「個人情報」の取り扱いが、改めて注目されています。
顧客接点のデジタル化が進み、個人情報をさまざまなタッチポイントで取得できるようになったためです。
今や、GDPR(※1)やCCPA(※2)など、世界的に個人情報保護規則の潮流が強まっています。日本でも個人情報保護法の改正(※3)があり、「顧客の個人情報をどう扱うか」について、企業のさまざまな部門が課題を抱えています。
本記事では、DX推進の上で必須である個人情報の取り扱いと、それに関連したプロジェクトを進める上での難しさ、そして解決の糸口を、実際にクライアントの課題に相対する3人の鼎談としてお送りします。
法務的な観点から弁護士の田中浩之氏、顧客データ基盤を提供するトレジャーデータの山森康平氏、そしてデジタルマーケティング全般のソリューションを提供する電通デジタルの今井紫氏です。
※1 GDPR ※2 CCPA ※3 改正個人情報保護法 |
|
|
|
<目次>
- 課題1:部門間の「個人情報に対する意識の違い」から意思決定が遅くなる
- 課題2:プライバシーを専門にする人材の不足
- 課題3:データ処理プロセスの透明化が難しい
- 求められているのは「ユーザーに分かりやすく説明すること」
課題1:部門間の「個人情報に対する意識の違い」から意思決定が遅くなる
今井:この鼎談では、それぞれのクライアントから日々寄せられる個人情報関連の質問や課題を共有し、解決のヒントを導き出せればと思います。
電通および電通デジタルの場合、デジタルマーケティングを端緒とし、企業のさまざまな部署、部門を横断して個人情報に関してのお悩みを伺いつつ、戦略立案から戦術レベルまでをカバーしています。最近では特に、個人情報周りでの関係者間の調整に難しさを感じます。
山森:私たちが提供する「Treasure Data CDP(※4)」は、顧客情報を含めたあらゆるデータをマネジメントできるデータ基盤ですので、「個人情報の取り扱い」はまさに最重要項目と考えています。その前提で、最近感じるのは、クライアントがCDPのようなデータ活用サービスを検討・導入するのに、どうしても時間がかかりがちだという課題です。
※4 CDP Customer Data Platform。企業が持つ顧客データを統合管理し、DXの基盤となる。Treasure Data CDPについてはトレジャーデータのサイトを参照。 |
今井:Treasure Data CDP自体はクラウドのサービスですから、オンプレミス(自社設備と自社システム)でデータ基盤を構築するのに比べれば、導入に際しての工数は圧倒的に少ないはずですよね。どこに時間がかかるのでしょうか?
山森:個人情報に関与する部署・部門が複数にまたがっているため、まず導入の意思決定プロセスに非常に時間がかかるのです。
今井:なるほど、そこは電通デジタルも同様の課題を感じています。以前は企業1社の中で調整ができていたのが、近年はグループ企業間や、販社を含めた広い企業体も包括する全体で、データの共有やプライバシーポリシーの統一をしたいという要望も頂くようになりました。そうしたケースでは、実際に顧客データを保有している現場と本社の間に、意識の乖離や物理的な距離があって、調整が難しい。
また、デジタルマーケティングの担当者は法務の専門家ではないので、プライバシーの重要性を理解していただくまでに数ヶ月かかってしまうこともあります。
山森:日本でも個人情報保護法の改正がありましたし、グループがグローバルに展開している場合は、さらに各国のプライバシー関連の法制度や判例なども把握しないといけませんよね。
さて、田中先生は個人情報と知的財産、そしてITの分野に精通しておられ、国内、海外のデータ保護法案件を手がけておられます。私や今井さんもよく相談させていただいていますが、法律家として、企業の部門間調整などについてどうお感じですか?
