(3)プライバシーポリシーの明確化に努める

 CCPAの施行を前に、自社のプライバシーポリシーが主要ステークホルダーによって見直されるにあたり、文書がどのように解釈されるかを考慮しよう。目標はこのポリシーを、法律用語に明るい人だけでなく、自社の全顧客に理解してもらえるようにすることだ。

 今後のいかなる規制要件にも対応できるよう、解釈の幅が広い文言を盛り込めば、自社を守ることになる――そう思う人もいるかもしれない。しかし優先すべきは、プライバシーに関する知識を増やしつつある顧客に対し、自社のポリシーへの理解を助け、会社を信頼してもらうことだ。

 スラックのプライバシーポリシーからは、読み手にとってのわかりやすさと内容の綿密性は両立できるということが見て取れる。

(4)データ保護オフィサー(DPO)を指名する

 事業規模の大小にかかわらず、データをめぐる意思決定は複数の部門に責任を分散させるよりも、中央で一元化するほうが望ましい。これは急激な過渡期には、まさに当てはまる。

 DPO(Data Protection Officer:データ保護オフィサー)は、プライバシー保護の問題に関して組織内で中心的役割を担う。そしてプライバシー法執行の性質が不透明な時期に、規制機関との連絡・調整役として非常に重要となる。たとえプライバシーの問題に精通した人でなくても、プライバシー保護に目を光らせる権限を一人の担当者に移譲することは、手早く経済的にリスク軽減を図れる方法だ。

 本稿冒頭で述べたように、迅速なデジタルトランスフォーメーションをうまくやり遂げるには、リスクを伴う行動が必要かもしれない。とはいえ事業者は、プライバシー保護の強化に向けたシンプルかつプロセス主導型の手法を実践できる。目下の状況では、規制当局の寛大さに頼ることは無用のリスクとなるのだ。

 データのプライバシー保護の実施には、経済学者が言う「時間的非整合性」というジレンマの特徴が多分に表れる。いま実行するには時期尚早に思えても、いざ実行するときには遅すぎるのだ。そして過去数週間で見られたように、「遅すぎる」ことは、事業の重要な岐路での深刻なつまずきとなるかもしれない。


HBR.org原文:Have Your Privacy Policies Kept Up with Your Digital Transformation? June 29, 2020.


■こちらの記事もおすすめします
デジタルトランスフォーメーションに重要なのはテクノロジーではない
注目を浴びたデジタルトランスフォーメーションが失敗する理由
競争優位を築くには「専有データ戦略」が必要である