
ヘルスケアデータ二次利用による企業価値向上を支える「デジタルコンプライアンス」の在り方(小野薬品)
小野薬品でデータ戦略を担当している山下 信哉氏をお迎えし、各部門を巻き込んだヘルスケアデータの二次利用におけるデジタルコンプライアンス体制の構築や、法規制、さらに視野を広げたELSI(Ethical, Legal, and Social Implications)リスクへの対応についてお話を伺いました。
2023-05-22
ANAグループは「マイルで生活できる世界」の実現に向けて、さまざまな取り組みを進めています。旅行などの非日常に加え、街中でのアクティビティやネットショッピングといった日常生活でもスマートフォンを通じて「マイルが貯まる」「マイルを使う」ができるよう、非航空ビジネスを事業戦略の重要な柱として捉えています。本セッションではこうした事業戦略には欠かせないパーソナルデータの取り扱いや、プライバシーガバナンスに対する取り組みについて、PwCコンサルティング合同会社パートナーの藤田恭史がANAホールディングでプライバシーガバナンスおよび情報セキュリティ部門の担当部長を務める定行亮氏に伺いました。
(本文敬称略)
登壇者
ANAホールディングス株式会社
グループ総務部
プライバシーガバナンス&インフォメーションセキュリティ
担当部長
定行 亮氏
モデレータ
PwCコンサルティング合同会社
パートナー
藤田 恭史
(左から)藤田 恭史、定行 亮氏
藤田:
最初に今回のセッションテーマである「マイルで生活できる世界」について、その構想を教えてください。
定行:
ANAホールディングスでは「2023〜2025年度 中期経営戦略」の柱の1つに、「ANA経済圏の確立」を掲げました。これは「ANAマイレージクラブ※1」を基軸として、私たちのビジネスドメインを航空旅客のみならず、日常生活に深く関わる事業領域まで拡大する戦略です。不動産、金融、ホテルなど、マイルが活用できる“場”を増やすことで、「マイルで生活できる世界」の構築を目指します。
※1:ANAが提供するマイレージサービス。航空券の購入や買い物などで獲得したマイルを特典航空券や宿泊、各種ポイントなど、さまざまな特典に交換できる仕組み。
藤田:
そうした戦略を立案した背景には、新型コロナウイルス感染症(COVID-19)の影響もあったと拝察します。
定行:
ご指摘のとおりです。COVID-19の感染拡大によって航空業界は運休や減便を余儀なくされ、世界中のエアラインが経営危機に陥りました。日本も同様で、長期にわたり需要が大幅に減少しました。特に国際線は、各国の出入国制限で需要がほぼ消滅しました。ただし現在は水際対策の緩和を受け、海外渡航や訪日外国人数も増加し、徐々に需要が回復しています。
一方、COVID-19の影響で航空事業を取り巻く環境は大きく変化しました。端的に言うと、航空需要の「量」と「質」が変化したのです。これを機にANAグループでは主軸であった航空事業への依存度を見直し、グループ全体で持続的な成長が可能となるビジネスモデルへと舵を切りました。
その代表格がANA経済圏の確立です。ANAグループの非航空事業の中核を担う「ANA X」と、地方創生事業を担う「ANAあきんど」という2つのグループ会社が中心となって施策を展開しています。毎日のお買い物やオンラインショッピングでのマイル活用では、スマートフォンのアプリが重要な役割を担います。ですから、ANA経済圏を実現する第一歩として、ANAマイレージクラブのスマホアプリを大幅にリニューアルし、UI(User Interface)を改善してユーザー体験の向上に務めました。
ANAマイレージクラブアプリを使えば、ANA社員がおすすめするお店やマイルが溜まるスポットの検索、ホテルの予約といった情報に簡単にアクセスできます。さらに今後はECモールやペイメント機能を充実させ、これら全てANAマイレージクラブアプリの中にミニアプリとして搭載する計画です。
ANAホールディングス株式会社 グループ総務部 プライバシーガバナンス&インフォメーションセキュリティ 担当部長 定行 亮氏
モデレータ PwCコンサルティング合同会社 パートナー 藤田 恭史
藤田:
次にプライバシーガバナンスについて教えてください。ANA経済圏の取り組みは、これまでの航空事業では取り扱っていなかったパーソナルデータを扱うことになりますよね。ANAグループの総務部として、プライバシーガバナンスに対しては、どのように取り組んでいらっしゃいますか。
