ヘルスケアデータ二次利用による企業価値向上を支える「デジタルコンプライアンス」の在り方(小野薬品)
小野薬品でデータ戦略を担当している山下 信哉氏をお迎えし、各部門を巻き込んだヘルスケアデータの二次利用におけるデジタルコンプライアンス体制の構築や、法規制、さらに視野を広げたELSI(Ethical, Legal, and Social Implications)リスクへの対応についてお話を伺いました。
プライバシーに対する関心の高まりと法規制の急速な変化に伴い、企業にはプライバシーガバナンスの強化と柔軟な対応が求められています。特にグローバルに事業を展開している企業にとっては、越境移転規制や複数の国内外法令への対応などが大きな課題となっています。複雑化する外部環境の変化に対応しながらデータ利活用を加速させるためには、企業はどのような体制を構築し、どういった施策を実施すべきでしょうか。本セッションでは、膨大な量の個人情報を扱うリクルートでデータ保護・プライバシー保護専門部署の責任者を務める馬場 俊介氏と、プライバシー&セキュリティコンサルティングを専門とする弁護士の大井 哲也氏を招き、今必要とされている取り組みと今後の展望を議論します。(本文敬称略)
登壇者
株式会社リクルート
データプロテクション&プライバシーUnit
ディビジョンオフィサー
馬場 俊介氏
TMI総合法律事務所
パートナー弁護士
TMIプライバシー&セキュリティコンサルティング株式会社
代表取締役
大井 哲也氏
PwC Japan有限責任監査法人
パートナー
平岩 久人
モデレーター
PwCコンサルティング合同会社
ディレクター
橋本 哲哉
左から橋本、馬場氏、大井氏、平岩
左から馬場氏、大井氏
環境変化に適応できる「柔軟なガバナンス」の必要性
橋本:
最初に皆さんの担当業務を教えてください。
馬場:
リクルートの馬場です。社内ではデータプロテクション&プライバシーUnitのディビジョンオフィサーという肩書きで、データ保護とプライバシー保護を担当する専門部署の責任者を務めています。
大井:
プライバシー&セキュリティコンサルティングを専門とするTMI総合法律事務所の代表で、弁護士を務める大井です。
平岩:
PwC Japan有限責任監査法人の平岩です。プライバシーガバナンスの構築支援やデータガバナンスの高度化支援といった業務に従事しています。
橋本:
早速ですが、馬場さんに伺います。リクルートは多くの個人情報を取り扱いながらその安全性が高く評価され、フィナンシャルタイムズ紙のイノベーティブ・ローヤーズ賞(アジア太平洋)を「商業的・戦略的アドバイス部門」で受賞しました。受賞理由を教えてください。
馬場:
今回評価いただいたのは2点あると理解しています。1点目はトップコミットメントです。2019年のリクナビDMP事案を受けて、経営陣自らがリーダーシップを発揮し、全グループ会社が総力を挙げてプライバシー保護対応の改善を進めてきた姿勢を評価いただきました。
2点目は堅牢性のみならず、柔軟性を持たせたガバナンスを施行してきたことです。ガバナンス強化というとプロセスの複雑化や作業量が増加し、一度構築すると変更しづらくなる恐れがありますが、当社では堅牢性の強化をしながら「変化に強いガバナンス」の構築を目指してきた姿勢を評価いただきました。
橋本:
「柔軟性を持たせたガバナンス」を重視した理由を教えてください。
馬場:
プライバシー領域を取り巻く変化が非常に激しいと捉えているからです。例えば、プラットフォーマー側のルールは頻繁に変更されますし、日本の個人情報保護法自体も3年ごとに改正されており、守らなければならないこと自体が素早く変わり続けていきます。
そうした情勢に対応するには柔軟性が不可欠です。もし変更があった規制やルールへの対応に1年間かかってしまえば、その間事業が滞ってしまいます。そのため、変化が起こることを前提として、どのようなガバナンスを構築すべきか考えることが必要だと感じています。
リクルートが全社を挙げて取り組むプライバシーガバナンス強化策とは
橋本:
次にプライバシーガバナンス強化の具体的な取り組みについて教えてください。
馬場:
ポイントは3つあります。1つは「外部の声や意見を取り入れた指針策定」です。最も大上段となる指針が当社の独りよがりの内容になったり、当社にとって遵守しやすいだけの内容になったりしないよう、当社は社会からどのような期待を持っていただいているのかといった第三者の方々のご意見もいただきながら指針を策定しました。
