{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
プライバシーに対する関心の高まりと法規制の急速な変化に伴い、企業にはプライバシーガバナンスの強化と柔軟な対応が求められています。特にグローバルに事業を展開している企業にとっては、越境移転規制や複数の国内外法令への対応などが大きな課題となっています。複雑化する外部環境の変化に対応しながらデータ利活用を加速させるためには、企業はどのような体制を構築し、どういった施策を実施すべきでしょうか。本セッションでは、膨大な量の個人情報を扱うリクルートでデータ保護・プライバシー保護専門部署の責任者を務める馬場 俊介氏と、プライバシー&セキュリティコンサルティングを専門とする弁護士の大井 哲也氏を招き、今必要とされている取り組みと今後の展望を議論します。(本文敬称略)
登壇者
株式会社リクルート
データプロテクション&プライバシーUnit
ディビジョンオフィサー
馬場 俊介氏
TMI総合法律事務所
パートナー弁護士
TMIプライバシー&セキュリティコンサルティング株式会社
代表取締役
大井 哲也氏
PwC Japan有限責任監査法人
パートナー
平岩 久人
モデレーター
PwCコンサルティング合同会社
ディレクター
橋本 哲哉
左から橋本、馬場氏、大井氏、平岩
左から馬場氏、大井氏
橋本:
最初に皆さんの担当業務を教えてください。
馬場:
リクルートの馬場です。社内ではデータプロテクション&プライバシーUnitのディビジョンオフィサーという肩書きで、データ保護とプライバシー保護を担当する専門部署の責任者を務めています。
大井:
プライバシー&セキュリティコンサルティングを専門とするTMI総合法律事務所の代表で、弁護士を務める大井です。
平岩:
PwC Japan有限責任監査法人の平岩です。プライバシーガバナンスの構築支援やデータガバナンスの高度化支援といった業務に従事しています。
橋本:
早速ですが、馬場さんに伺います。リクルートは多くの個人情報を取り扱いながらその安全性が高く評価され、フィナンシャルタイムズ紙のイノベーティブ・ローヤーズ賞(アジア太平洋)を「商業的・戦略的アドバイス部門」で受賞しました。受賞理由を教えてください。
馬場:
今回評価いただいたのは2点あると理解しています。1点目はトップコミットメントです。2019年のリクナビDMP事案を受けて、経営陣自らがリーダーシップを発揮し、全グループ会社が総力を挙げてプライバシー保護対応の改善を進めてきた姿勢を評価いただきました。
2点目は堅牢性のみならず、柔軟性を持たせたガバナンスを施行してきたことです。ガバナンス強化というとプロセスの複雑化や作業量が増加し、一度構築すると変更しづらくなる恐れがありますが、当社では堅牢性の強化をしながら「変化に強いガバナンス」の構築を目指してきた姿勢を評価いただきました。
橋本:
「柔軟性を持たせたガバナンス」を重視した理由を教えてください。
馬場:
プライバシー領域を取り巻く変化が非常に激しいと捉えているからです。例えば、プラットフォーマー側のルールは頻繁に変更されますし、日本の個人情報保護法自体も3年ごとに改正されており、守らなければならないこと自体が素早く変わり続けていきます。
そうした情勢に対応するには柔軟性が不可欠です。もし変更があった規制やルールへの対応に1年間かかってしまえば、その間事業が滞ってしまいます。そのため、変化が起こることを前提として、どのようなガバナンスを構築すべきか考えることが必要だと感じています。
橋本:
次にプライバシーガバナンス強化の具体的な取り組みについて教えてください。
馬場:
ポイントは3つあります。1つは「外部の声や意見を取り入れた指針策定」です。最も大上段となる指針が当社の独りよがりの内容になったり、当社にとって遵守しやすいだけの内容になったりしないよう、当社は社会からどのような期待を持っていただいているのかといった第三者の方々のご意見もいただきながら指針を策定しました。
2つ目は「プライバシー観点からのレビューの実装」です。プライバシー保護のガバナンスを構築する際には最初に指針を作成し、それを具現化できるようガバナンス設計を行ってきました。レビューの観点としては、具体的には施策の社会的妥当性や公平性、公正性をチェックする「フェアネス」観点でのレビューを行い、そのうえで「必要性」「透明性」「選択機会の提供」の3つの観点でレビューをしながら、プライバシー保護を徹底できるようなレビュー基準やプロセスを実装しました。
