プライバシーガバナンス最前線ーデータ利活用を促進していくために、いま企業に求められていること（リクルート／TMI）

環境変化に適応できる「柔軟なガバナンス」の必要性

橋本：
最初に皆さんの担当業務を教えてください。

馬場：
リクルートの馬場です。社内ではデータプロテクション＆プライバシーUnitのディビジョンオフィサーという肩書きで、データ保護とプライバシー保護を担当する専門部署の責任者を務めています。

大井：
プライバシー&セキュリティコンサルティングを専門とするTMI総合法律事務所の代表で、弁護士を務める大井です。

平岩：
PwC Japan有限責任監査法人の平岩です。プライバシーガバナンスの構築支援やデータガバナンスの高度化支援といった業務に従事しています。

橋本：
早速ですが、馬場さんに伺います。リクルートは多くの個人情報を取り扱いながらその安全性が高く評価され、フィナンシャルタイムズ紙のイノベーティブ・ローヤーズ賞（アジア太平洋）を「商業的・戦略的アドバイス部門」で受賞しました。受賞理由を教えてください。

馬場：
今回評価いただいたのは2点あると理解しています。1点目はトップコミットメントです。2019年のリクナビDMP事案を受けて、経営陣自らがリーダーシップを発揮し、全グループ会社が総力を挙げてプライバシー保護対応の改善を進めてきた姿勢を評価いただきました。

2点目は堅牢性のみならず、柔軟性を持たせたガバナンスを施行してきたことです。ガバナンス強化というとプロセスの複雑化や作業量が増加し、一度構築すると変更しづらくなる恐れがありますが、当社では堅牢性の強化をしながら「変化に強いガバナンス」の構築を目指してきた姿勢を評価いただきました。

橋本：
「柔軟性を持たせたガバナンス」を重視した理由を教えてください。

馬場：
プライバシー領域を取り巻く変化が非常に激しいと捉えているからです。例えば、プラットフォーマー側のルールは頻繁に変更されますし、日本の個人情報保護法自体も3年ごとに改正されており、守らなければならないこと自体が素早く変わり続けていきます。

そうした情勢に対応するには柔軟性が不可欠です。もし変更があった規制やルールへの対応に1年間かかってしまえば、その間事業が滞ってしまいます。そのため、変化が起こることを前提として、どのようなガバナンスを構築すべきか考えることが必要だと感じています。

グローバル企業が抱えるプライバシーガバナンスの課題とは

橋本：
グローバル企業のプライバシーガバナンス対応について、さらにお伺いさせてください。大井さんはグローバル企業の支援を数多く手掛けています。グローバル企業はどのような点に留意してプライバシーガバナンスに向き合うべきでしょうか。

大井：
グローバル企業のGDPR対応では2つの課題があります。1つは日本国内のサービスをGDPRに対応させることです。もう1つは、海外子会社における個人情報の取り扱いをGDPRに対応させることです。この2つが重なり合う難易度の高い対応が求められています。

具体的に説明しましょう。まずは「越境移転規制への対応」です。例えば、グローバルで展開している企業が日本の本社と海外の子会社それぞれで顧客情報を管理しているという場合、顧客管理システムを導入し、グローバルで顧客情報や購買データを共有して営業活動やマーケティングに役立てたいというニーズがあります。

この顧客管理システムには、日本本社と海外子会社の顧客情報を格納することになります。つまり、日本企業の顧客情報が海外へ、海外子会社の顧客情報が日本へ共有されることになり、個人情報保護法の越境移転規制の対象となります。

また、海外拠点の人事情報の扱いにも留意する必要があります。総合商社は多くの海外子会社を擁しており、海外子会社と日本本社の人事情報を1つの人事管理クラウドで管理したいというニーズがあります。ただし、国境を跨いだ人事情報の共有には、各国の個人情報保護の越境移転規制を準拠しなければならず、大きな課題となっています。

さらに、複数の国内外法令への対応も課題です。日本本社で海外の法律をすべて把握して対応するのは難易度が高いです。一方、海外子会社の法務部はリソースが潤沢でないため、個社ごとに海外法令に対応するのも難易度が高い。日本のグローバル企業がどのような体制で対応するかは、非常に悩ましい課題です。

橋本：
平岩さんはこうした課題をどのように捉えていますか。

平岩：
プライバシーガバナンスをグローバルに拡大するには、すでに構築しているグローバルコンプライアンスの仕組みを活用し、プライバシー保護の観点で必要となるグローバルでの機能を整備することが重要だと考えます。

その際に論点になるのが、「日本本社がどこまで海外の現地法人をコントロールすべきか」「現地法人に任せる範囲はどの程度か」「その役割分担をどのように決めて運営するか」という点です。これらの点について、大井先生いかがでしょうか。

大井：
ご指摘のとおり、多くのグローバル企業はこうした課題に腐心しています。さらに一口に「グローバルのコンプライアンス」と言っても、個人情報保護法だけを指すのではありません。企業が遵守しなければならない法令には、独占禁止法や贈収賄防止法など複数のものがあり、それらは日本国内だけでなく、海外のそれぞれの国や地域に独自の法令として存在します。

先に平岩さんが説明された「既存のグローバルコンプライアンスの体制をベースに、個人情報保護法への対応を揃える」というアプローチは非常に効率的なやり方だと思いました。

橋本：
再び馬場さんに伺います。リクルートではグローバル拠点と本社の役割分担で工夫していることはありますか。

馬場：
海外子会社に任せる部分と本社が関与する領域の線引きは、難しさを感じています。当社では子会社ごとに法務責任者がどのような法務経験を持つ人材がいるかを個別に判断し、その方の経験や、リスクや影響の大きさを踏まえ、権限委譲する範囲を決めて個々に委譲していくやり方をしています。

権限委譲した部分は本社で対応状況をモニタリングし、新たな課題が発生した時の対応などを協議しています。一方、本社側で直接対応している拠点では、現地スタッフを巻き込みながらプロジェクトを組成し、一体となって各国の新法令に対応しています。

1つ工夫している点として挙げられるのは、株式会社リクルートではアジア諸国の法令と日本や欧米の法令を1つのチームで対応していることです。その理由は、アジア諸国では次々に法令ができていますが、通常新法令が制定されるタイミングでは、詳細なガイドラインが公表されないことがあるからです。その場合、その新法の文言だけで対応しようとしても、「相場観」がないので具体的にプラクティスレベルで何をすればよいか分からないことが多いです。そのため、他国で法令に対応した経験を踏まえ、チームでその知見を生かしながら具体的にどのような対応を行えばよいかを判断できるようにしています。