田中:私は弁護士として、企業の法務部門担当者との接点が多いのですが、法務とそれ以外の部門の温度差はよく感じます。現場と経営層、法務、そしてグローバルといった多岐に渡る部門の調整は非常に難しく、プロジェクトマネジメントに時間がかかるのもよく分かります。
一方で、経営層の意思で進めようとしている企業はスピード感がありますね。データ活用とプライバシー保護の重要性をメンバーが理解しているプロジェクトは、どんなビジネスであれ、決断が速い印象です。
今井:同感です。プライバシー関連が絡むプロジェクトは、マーケティングの現場からスタートするというよりも、最初に法務部門やコンプライアンス、そして経営陣といった関係各所が重要性を共有することで、初めてスタートラインに立つように思います。
課題2:プライバシーを専門にする人材の不足
山森:今、クライアントとお話すると、個人情報やプライバシーの取り扱いに対して不安に思われている方が増えていますね。巨額の制裁金を課すGDPRの執行事例が実際に増えている影響が大きいと思います。そこで改めて社内の運用を見直したときに、改正個人情報保護法に沿って考え直さなければならない点が多数あった、ということもあるでしょう。
今井:ただ、とにかくプライバシー関連は動きが非常に激しく、一企業の担当者がグローバルにおける法規制をリアルタイムで把握していくのは、現実的には難しいです。GDPRでも「明文を現実に落とし込むことが、システム上できない」という状況が各企業にあり、「法の解釈」が一層重要になってきています。法律と実務について、田中先生はどうお考えですか?
田中:こればかりは日々勉強していくほかないのですが(笑)、私自身はEUやアメリカの他、世界各国の法規制について常に最新の情報を得て、クライアントの実務を踏まえたアドバイスができるように努めています。
具体的な案件に取り組む中で、海外の弁護士と協同して知見が蓄積していく面もありますし、ここ数年、グローバルのデータ保護法に関する企業向けセミナーを定期的にやらせてもらっていますので、その準備のなかでもアップデートをするようにしています。
山森:最近ではCRM担当者やマーケティング担当者も、法律をある程度勉強しないと実務が成り立たなくなってきていると感じます。私はよくお客様に「ビジネスが総合格闘技化していますよ」と伝えています(笑)。寝技と打撃ではないですが、静的な構造で成りたっている既存システムや法務部門と、動的に変化する要件を検討していきたいマーケティング部門やDX部門が協力しないと、実情に追いつけなくなっている。部門間で、用語すら噛み合わないケースも実際に起きていますよね。
それと、プライバシー関連のプロジェクトが進まない要因の一つには、プライバシーやデータコンプライアンスの専門人材が日本企業にはほとんどいない、ということがあります。
今井:日本企業における情報セキュリティー担当者は、「インシデントが起きたときの対策」がメイン業務で、プライバシーは管轄外であることが多いのではないでしょうか。海外ではプライバシー専門の役職者がいる場合もありますが、田中先生から見て、日本企業でもそういった動きはありますか?