3つ目は「プライバシーポリシーの統合と中央管理」です。以前は個別最適で、施策ごとに個人情報に関する約束事を検討し、個別で作成していたため、約束事の数が増加し、かつ、各施策・各導線にその約束事が散在していました。そのため、何か変化をさせたくとも、どこに約束事があるのかを洗い出し、どれを変更する必要があるかを検討したうえで、実装も各導線で必要という煩雑な対応となり、コーポレート側も事業側も双方の負荷が大きくなっていました。当時、こうした約束事は約1,800もありました。
この負荷を低減するために実施したのが、「中央による一元管理」です。具体的には同様の個人情報の取り扱いがある施策のプライバシーポリシーを統合してマスター化し、各導線からマスターポリシーを参照する仕組みを構築しました。何か変更がある場合にはマスター側で変更をすればそれが全ての導線に即時に反映できるようにしました。これにより、事業側に負荷をかけることなく迅速にプライバシーポリシーを変更・反映できるガバナンスを実現しました。
平岩:
社会が大きく変化していく中で柔軟なガバナンスを構築するには、社外に対するリーダーシップも重要だと思います。その点はどのように取り組みましたか。
馬場:
1つ挙げられるのが、指針と取り組みを対外的に発信してきたことです。ユーザーの方々に安心してサービスを使っていただけるよう、私たちは「どのようなガバナンス体制で」「何を重視し」「どのようにレビューをしているのか」を明示し、積極的に発信しました。プライバシーセンターを公開したのもこの取り組みの一環です。
大井:
リクルートはさまざまなプロダクト/サービスとデータを持ち、多種多様な形態のデータを利活用していますよね。大量のサービスを管理するうえでどのような工夫をしていますか。
馬場:
リクルートには当時300を超えるプロダクトがありました。最初に重要視したことは、「各プロダクトで誰がプライバシー保護の責任を持つか」を明確化することでした。
プロダクトごとのプライバシー保護の責任はプロダクト側で持つと決め、各プロダクトで具体的に誰が責任者なのかを明らかにし、人事資料上にも表記することで誰が見てもそのプロダクトにおけるプライバシー保護の責任者が分かるようにしました。その全責任者とわれわれが隔週で密に会議を持ち、各プロダクトで実際にどのような個人情報を扱っているのかといった情報を共有してもらい、こちらからは中央での対応方針を示したうえで、各プロダクトへの影響やデータ移転の状況を責任者と話し合い、情報を集約して対応方針を決定するというプロセスを取りました。
大井:
海外事業対応の取り組みはいかがですか。特に欧州のデータ・プライバシーガバナンスは日本よりも進んでいる印象があります。例えばGDPR(欧州一般データ保護規則)への対応はどのように取り組んでいますか。
馬場:
当社でもGDPR対応は行っていますが、重要なのはデータフローの把握だと考えています。「各拠点でどのようなデータを取得し」「どのようなサービスに活用し」「どのようなデータフローになっているのか」を具体的に把握することから始めています。特に、海外は実態把握を始めようとしても誰に確認すれば網羅的かつ正確に把握できるのかといったキーパーソンの把握自体難しいこともあり、GDPR対応時はプロジェクトを立ち上げ現地のキーパーソンにもプロジェクトに当事者として入ってもらいつつ、われわれも現地に何度も足を運びながら具体的に何をしているのかを把握し、データフローチャートを1つ1つ作りながら、拠点ごとに個別対応をしていきました。
左から橋本、馬場氏、大井氏
左から大井氏、平岩
橋本:
グローバル企業のプライバシーガバナンス対応について、さらにお伺いさせてください。大井さんはグローバル企業の支援を数多く手掛けています。グローバル企業はどのような点に留意してプライバシーガバナンスに向き合うべきでしょうか。
大井:
グローバル企業のGDPR対応では2つの課題があります。1つは日本国内のサービスをGDPRに対応させることです。もう1つは、海外子会社における個人情報の取り扱いをGDPRに対応させることです。この2つが重なり合う難易度の高い対応が求められています。
具体的に説明しましょう。まずは「越境移転規制への対応」です。例えば、グローバルで展開している企業が日本の本社と海外の子会社それぞれで顧客情報を管理しているという場合、顧客管理システムを導入し、グローバルで顧客情報や購買データを共有して営業活動やマーケティングに役立てたいというニーズがあります。
この顧客管理システムには、日本本社と海外子会社の顧客情報を格納することになります。つまり、日本企業の顧客情報が海外へ、海外子会社の顧客情報が日本へ共有されることになり、個人情報保護法の越境移転規制の対象となります。
また、海外拠点の人事情報の扱いにも留意する必要があります。総合商社は多くの海外子会社を擁しており、海外子会社と日本本社の人事情報を1つの人事管理クラウドで管理したいというニーズがあります。ただし、国境を跨いだ人事情報の共有には、各国の個人情報保護の越境移転規制を準拠しなければならず、大きな課題となっています。
