2020年6月、「個人情報の保護に関する法律等の一部を改正する法律(個人情報保護法)」の改正が公布されました。2022年に施行される改正法のポイントは、個人に関する情報を見たり考えたりする立場での規定が充実している点にありますが、IT部門では現実のものとして感じられないという人も多くいるのではないでしょうか。
これまで日本企業は、危険や脅威から個人情報を防御する「セキュリティ」への対策を進化させてきました。その一方で、個人情報の扱いにフィーチャーした「プライバシー」については十分に議論されないまま、テクノロジーの進歩・発展によって個人情報が集めやすくなり、収集したデータを活用する方法が普及してきました。法改正が今回されたことによって、企業として個人情報をどうコントロールするべきかを立ち止まって考える契機とすべきです。そこで今回は、個人情報保護法とIT部門のかかわり方から、データ活用の展望までを繙いていきます。
国内の常識や法令のみならず、世界標準をはっきりと知る
最初に、個人情報保護の法整備にかかわる世界のトレンドをしっかり理解しておきます。2018年5月にEU(欧州連合)は、個人情報データ管理者の立場や職分に応じてしなければならないことを大幅に強化した「GDPR(General Data Protection Regulation:一般データ保護規則)」を発効しました。これをきっかけとして世界各国や地域において個人情報保護の動きが累加しています。
米国では2020年1月に、CCPA(カリフォルニア州消費者プライバシー法)が施行されました。州法ではありますが、米国でビジネスを繰り広げている企業に期待する正しい個人情報保護のあるべき姿を定義しており、波及効果は米国全土に広がっています。中国でも、2017年に成立した中国サイバーセキュリティ法でGDPRと同然の越境データ規制が盛り込まれています。
日本では、2005年に最初の個人情報保護法が施行され(成立は2003年)、2017年と2020年に改正されました。2020年の改正では、『個人の権利や事業者の責務』『事業者による自主的な取り組みを促す仕組み』『データ利活用に関する施策』『ペナルティ』『法の域外適用・越境移転』に関し、GDPRに似通った内容が盛り込まれています(詳細は『個人情報の保護に関する法律等の一部を改正する法律(概要)』、2020年6月12日、個人情報保護委員会を参照)。
国によっていささか異なる点はありますが、今はもうGDPRが個人情報保護の世界標準になっています。これから先は日本企業においても、本来そうあるべき世界の趨勢に従って取り込まれていくことになります。個人情報については国内の法律や常識だけで判断することを避けながら世界に目を向ける必要があります。
企業が個人情報保護のためにすべきことについては、GDPR下での制裁事例が教訓になります。これまでで制裁金が最も高い事例は、英British Airwaysの約250億円で、次いで米Marriott Internationalの約135億円となっています。Marriottの方が漏洩件数は多かったのですが、British Airwaysの方が高額の制裁金を科せられました。英国の情報コミッショナーは判断根拠について、『我々のフォーカスは、個人データを保護するための、適切で、合理的で、一貫性のある、有効なデータ・セキュリティがあったかどうかである』と述べています。この実例から、企業は個人情報保護に最大限の努力を払う必要があり、インシデントが発生したときにはその実態について説明を求められることが分かります。
現状を踏まえて、企業が取り組むべきことは大きく分けて3つあり、「体制作り」「セキュリティ対応」「プライバシー対応」となります。「体制作り」とは、専任組織の設置や、セキュリティ・プライバシーに関するポリシーの策定、プロセスの作成などを指しています。「セキュリティ対応」は、物理的、組織的、人的、技術的に、脅威に備えることです。改正法には漏洩時の報告・通知の義務化が盛り込まれていますので、インシデントに対するレスポンスの精度を上げることも重要になります。「プライバシー対応」は、今後さらに強化する必要がある部分となります。改正法では主体(個人)の権利が重んじられています。
改正個人情報保護法は規則に従って物事を制限するだけではない