田中:ある程度の規模の企業では、いわゆるCPO(Chief Privacy Officer:プライバシー担当責任者)のような役職を設置する動きはあると思います。担当領域としては、事業側のニーズを踏まえて、プライバシーを尊重しながらビジネスにデータを利活用する、いわば“アクセル”側の役職ですね。
他方でGDPRが定めるDPO(Data Protection Officer、データ保護責任者)のような、事業や企業が法律に則った活動を行っているか監視する、“ブレーキ”側の役職もあります。
データ活用についてのアクセル側とブレーキ側、双方の責任者・担当者がいると、バランスは良いでしょう。ただし、両方が役職として揃ってしっかりワークしている企業は、正直、日本ではまだ多くないのではないでしょうか。
課題3:データ処理プロセスの透明化が難しい
山森:デジタルマーケティング業界で、クライアントが喫緊の問題として注視しているのが「サードパーティークッキーに代わるデータをどうする?」ということです。「1ID」というキーワードはありますが、改正個人情報保護法に則りつつそれらのデータを探すにはどうすればよいのか、私たちにも多くのご相談が寄せられています。
田中:EUでは、GDPR上、「クッキーその他の端末識別子」自体が個人情報とされている他、「eプライバシー指令」に基づく各国法によるクッキー規制があります。そのため、「厳格必須クッキー」(※4)以外については、原則としてユーザーに「クッキーをどう利用する可能性があるのか」を説明した上で、オプトイン同意を得ることが必要となっています。こうしたEUの厳しい規制は、EUだけでなくグローバルで、サードパーティークッキー対応の起点となりました。
※4 厳格必須クッキー ウェブサイトの運営のために厳格に必須なクッキー。たとえば、ECサイトにおける買い物かごの中身を記録するためのクッキー等が典型例。 |
企業も、GDPRをきっかけにクッキーポリシー等で透明性のある説明を行い、クッキー同意ツール等を導入して、ユーザーが選択できるような仕組みを用意することが増えましたよね。
一方、2020年改正の日本の個人情報保護法では、「クッキーその他の端末識別子」自体を個人情報とする改正はされませんでしたが、「個人関連情報」規制のなかで一部のクッキー利用が規制されることになりました。
今井:「個人情報」と「個人関連情報」の違いについては、少し理解が難しいところがありますよね。田中先生の観点から、個人関連情報についての改正のポイントを教えていただけますか?
田中:法文上、「個人関連情報」は、クッキーを使う場合に限って規制をかけるものではありませんが、たとえば、クッキーに紐付く個人情報ではないユーザーデータ(趣味嗜好等の属性情報等)も、典型的には個人関連情報に含まれます。
企業等が取得したこの「個人関連情報」を第三者に提供する際、「個人関連情報を受け取る側が、そのデータを『個人データ』(※5)として取得する」ことが想定される場合には、提供元は提供先への確認義務を負います。確認義務の内容は、「提供先がそのデータを『個人データ』として取得することについて、提供先はユーザー本人から同意を得ているか?」ということです。
※5 個人データ 個々の個人情報で、「個人情報データベース等」を構成するものを個人データと呼ぶ。データベースに入っていない散在情報については、個人情報ではあるが、個人データには当たらない。 |
制度改正の大綱では、パブリックDMP事業者の事例が挙げられ、「パブリックDMPを利用してデータ利活用をしているケースが、プライバシー上懸念がある」との見解が示されました。
パブリックDMP事業者は、クッキーに紐付けてユーザーの属性情報を保有していますが、通常、自社では個人データとしては管理していません。ところがパブリックDMP事業者からデータを受け取る側の企業では、クッキーと別途取得した自社の会員登録データ等を紐づけて、その会員についての属性(趣味嗜好等)を知ることができます。
多くのケースではパブリックDMP事業者は、「受け取る側の企業が個人データとして受け取る」ことを想定してデータを渡しているはずなので、先ほど述べた通り「受け取る側の企業が、ユーザー本人から同意を取得しているかを確認する義務」が、パブリックDMP事業者に発生します。
このように「クッキーを使って、ユーザー本人の知らないうちにデータがやり取りされてしまう」ことに規制をかけるのが、一つの典型的な適用ケースです。必ずしも個人関連情報規制の導入により、クッキーの利用全般が規制されるわけではありません。
