野村総合研究所（NRI）は、コンサルティング部門が着目する社会課題とその解決方向についての情報提供を目的として、日々現場で顧客とともに社会課題解決に取り組むコンサルタントを発表者とした全8回の発信活動を予定しています。
第1回は「プライバシーガバナンスの時代」をテーマとし、欧米のプライバシー保護に関する法規制の動向に触れながら、日本における個人情報保護法改正の方向性や企業に求められるプライバシー投資のあり方について提案しました。
発表を行ったICTメディアコンサルティング部の小林慎太郎に聞きました。

繰り返される個人情報保護法改正

スマートフォンやソーシャルメディアが登場した2010年前後から、パーソナルデータ活用の動きが活発化しました。それに伴って必然的に発生したのが、企業においてパーソナルデータの保護と活用をどう両立させるのかというプライバシーガバナンスの問題です。昨今、世界的に関心が急速に高まっているこのテーマについてまとめました。
まず「なぜ個人情報保護法は改正が繰り返されるのか」、次に「GAFAへの規制で、データ流通は活性化するか」について述べます。その上で、これら2つの議論を踏まえて「企業に求められる『プライバシー投資』のあり方」を提案します。
2003年の成立以来、個人情報保護法の改正が繰り返されるのには、大きく2つの理由があります。1つ目は「後を絶たない炎上事件」です。2015年に行われた1回目の法改正の時にはベネッセとSuica、2020年の改正ではリクナビ、LINE、Yahoo! JAPANの炎上事件が話題になりました。ここで注目したいのが、多くの事件では明確な法律違反があったわけではないという点です。むしろ法律の解釈が曖昧な中でパーソナルデータ活用を行ったことが、炎上事件につながりました。
炎上事件の背景には、企業のパーソナルデータ管理体制がデータ活用に対応していなかったことがあります。パーソナルデータの活用が積極的に取り組まれるようになり、1つのシステムの中ではなく事業部門やグループを横断してデータ管理を行う必要が出てきましたが、多くの企業ではそれが実現できていませんでした。それなのにパーソナルデータ活用を進めようとしたため、消費者への配慮がおざなりにされ、炎上事件に至ったのです。
個人情報保護法の改正が繰り返される2つめの理由は「グローバルに加速するプライバシー保護」です。2012年にEU一般データ保護規制（以下、GDPR）の草案ができたのを皮切りに、日本や米国でも法改正の議論が進みました。
このトレンドは今後も続くと考えられ、日本では3年後に次の法改正が行われる予定です。欧州や米国でも、法改正や新しい法律の制定に向けての議論が常に行われています。グローバル企業はその対応に追われるでしょう。

GAFAへの規制でデータ流通は活性化するか

日本国内のWebサイトで利用されているパーソナルデータは、ほとんどがGAFA、中でもwebサービスはGoogleに集中しています。プライバシー保護関連のソリューションを提供する企業のDataSignが国内16万サイトにどのようなWebサービスが組み込まれているのかを調査したところ、上位10個のうち9個がGoogleのサービスでした。さらにGAFAの支配は現実空間にもおよび、自動車・スマートホーム・ウェアラブル端末の分野においてもデータの集積を進めています。
こうした未来は以前から予見されていたため、2012年に公表されたGDPRの草案ではパーソナルデータを個人が持ち運びできる権利「データポータビリティ権」が創設されました。データポータビリティ権は本人がデータを受け取って他の管理者に移行する「間接移転型」と、本人を介さず管理者間でデータを移転させる「直接移転型」の2つに大別されます。GAFAは直接移転型ポータビリティのサービスの立ち上げやDTP（Data Transfer Project）の構築をはじめ、大きな資金を投じてデータポータビリティへの対応を進めています。
一方で、消費者側は必ずしも企業によるパーソナルデータ活用を求めているとは言えない現状もあります。NRIの調査によると、消費者が情報通信サービスに求める機能・サービスとして一番多いのは「自分に関する情報について、企業が管理しているデータを消去できる機能・サービス」でした。このような状況でデータポータビリティを実現しても、GAFAにとどめ置かれるか、流通しないまま消去されることが懸念されます。企業には、消費者から信頼を獲得して、GAFAからパーソナルデータを取り戻すためのアクションが求められています。

企業に求められる「攻め」と「守り」のプライバシー投資

これからの時代、プライバシー保護に投資できない企業は淘汰されるでしょう。そこで、これからのグローバル企業に求められるプライバシー投資のあり方について「守り」と「攻め」の2方向から提案します。

まず「守り」のプライバシー投資については、プライバシー保護責任者を任命し、活動の主体となるプライバシー保護組織を構築することです。これまでプライバシー保護に関しては、核となる責任者や部署がない状態でした。しかしプライバシーガバナンスを構築するにあたっては、この2つの要素が必須です。
ここで着目すべきなのが「プライバシー保護と情報セキュリティ対策は別物である」ということです。日本企業はこれまで注力してきた情報セキュリティ対策の延長線上で個人情報保護法に対応しようとする傾向にあります。一方で、パーソナルデータの活用では開示請求への対応やデータ活用への同意取得など、消費者とのコミュニケーションが重要です。そのため、この2つを切り分け、別々の責任者・組織が担うべきだと考えます。
プライバシー保護組織の設立には他にも重要な論点があり、プライバシーガバナンスの構築は一朝一夕にできるものではありません。企業ごとの実態に応じて段階的に構築するのが望ましいと考えます。
次に「攻め」のプライバシー投資です。GAFAに集中したデータを取り込むためには、パーソナルデータを集中管理する方式・体制の構築が必要です。これまでいろいろな事業部門やグループ会社に散在していたデータを一元管理し、しっかりと整理しておかなければなりません。これを徹底することで、消費者はGAFAから一般企業に自分のデータを移すことができ、その企業ならではのサービスを受けられる可能性が出てきます。
一方で、ルールを自ら作り、データ活用できる領域を開拓することも重要です。冒頭にグレーゾーン（法規制の適用範囲が不明瞭な領域）でデータ利用を行ったことによる炎上事件をご紹介しましたが、こうした事態を防いで安心・安全にパーソナルデータを活用するには、企業自らがルール作りを行い、ホワイトゾーンを作る必要があります。
例として「オプトアウト方式」によるデータ利用を考えます。オプトアウトとは、本人からパーソナルデータ利用にあたって、事前に同意を得ない代わりに、本人から申し出があればデータ利用を止めるという方法です。オプトアウト方式は、本人の同意を得た場合のみパーソナルデータを利用できるオプトイン方式よりも多くのデータを利用できる一方で、消費者が明確に意思表示していないので、炎上のリスクもあります。データ活用においては匿名性を確保しつつ、事前にステークホルダーと検討の上で行動規範に取りまとめて公表するなど、消費者や社会からの信頼を確保しておく必要があるでしょう。
欧米だけでなく、日本においてもプライバシーガバナンスの時代は確実に到来しています。消費者が安心してデータエコノミーの恩恵を享受できるよう、企業は「守り」と「攻め」のプライバシー投資を行うことが必要です。

関連記事

【レポート】プライバシーガバナンスの時代
―法改正とGAFA規制に向けたプライバシー投資のあり方―

レポートページはこちら