個人情報保護法が改正されることによって、たくさんの企業に対して影響が及ぶものとあらかじめ推測されているなかで、IT部門の位置づけはいかような変化を遂げていくのでしょうか。リマーケティング広告などに活用されているデータマネジメントプラットフォームを中心とした広告ビジネスに用いられる各種情報技術領域においては、GDPRの侵害でGoogleやFacebookが提訴されるなど、「データ保護」「個人情報保護」とも密接にかかわっているため、日本においても個人情報保護法の動向が注視されています。
とは言うものの、個人情報保護法は専門的知識によって、言葉や文章の意味・内容を解きほぐして明らかにする必要がある部分が多いだけではなく、しばしば改正も施行されるためにしっかりとすべてを理解することは難しいことです。そもそも個人情報保護法ではどのようにしてデータを適切に取り扱い、その状況に合っていてふさわしい取り扱い方とは何かといったあらかじめ決められたルールを制定しているとしたうえで、現在および将来において個人情報保護法が動いていく方向や傾向を注視してみると、従来のデータ活用において白でもなく黒でもない曖昧な状態であった部分を明確に切り分けようとする動きがみられます。
これまでは多くの困難なしでデータを収集できる一方で、収集されたデータに関してはウェブページ運営者のものなのか、それとも閲覧者に帰属するのかといった線引きが曖昧なままデータの活用が進んできました。しかし、2020年6月に成立した個人情報保護法の改正では、第三者提供に関する新たな規定が設けられた影響で、Cookieから得られる情報を個人情報として結びつけるなどをする場合にはユーザからの同意を得ることが必要となります。
また、今回の改正についてはGDPRやCCPAを意識しているというよりも、これまでの日本における個別の課題を解消するといった側面が強くなっており、一例を挙げると2019年に発生した就活情報サイトで「内定辞退率」についてを予測したデータを提供することについて、法的な根拠を持たない道徳的・倫理的な側面からすれば問題視されていましたが、個人情報保護法という観点においては疑念の余地なくイリーガルとはいえなかったため、こうした課題を解消するという背景が大きくなっています。
このような個人情報保護法改正の動向は、一見するとデータの活用に対する規制を強める動きにみえてしまいますが、白黒ハッキリと線引きする一方で、「匿名加工情報」や今回の改正に含まれる「仮名加工情報」など、よりデータの活用を推進するための内容も含まれています。特に直近の改正においては、時代の最先端を取り入れたデータ活用のための枠組みが用意されるといった動きもみられ、まかり間違っても制限を強くするためだけのものではありません。
IT部門における一定の認識が不可欠に
多くの企業が取り組み始めているDX推進の動きにあわせて、データドリブン型の経営を目指す動きもみられるようになっています。全社的なデータ活用が掲げられる中で、実際のデータ管理はIT部門が担っているケースも多く見受けられます。最近では、専門的な知識がなくてもBIツールの活用でデータの取得が容易になっていますので、大量に蓄積した業務データベースから特定の目的に沿って抽出した小規模なデータベースの作成など、利用しやすい形へと整形するための工程もより重要視されているため、情報システム部門において、改正個人情報保護法に則った上でデータを使いやすい形で貯めておくことによって、他部門がBIツールなどの活用を考えられるようになります。
とは言うものの、横断的なデータ活用の前に乗り越えなければならない壁が、現実的には数多く存在しています。たとえば、マーケティング部門主導で、ECサイトやインターネット広告の分野で匿名化された特定の個人に関する各種の情報を分析し、目的に応じて利活用するための基盤となるシステムを導入する際に、データベースの契約はしたものの、社内のどこにどのようなデータが存在しているかを把握できていないうえに、情報システム部門との調整もうまく進まず、結果的に「箱とアイデア」だけが揃っていたとしても、データを入力できないというケースも散見されています。