今井:なるほど、よく分かりました。個人関連情報以外で、今回の改正で理解しておくべきポイントはありますか。
田中:今回の改正では、事業者の守るべき責務の在り方として「不適正利用の禁止」という項目が盛り込まれました。改正前に明文化されていたのは不適正な「取得」の禁止でしたが、不適正な「利用」については明文化されていなかったのです。
つまり、「騙してデータを取る」のはダメだが、「今すでにあるデータを利用する」ことについては明文の規制はなかったといえます。今回の改正で、例えば2019年に話題となった「破産者マップ(※6)」のような倫理的に問題のあるサービスを停止させられる、明確な根拠ができたわけです。
※6 破産者マップ 破産者の情報を収集し、インターネットの地図上に載せたサイト。政府の個人情報保護委員会の求めで、2019年に閉鎖。この事例では個人データの第三者提供の同意がなく、個人情報保護委員会にオプトアウトによる第三者提供の届出もされていなかったため、違法の認定は容易だったが、仮にオプトアウトによる第三者提供の届出がされていた場合には、個々人の同意なくサイトの運営が継続できていた懸念がある。オプトアウト届出についての詳細は個人情報保護委員会の解説を参照。 |
もう一つ挙げると、ユーザーに対する個人情報の利用目的の説明に当たり、「データ処理の方法についての説明」を充実させよ、というものがあります。これは、条文では反映されないのですが、改正のタイミングに、ガイドラインで定められる見込みです。
データ処理の方法といっても、アルゴリズムの詳細を書くわけではなく、取得したデータを利用する目的が分かる範囲で、その処理プロセスを明らかにせよ、ということです。
例えば、「広告宣伝目的で使います」という単純な説明ではなく、「あなたの行動履歴や閲覧履歴を分析したうえで、あなたの嗜好にあった広告を表示します」という、プロセスの透明化と具体的な説明が必要になります。
今井:しかし、実務としてデジタルマーケティング推進の戦略策定から実行まで関わっている立場から申し上げますと、この「データ処理プロセスの透明化」は非常に難しいと感じます。仕組みを知っているだけでは足りず、実際にどのデータベースにどういったデータが格納されていて、それがどのように処理されているのかを理解していないと、プロセスはなかなか説明できません。
田中:そもそも現状のプロセスを把握できていない企業も多いですよね。そういう企業では、プロセスの透明化に相当な時間がかかります。仮にクッキー同意ツールを導入しようとなっても、まず今までクッキーをどう活用してきたかを把握する必要があるわけです。
今井:確かに、クッキーを自社がどう使ってきたかを把握できていない企業も多いように思います。マーケティングやセールスのためにダッシュボード上で施策を動かしていても、クッキーを一連のプロセスのどこで取得し、どのデータと結びつけて、どの施策に反映してきたかが、見えていない場合が多いのです。
私がTreasure Data CDPの利点だと感じるのは、扱っているのが生データ、いわゆる「全量データ」であることです。ダッシュボード上で可視化されたデータだけを見て判断すると、その裏側にあるかもしれないデータを見落とす可能性があります。実はその裏側にある別のデータの存在によって、クッキーに紐付くユーザーデータ(趣味嗜好等の属性情報等)が個人情報とみなされる場合があります。
田中:「容易照合性」の問題ですね。法律上、個人情報の定義(※6)に「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」という表現があり、クッキーに紐付くユーザーデータも企業が持っている他の情報と容易に照合することができ、それにより、特定の個人を識別することができることになれば、個人情報に該当することになります。
※7 個人情報の定義 個人情報とは、生存する個人に関する情報であって、生存する個人に関する情報であって、次の①②のいずれかに該当するものをいう。①当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)②個人識別符号が含まれるもの |
今井:同じクッキーでも、「データをどう持っているか」によって、前提が全く異なってしまうわけですね。
山森:そこで私の場合、クライアントのCDP導入プロジェクトの最初に、全体を見通す形でデータマッピングを行います。クライアントがどんなデータを保持しているかを、マーケティング(事業)観点、プライバシー観点、法務的観点で“棚卸し”することで、クライアントと認識を揃えるようにしています。
