジタルトランスフォーメーションにおける多くの課題に対し、「プラグ・アンド・プレイ」(デバイスをコンピュータに接続すると、すぐに自動設定され使えるようになる)型のソリューションを約束する外部ベンダーとの契約に、すぐに飛びつきたくなるかもしれない。そして技術調達の過程で、データ処理契約(DPA)をすべて確認する必要性を認識しながらも、この段階を飛ばせばどんな事態を招くかを甘く考えがちだ。

 CCPAとGDPRの規則では、顧客データを処理する第三者へのデューデリジェンスを怠った事業者は、金銭的責任を問われる可能性がある。実際に2019年、英国のICO(個人情報保護監督機関)によってマリオット・ホテルグループが1億2300万ドルの制裁金を課されたのはこれが理由だ。

 ベンダーのDPAを確認するうえで注視すべき重要な点は、相手がプライバシー保護の義務に準拠していること、および相手のデータ取り扱い方針が自社の方針と整合していることである。そうでなければ、自社のプライバシーポリシーにみずから違反するリスクを負うことになる。

 加えて、ベンダーのいかなるDPAにおいても、協力会社(下請け)に関する文言を確認しよう。こちらから明示的に指示しない限り、ベンダーは別の業者に再委託をしない、という確約が必要だ。これによって、もしベンダー側が独断で規則を守らない第三者にデータ業務を任せた場合、自社は法的に保護される。

(2)データを処理する際、リスクを監視するために影響評価を行う

 データ処理における影響(インパクト)評価は、GDPRでは多くのケースで義務づけられているが、CCPAでは義務化されていない。とはいえ、急激な過渡期には、データ処理作業における基本的なリスク評価を実施すれば(それがどれほど退屈でも)、事業者はデータの保管や外注、その他諸々の事項について、潜在的に有害な決定を下す前に否応なく、じっくり考えることになる。

 また、プライバシー保護違反の罪を問われた場合、リスク軽減に向けた積極的な取り組みを証明する行動記録があれば、規制当局に好ましく解釈される。

 英国のICOは「データ保護影響評価(Data protection impact assessments)」のテンプレートを無料で提供している。これを使えば、事業者は英国拠点の有無にかかわらず、プライバシーのリスクを正確に評価するための適切な手順をたどれるだろう。