さらに、複数の国内外法令への対応も課題です。日本本社で海外の法律をすべて把握して対応するのは難易度が高いです。一方、海外子会社の法務部はリソースが潤沢でないため、個社ごとに海外法令に対応するのも難易度が高い。日本のグローバル企業がどのような体制で対応するかは、非常に悩ましい課題です。
橋本:
平岩さんはこうした課題をどのように捉えていますか。
平岩:
プライバシーガバナンスをグローバルに拡大するには、すでに構築しているグローバルコンプライアンスの仕組みを活用し、プライバシー保護の観点で必要となるグローバルでの機能を整備することが重要だと考えます。
その際に論点になるのが、「日本本社がどこまで海外の現地法人をコントロールすべきか」「現地法人に任せる範囲はどの程度か」「その役割分担をどのように決めて運営するか」という点です。これらの点について、大井先生いかがでしょうか。
大井:
ご指摘のとおり、多くのグローバル企業はこうした課題に腐心しています。さらに一口に「グローバルのコンプライアンス」と言っても、個人情報保護法だけを指すのではありません。企業が遵守しなければならない法令には、独占禁止法や贈収賄防止法など複数のものがあり、それらは日本国内だけでなく、海外のそれぞれの国や地域に独自の法令として存在します。
先に平岩さんが説明された「既存のグローバルコンプライアンスの体制をベースに、個人情報保護法への対応を揃える」というアプローチは非常に効率的なやり方だと思いました。
橋本:
再び馬場さんに伺います。リクルートではグローバル拠点と本社の役割分担で工夫していることはありますか。
馬場:
海外子会社に任せる部分と本社が関与する領域の線引きは、難しさを感じています。当社では子会社ごとに法務責任者がどのような法務経験を持つ人材がいるかを個別に判断し、その方の経験や、リスクや影響の大きさを踏まえ、権限委譲する範囲を決めて個々に委譲していくやり方をしています。
権限委譲した部分は本社で対応状況をモニタリングし、新たな課題が発生した時の対応などを協議しています。一方、本社側で直接対応している拠点では、現地スタッフを巻き込みながらプロジェクトを組成し、一体となって各国の新法令に対応しています。
1つ工夫している点として挙げられるのは、株式会社リクルートではアジア諸国の法令と日本や欧米の法令を1つのチームで対応していることです。その理由は、アジア諸国では次々に法令ができていますが、通常新法令が制定されるタイミングでは、詳細なガイドラインが公表されないことがあるからです。その場合、その新法の文言だけで対応しようとしても、「相場観」がないので具体的にプラクティスレベルで何をすればよいか分からないことが多いです。そのため、他国で法令に対応した経験を踏まえ、チームでその知見を生かしながら具体的にどのような対応を行えばよいかを判断できるようにしています。
橋本:
最後に今後の展望を聞かせてください。今後さらにプライバシーガバナンスを強化していくために、どのような取り組みを実施する計画ですか。
馬場:
大切にしたいのは、「リクルートが何のためにプライバシーガバナンスを強化していくのか」を自分自身やチームで常に問い続ける姿勢です。われわれにとっての答えは明確で、「ユーザーに安心してサービスを使っていただくこと」です。そのため、行っている取り組みがきちんとユーザーに届いているのか、そして信頼関係の構築に寄与しているのかを確認しながら、その方向性を見極めなければならないと考えています。
今後の展望として決めていることは、われわれがデータを使ってサービスをより便利にできるよう、外部の声やユーザーの声に耳を傾けていくことです。デプスインタビューやユーザーサーベイも実施しながら、われわれの仮説や基準が「信頼」を得ることにつながっているかを常に確認し継続的に改善し、ユーザーの声をもとにPDCAサイクルを回していきたいと考えています。
平岩:
馬場さんと大井さんのお話で特に重要だと思った点が2つあります。
1つはプライバシーガバナンスで最も重要なのは「顧客との信頼の醸成」であることです。もう1つは新技術や新サービスの登場でプライバシー侵害のリスクが高まる中、ユーザーの意見や社会の変化に柔軟に対応することの重要性です。海外の法令とのギャップを認識しつつ社会の変化にも柔軟に対応し、ガバナンスを進化させていくことが求められていると感じました。
橋本:
グローバルでビジネスを展開し、プライバシーガバナンスの取り組みに課題を抱える企業の方々にとって、非常に示唆に富むお話だったと思います。本日はありがとうございました。
左から橋本、馬場氏、大井氏