田中:ただ、データマッピングは非常に難しいですよね。各部署にシートを配って埋めてもらおうとしても、担当者や部署ごとに認識がまちまちで、なかなかうまくいかないことが多いですね。
今井:確かにデータの持ち方について、部門によっても認識が違いますよね。私もデータマッピングは難しいと感じています。
田中:法律家の立場からすると、現場の各担当者に作成していただいたデータマッピングの結果は、うのみにしないようにしています。マップを見てみたら、事業活動上、当然ありそうなものが抜けているので、確認すると「実はありました」ということもよくあります。そうすると、今井さんが先程おっしゃったように「前提が違う」ということになるわけです。
今井:会社や担当者によって理解度も違えば、時には会社の規定として個人情報保護法よりも厳しい運用ルールを定めていることもあり、データマッピングを行うとプロジェクト自体がストップする場合もあり得ます。そういう時は、まず「自分たちで把握・判断のできるデータ」だけを用いて施策化していき、それを“突破口”にすることもありますね。
山森:私たちの場合、Treasure Data CDPに格納されているデータは把握できるのですが、外のデータベースに格納されているデータは当然分かりません。導入に当たって最初にデータマッピングを行うのは、クライアントのデータプロセスの全体像を把握するためでもあるのです。
つまり、「Treasure Data CDPに格納しているデータは個人情報に当たらないが、社内の他のデータと統合すると、容易照合性により、個人情報になってしまう」ことがあります。その対策として、改正個人情報保護法に定められている保有個人データの「開示」「使用停止」「削除」を実行できるようにしています。
お二人の話を伺うと、それぞれのアプローチの違いからも、クライアントが保持しているデータの“前提”を確認し、そのプロセスを透明化させることの難しさが分かって興味深いですね。
今井:トレジャーデータはそういったデータに関することを詳らかに説明してくれるので、助かっています。CDPを提供するベンダーでも温度差がありますから、パートナー選定は重要ですね。
求められているのは「ユーザーに分かりやすく説明すること」
今井:プライバシー保護については、法的なリスクの他に、“炎上”による企業イメージの低下も懸念材料です。田中先生は、炎上を回避するにはどういった施策が必要だと思われますか?
田中:ありきたりですが、結局は大きな視点でみて、データ主体に対して“サプライズ”を与えていないか、自分たちが倫理的におかしなことをしていないかを常に考えておくことが、大きく道を踏み外して炎上してしまうことを防ぐのには一番有益なのではないでしょうか。
というのも、個人情報保護法関連においては、執行事例が公表されるケースは限られています。そんな限られた執行事例を後追いする形で場当たり的に対応していくことには、どうしても限界があります。
「炎上を防ぐための施策」と考えるとどうしても後ろ向きに見えますが、「プライバシー保護に配慮したサービスとして、ユーザーに安心して使っていただくために考えよう」という発想に立てば、前向きな姿勢で取り組めるのではないでしょうか。
山森:結局、炎上というのは、世間から見て「おかしいな、不適切だな」と思われる行為が発覚したときに起こります。法としては間違ってはいないかもしれないけれど、生活者から見て不適切だなと思われた場合に燃え上がるわけですよね。
今井:かといって、あまりにも守りに入りすぎると、同意の取り方もギスギスしてしまって、逆にユーザーを警戒させてしまいます。「法律を守る」だったり「自社規定のルールを守る」という姿勢に入りすぎて、それ自体が目的化してしまっている企業も見受けられます。
田中:そこが大事なポイントなんですが、ヨーロッパでも日本でも、当局が求めているのは、あくまでも「ユーザーに分かりやすく説明してね」ということなんです。けっして、ユーザーに対してガチガチな法的文言を提示することを要求しているわけではないんですよね。
保守的になりすぎて、説明文に「第○条第○項に基づき~」などと入れたり、難解な法律用語を駆使した文章でユーザーの同意を取ろうとしても、結局具体的に何をしているのかがユーザーに伝わりません。ユーザーの理解が得られないのでは、「説明」したことになりませんよね。
今井:法的文書の問題というより、コミュニケーションをどうデザインするかという問題なのかもしれませんね。会社として、ステートメントやメッセージをどのように伝えていくのかということにつながりますね。