2つ目は「プライバシー観点からのレビューの実装」です。プライバシー保護のガバナンスを構築する際には最初に指針を作成し、それを具現化できるようガバナンス設計を行ってきました。レビューの観点としては、具体的には施策の社会的妥当性や公平性、公正性をチェックする「フェアネス」観点でのレビューを行い、そのうえで「必要性」「透明性」「選択機会の提供」の3つの観点でレビューをしながら、プライバシー保護を徹底できるようなレビュー基準やプロセスを実装しました。
3つ目は「プライバシーポリシーの統合と中央管理」です。以前は個別最適で、施策ごとに個人情報に関する約束事を検討し、個別で作成していたため、約束事の数が増加し、かつ、各施策・各導線にその約束事が散在していました。そのため、何か変化をさせたくとも、どこに約束事があるのかを洗い出し、どれを変更する必要があるかを検討したうえで、実装も各導線で必要という煩雑な対応となり、コーポレート側も事業側も双方の負荷が大きくなっていました。当時、こうした約束事は約1,800もありました。
この負荷を低減するために実施したのが、「中央による一元管理」です。具体的には同様の個人情報の取り扱いがある施策のプライバシーポリシーを統合してマスター化し、各導線からマスターポリシーを参照する仕組みを構築しました。何か変更がある場合にはマスター側で変更をすればそれが全ての導線に即時に反映できるようにしました。これにより、事業側に負荷をかけることなく迅速にプライバシーポリシーを変更・反映できるガバナンスを実現しました。
平岩:
社会が大きく変化していく中で柔軟なガバナンスを構築するには、社外に対するリーダーシップも重要だと思います。その点はどのように取り組みましたか。
馬場:
1つ挙げられるのが、指針と取り組みを対外的に発信してきたことです。ユーザーの方々に安心してサービスを使っていただけるよう、私たちは「どのようなガバナンス体制で」「何を重視し」「どのようにレビューをしているのか」を明示し、積極的に発信しました。プライバシーセンターを公開したのもこの取り組みの一環です。
大井:
リクルートはさまざまなプロダクト/サービスとデータを持ち、多種多様な形態のデータを利活用していますよね。大量のサービスを管理するうえでどのような工夫をしていますか。
馬場:
リクルートには当時300を超えるプロダクトがありました。最初に重要視したことは、「各プロダクトで誰がプライバシー保護の責任を持つか」を明確化することでした。
プロダクトごとのプライバシー保護の責任はプロダクト側で持つと決め、各プロダクトで具体的に誰が責任者なのかを明らかにし、人事資料上にも表記することで誰が見てもそのプロダクトにおけるプライバシー保護の責任者が分かるようにしました。その全責任者とわれわれが隔週で密に会議を持ち、各プロダクトで実際にどのような個人情報を扱っているのかといった情報を共有してもらい、こちらからは中央での対応方針を示したうえで、各プロダクトへの影響やデータ移転の状況を責任者と話し合い、情報を集約して対応方針を決定するというプロセスを取りました。
大井:
海外事業対応の取り組みはいかがですか。特に欧州のデータ・プライバシーガバナンスは日本よりも進んでいる印象があります。例えばGDPR(欧州一般データ保護規則)への対応はどのように取り組んでいますか。
馬場:
当社でもGDPR対応は行っていますが、重要なのはデータフローの把握だと考えています。「各拠点でどのようなデータを取得し」「どのようなサービスに活用し」「どのようなデータフローになっているのか」を具体的に把握することから始めています。特に、海外は実態把握を始めようとしても誰に確認すれば網羅的かつ正確に把握できるのかといったキーパーソンの把握自体難しいこともあり、GDPR対応時はプロジェクトを立ち上げ現地のキーパーソンにもプロジェクトに当事者として入ってもらいつつ、われわれも現地に何度も足を運びながら具体的に何をしているのかを把握し、データフローチャートを1つ1つ作りながら、拠点ごとに個別対応をしていきました。
左から橋本、馬場氏、大井氏
左から大井氏、平岩
グローバル企業が抱えるプライバシーガバナンスの課題とは
橋本:
グローバル企業のプライバシーガバナンス対応について、さらにお伺いさせてください。大井さんはグローバル企業の支援を数多く手掛けています。グローバル企業はどのような点に留意してプライバシーガバナンスに向き合うべきでしょうか。
大井:
グローバル企業のGDPR対応では2つの課題があります。1つは日本国内のサービスをGDPRに対応させることです。もう1つは、海外子会社における個人情報の取り扱いをGDPRに対応させることです。この2つが重なり合う難易度の高い対応が求められています。
具体的に説明しましょう。まずは「越境移転規制への対応」です。例えば、グローバルで展開している企業が日本の本社と海外の子会社それぞれで顧客情報を管理しているという場合、顧客管理システムを導入し、グローバルで顧客情報や購買データを共有して営業活動やマーケティングに役立てたいというニーズがあります。
この顧客管理システムには、日本本社と海外子会社の顧客情報を格納することになります。つまり、日本企業の顧客情報が海外へ、海外子会社の顧客情報が日本へ共有されることになり、個人情報保護法の越境移転規制の対象となります。
また、海外拠点の人事情報の扱いにも留意する必要があります。総合商社は多くの海外子会社を擁しており、海外子会社と日本本社の人事情報を1つの人事管理クラウドで管理したいというニーズがあります。ただし、国境を跨いだ人事情報の共有には、各国の個人情報保護の越境移転規制を準拠しなければならず、大きな課題となっています。
さらに、複数の国内外法令への対応も課題です。日本本社で海外の法律をすべて把握して対応するのは難易度が高いです。一方、海外子会社の法務部はリソースが潤沢でないため、個社ごとに海外法令に対応するのも難易度が高い。日本のグローバル企業がどのような体制で対応するかは、非常に悩ましい課題です。
橋本:
平岩さんはこうした課題をどのように捉えていますか。
平岩:
プライバシーガバナンスをグローバルに拡大するには、すでに構築しているグローバルコンプライアンスの仕組みを活用し、プライバシー保護の観点で必要となるグローバルでの機能を整備することが重要だと考えます。
その際に論点になるのが、「日本本社がどこまで海外の現地法人をコントロールすべきか」「現地法人に任せる範囲はどの程度か」「その役割分担をどのように決めて運営するか」という点です。これらの点について、大井先生いかがでしょうか。
大井:
ご指摘のとおり、多くのグローバル企業はこうした課題に腐心しています。さらに一口に「グローバルのコンプライアンス」と言っても、個人情報保護法だけを指すのではありません。企業が遵守しなければならない法令には、独占禁止法や贈収賄防止法など複数のものがあり、それらは日本国内だけでなく、海外のそれぞれの国や地域に独自の法令として存在します。
先に平岩さんが説明された「既存のグローバルコンプライアンスの体制をベースに、個人情報保護法への対応を揃える」というアプローチは非常に効率的なやり方だと思いました。
橋本:
再び馬場さんに伺います。リクルートではグローバル拠点と本社の役割分担で工夫していることはありますか。
馬場:
海外子会社に任せる部分と本社が関与する領域の線引きは、難しさを感じています。当社では子会社ごとに法務責任者がどのような法務経験を持つ人材がいるかを個別に判断し、その方の経験や、リスクや影響の大きさを踏まえ、権限委譲する範囲を決めて個々に委譲していくやり方をしています。
権限委譲した部分は本社で対応状況をモニタリングし、新たな課題が発生した時の対応などを協議しています。一方、本社側で直接対応している拠点では、現地スタッフを巻き込みながらプロジェクトを組成し、一体となって各国の新法令に対応しています。
1つ工夫している点として挙げられるのは、株式会社リクルートではアジア諸国の法令と日本や欧米の法令を1つのチームで対応していることです。その理由は、アジア諸国では次々に法令ができていますが、通常新法令が制定されるタイミングでは、詳細なガイドラインが公表されないことがあるからです。その場合、その新法の文言だけで対応しようとしても、「相場観」がないので具体的にプラクティスレベルで何をすればよいか分からないことが多いです。そのため、他国で法令に対応した経験を踏まえ、チームでその知見を生かしながら具体的にどのような対応を行えばよいかを判断できるようにしています。
ユーザーの声に耳を傾けてPDCAサイクルを回す
橋本:
最後に今後の展望を聞かせてください。今後さらにプライバシーガバナンスを強化していくために、どのような取り組みを実施する計画ですか。
馬場:
大切にしたいのは、「リクルートが何のためにプライバシーガバナンスを強化していくのか」を自分自身やチームで常に問い続ける姿勢です。われわれにとっての答えは明確で、「ユーザーに安心してサービスを使っていただくこと」です。そのため、行っている取り組みがきちんとユーザーに届いているのか、そして信頼関係の構築に寄与しているのかを確認しながら、その方向性を見極めなければならないと考えています。
今後の展望として決めていることは、われわれがデータを使ってサービスをより便利にできるよう、外部の声やユーザーの声に耳を傾けていくことです。デプスインタビューやユーザーサーベイも実施しながら、われわれの仮説や基準が「信頼」を得ることにつながっているかを常に確認し継続的に改善し、ユーザーの声をもとにPDCAサイクルを回していきたいと考えています。
平岩:
馬場さんと大井さんのお話で特に重要だと思った点が2つあります。
1つはプライバシーガバナンスで最も重要なのは「顧客との信頼の醸成」であることです。もう1つは新技術や新サービスの登場でプライバシー侵害のリスクが高まる中、ユーザーの意見や社会の変化に柔軟に対応することの重要性です。海外の法令とのギャップを認識しつつ社会の変化にも柔軟に対応し、ガバナンスを進化させていくことが求められていると感じました。
橋本:
グローバルでビジネスを展開し、プライバシーガバナンスの取り組みに課題を抱える企業の方々にとって、非常に示唆に富むお話だったと思います。本日はありがとうございました。
左から橋本、馬場氏、大井氏
特別対談:デジタルトラストの構築に向けたPwCのアクション
20 results
Loading...
デジタルアイデンティティを支える技術―ソリューション導入の失敗事例と成功事例―(SailPoint/Okta/CyberArk)
アイデンティティ(ID)管理のソリューションが求められる背景や導入の要点、やってしまいがちな失敗とその対策などについて、ID管理を手掛ける企業の専門家3名にお話を伺いました。
プライバシーガバナンス最前線―データ利活用を促進していくために、いま企業に求められていること―(リクルート/TMI)
膨大な量の個人情報を扱うリクルートのデータ保護・プライバシー保護専門部署の責任者と、プライバシー&セキュリティコンサルティングを専門とする弁護士を招き、今必要とされている取り組みと今後の展望を議論します。
デジタルプラットフォーム取引透明化法の「モニタリング・レビュー」にみる、新しい時代のトラストとは(経済産業省)
2021年2月に施行されたデジタルプラットフォーム取引透明化法の中で注目されている「モニタリング・レビュー」。同法に携わる経済産業省の担当者をお招きし、モニタリング・レビューの果たす意義と新しい時代におけるトラストのあり方を伺いました。
Loading...
インサイト/ニュース
20 results
Loading...
各国サイバーセキュリティ法令・政策動向シリーズ(5)ブラジル
各国サイバーセキュリティ法令・政策動向シリーズの第5回目として、ブラジルのデジタル戦略と組織体制、セキュリティにかかわる政策や法令とその動向などについて最新情報を解説します。
パーソナルデータの利活用におけるデジタル先進企業のプライバシーガバナンスの取組状況
プライバシーガバナンスは、プライバシー問題に関するリスクを適切に管理し、消費者やステークホルダーに対して責任を果たすことを指します。この見直しは、社会からの信頼を得るとともに企業価値の向上に寄与します。企業のプライバシーガバナンスへの取り組み状況として2社の事例をご紹介します。
脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―
昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。
JC-STAR普及に向けた政府動向とSecure by Demandによる製造メーカーへの影響
2025年3月末より、IoTセキュリティ適合性評価及びラベリング制度(JC-STAR)の運用が開始されました。行政機関や地方公共団体、民間企業に向けてさまざまな政府機関が発行するガイダンスについて紹介、解説します。
Loading...
