個人情報保護は、年々、強化されてきている。こうした動きはアメリカをはじめ、多くの国で法律上の規制強化という形で進んでいる。そのため、個人情報に対応できないことは、情報漏洩などでの罰金が、多額さだけでなく、組織の名声などといった無形資産に与える影響の大きさから考えても大きなリスクとなる。持続可能で拡張性のあるデータ保護・プライバシー対策プログラムを構築することが、より一層求められている。こうしたプログラム構築においては、次のような基本的な考え方が必要となる 。

防御可能なデータ・インベントリを確立する

組織では、多くの部署に多様な情報が収集され、活用されている。多くの場合、それらは個別の部門が、その責任においてそれぞれ管理していることが多い。しかし、組織的・体系的にデータを管理できるようにするためには、一括して管理できる体制を組まなければならない。どこに、どのような情報があるのは、それはなぜ必要なのか、組織内・外の誰と、どのように共有されているのか、そしてそれらはどこに存在しているのかを把握できる、データ・インベントリを確立することが出発点である。

インフォームド・コンセントを導入する

インフォームド・コンセントはすでに広く行きわたった概念である。すでにこれを組み込んでいる組織も多い。しかし、ここでも常に変化が起きていることを認識すべきである。ユーザーが自社のサービスを経験する前に、複雑で、長いプライバシー・ポリシーを読むといった組織主体の管理から、ユーザーが自分の情報を管理する方向へと変化しつつある。こうした変化に対応して、ユーザーがサービスを利用するユーザージャーニーにスムーズに統合されていくことが求められている。この方向性を先取りする形での工夫が必須となる。

データはミニマム化する

組織は常に多くの情報を欲する傾向がある。データを多く囲い込むことが良いことであるとの潜在的な考え方が蔓延している。しかし、皮肉なことに、データ侵害で大きな問題を起こすのは、業務で活用している重要な情報ではなく、むしろ古くなった情報や、使っていない情報を標的にしたものであることが多い。データを管理する者は、利用目的を慎重に検討し、その目的を達成するために必要最小限となる情報を収集し、必要以上に情報をため込まないことに注意を払うべきである。