こうした課題を解消するためのひとつの方法として、お互いの部門のことを理解できる人材の確保が挙げられます。こうした問題の大部分は、お互いの部門が何をしているのか、そして何をしたいのか理解できていないところにあります。そのため、ジョブローテーションなどの仕組みを利用して、マーケティングを理解できるIT人材や、社内の情報管理や技術な側面について理解があるマーケティング人材を育てていくことも大切になってきます。
また「データ取り扱い基本方針」のような、データを扱う場合に拠りどころとなる方針を策定することが望ましく、たとえば「データを海外におかない」や「該当データを含む場合は業務委託の人までにしか公開してはいけない」などのルールなどは、明文化されていないだけで、既に各部門で文化として醸成されています。そうした部門ごとのデータの取り扱いに関する文化を基に、部門横断的なタスクフォースを組織したうえで、個人情報保護法を反映させた形でルールを策定できることが理想です。
欧米諸国でこうした取り組みを実現できているケースは稀で、GoogleやFacebookなどCDO(Chief Data Officer)やCPO(Chief Privacy Officer)といった役割を明確化させている企業が主となっています。特に日本では、情報システム部門やマーケティング部門などを一括して管掌する役割の重要性を十分に認識できていないため、CDAやCPOの役割というものが確立され、その価値を理解できるようになることが必要になってきます。海外では、CDPRやCCPAに違反した際のビジネスインパクトが大きいこともあり、CDAやCPOが確立されていますが、日本においての個人情報保護法は有名無実な側面も見受けられました。今回の改正などもそうですが、より金銭面での影響などビジネスを継続するうえでの影響が具体的になることによって変わる部分もあるのではないでしょうか。
情報システム部門は利益に責任を負う部門へ
CDOやCPOの確立につながっていくものとして、多くの企業がDXやデータドリブン型の経営を推し進めています。コロナ禍でその動きが加速していく中で、日本のDXの姿においてOCRやRPAで工数削減や省人化といったコスト削減の側面が強く押し出されていることに違和感を覚えます。たとえば、将棋や囲碁においてAIや人工知能を活用することで、人が考えられなかった新たな一手が生まれているように、人とデータによって新たなものを生み出すことにこそ大きな価値があるからです。
DX推進においては、AIやデータによって新しく何が生み出せるのかといった考え方を情報システム部門でも持つことができるようになると、攻めのDXに寄与できるようになります。これは、個人情報保護法において、規制の側面だけでなく活用を促す側面があることを理解することと同様となります。そのため、「コスト削減を推進する部門」としての役割が強かった情報システム部門に対して、「利益に責任を負う部門」としてより成長戦略に貢献できる部門への転換が求められてきます。
それでは、これからデータを取り巻く環境はどのように変化していくのでしょうか。まず、ここ数年はデータ活用に対して、まだまだ怖さを覚える企業も見受けられますが、個人情報保護法の改正でグレーだった場所が整理されていくことで、あらためてデータの利便性や重要性を知り、その本質・意義などを理解できるように変わっていくことによって、うまくデータを活用できた企業は、さらにデータを活用することで高い価値を生み出していくことで中長期的な成長へとつながっていきます。
少子高齢化が進む日本では、DX推進によるデータや最新のテクノロジーを活用することは欠かせません。安心かつ安全であればデータを使わない理由はないという認識が広がっていくことによって、これまでデータが取得できていなかった領域でも、新型コロナウイルスの影響でテクノロジーの活用が進み、新しく得られるようになったデータも含めて、さらにデータの活用を広げていけるようになっていきます。
コロナ禍でDXの動きが加速する中で、より重要性を増しているデータの活用ですが、個人情報保護法に対しても規制と活用の両側面において、理解を深めていく必要があります。DX推進を掲げる中で、再度データ活用による価値創出や在り方について見つめなおすことが求められているのです。これからますます重用となる「データ」を第一に考えてセキュリティ対策に取り組んでいきましょう。
データ暗号化ソリューション「D'Amo」