山森:田中先生も言われたように、ユーザーに「悪いサプライズ」を与えないようにすることがとても大事ですよね。
田中:ユーザーから見て、「この文章じゃ自分の情報がどう使われるのかよく分からないよ」というのがダメなんですね。
今井:プライバシーポリシーも顧客体験だということですね。
田中:われわれ弁護士は堅い文章を書きがちですから(笑)、ここは常にクライアントやユーザーの視点に立ってコミュニケーションを行っている、今井さんたちの得意分野ではないでしょうか。
「使い方を説明して、必要に応じて同意を取る」というシンプルな話なのです。ユーザーにとって分かりやすい説明文と、分かりやすいインターフェースを用意することが重要です。「同意を取れば万全だ」とか、逆に「同意を取らないと何もできない」というわけではありません。
同意が必要な際は、ユーザーに分かるように正しく情報提供する。同意が不要な局面でも法規制にはしっかり従っていく。これを戦略的にやっていくべきでしょうね。
山森:私は、“善いツール”というのは、法律の知識がない人が使っても、法律を守ることができるものだと考えています。例えば「16桁の数字はクレジットカード番号の可能性があるから自動的にインポートしない」であったり、細かくアクセス権限を設定できたり、という機能が該当します。
こうした機能を企業が用意することは、個人のデータが“民主化”されていく時代において、法規制やプライバシーを遵守しながらデータを活用できることにつながります。
今井:企業がプライバシーを遵守しながら、より優れた顧客体験をデザインしていくことは、実際にサービスを利用するユーザーにとっての価値にもつながります。電通や電通デジタルにできる範囲のことだけでなく、トレジャーデータのようなツールを提供しているテクノロジー企業や、田中先生のような法律家と協力することで、プライバシー関連のプロジェクトに取り組まれているクライアントを横断的に支援して行きたいですね。
——————————————————————————————————
トレジャーデータと電通・電通デジタルが協業し提供するソリューションついて、ご興味をお持ちの方は、お気軽にお問い合わせください。
【概要資料ダウンロードはこちら】
https://www.treasuredata.co.jp/dx-privacytech-download-td/
【お問い合わせはこちら】
https://www.treasuredata.co.jp/dx-engine-contact-us-td/
——————————————————————————————————
<プロフィール>
今井 紫
株式会社電通デジタル
ビジネストランスフォーメーション部門
サービスマーケティング事業部 グループマネージャー
電通入社以来、マーケティングテクノロジーを用いたITシステムや海外向けアプリケーションの開発導入に専従。データ戦略立案、最新テクノロジーを活用した事業開発等の経験多数。官公庁、通信会社、自動車の分野を主に担当。2016年電通デジタル出向後は、データ基盤設計からDMP構築、運用体制構築までデジタルトランスフォーメーションの全体フローをディレクション。近年はデータプライバシー起点のデータマネジメントも手掛ける。
田中 浩之
森・濱田松本法律事務所
パートナー弁護士、ニューヨーク州弁護士
2004年慶應義塾大学法学部法律学科卒業、2006年慶應義塾大学大学院法務研究科卒業、2007年弁護士登録、2013年ニューヨーク大学ロースクール修了(LL.M. in Competition, Innovation, and Information Law)、2013年Clayton Utz法律事務所で執務(〜2014年8月)、2014年ニューヨーク州弁護士登録、2018年4月~8月慶應義塾大学法学部法律学科非常勤講師。日本の個人情報保護法、GDPR・CCPA対応等のグローバルなデータ保護法、プライバシー保護対応の経験が豊富。知的財産、ITに関する案件も数多く手がける。
山森 康平
トレジャーデータ 株式会社
Director of Business Development
ドリームインキュベータにて主にエンターテイメント業界及びPEファンド向けのコンサルティング業務と自社の投資先向けのハンズオン支援に従事。2013年より投資先のアイペット損保へ出向、後に転籍をして社長室長に。2018年にマザーズ上場。アイペットではデジタルマーケティングを活用した販売チャネルシフト、RPA導入プロジェクト、代理店向け業務システム開発、金融庁との折衝窓口、投資業務等を担当した。2019年にトレジャーデータへ参画。