定行:
私たちはプライバシーガバナンスを「変革を支える基盤」と位置づけています。総務部はプライバシーガバナンスの取り組みに対するグループ全体のコマンドポスト(対策本部)として、経営リスクの低減に注力している状況です。
これまでの航空事業の運営でも、航空券の購入や宿泊予約の際にお名前とご連絡先をお預かりするなど、個人情報を取り扱ってきました。これらの個人情報は個人情報保護法で守られる範囲が明確であることから、扱い方はシンプルで分かりやすいものです。
一方、非航空事業のサービスでは、個々のユーザーニーズにマッチした情報の提供が求められます。そのためには個人の属性情報やオンラインショッピングの購買履歴、位置情報といったパーソナルデータを収集・分析する必要があります。こうした情報はこれまでの航空事業の個人情報の扱いとは大きく異なるため、今までとは違った次元で注意を払う必要があると認識しています。
藤田:
パーソナルデータの取り扱いに関しては、グループ企業内でのアライアンスにも影響するのではないでしょうか。
定行:
そうですね。大前提として、私たちは「ANAグループにとって安全は経営の基盤であり、業種・ブランドにかかわらずグループすべての事業において守るべき絶対的な使命である」という「安全理念」と「安全行動指針」を経営理念に掲げています。そして日々の業務の中で「安全の文化」を徹底し、全社員に深く浸透させてきました。
こうした姿勢はプライバシーの保護についても同様です。グループ各社のさらなる協力の下、運航における「安全の文化」と同じレベル感で社員がパーソナルデータを取り扱うことの重要性を認識し、意識の徹底を図ることが喫緊の課題であると認識しています。
藤田:
そうした課題に対し、どのように取り組まれていますか。
定行:
1つは総務部門と法務部門による相談対応です。事業部門がサービスを企画するタイミングで、データの取り扱いやサービス内容を個人情報保護やプライバシー保護の観点から事前に相談できる体制を構築しています。
各グループ会社にある総務と法務が率先して自社の事業部門を支えていくことで、「プライバシーリスクの低減に会社全体が連携して取り組む」という姿勢が明確になり、積極的に企画が進められるようになりました。
一方、こうした取り組みが進むにつれて、さらに取り組むべき課題も浮き彫りになりました。その1つが「リスクアセスメント」です。
ANAグループ全社で一貫した標準業務、プロセス、ルールが確立しているかと問われれば、「できています」と断言できないのが現状です。また、総務部はグループ会社からさまざまな相談を受けますが、私たちのリソースも十分ではありません。こうした仕組みや体制の構築は大きな課題です。
また、リスクアセスメントのカバー領域拡大に伴う対応の強化も課題の1つです。これまでのリスクアセスメントが法令遵守という観点であったのに対し、現在は法令遵守を超えた経営リスクやレピュテーションリスクまで見据えた対策が求められます。プライバシー保護の領域は、法令遵守を超えて考慮しなければならない項目が多岐にわたっており、非常に難しいと感じています。
藤田:
次にグローバルでのプライバシー関連法規制について教えてください。グローバルに航空ネットワークを運営しているANAグループは、日本の法令遵守だけでなく、世界各国の個人データ保護法制への対応も必要ですよね。
定行:
はい。グローバルでの法規制への対応は従前からの課題です。2018年に適用が開始したGDPR(EU一般データ保護規則)を皮切りに、世界中のプライバシー関連法規制が強化されています。大きな違反が発生すれば、その改善や制裁金の支払いに多大な費用がかかります。さらにレピュテーションリスクにも影響が及び、ビジネスに与えるインパクトも甚大です。ですから私たちはタイミングを逃さないように細心の注意を払い、海外法令の最新情報収集と影響度の整理を行っています。
とはいえ国際線が50路線以上就航している中で、利用者に関する全ての法令を網羅的に調査・整理して対応するのは現実的ではありません。ですからGDPRのように、厳格かつ要求難易度の高い法令から対応しています。
藤田:
具体的にはどのように海外法令に対応していますか。その取り組みを教えてください。
定行:
1つ目は法令の改正や新設といった最新情報の収集です。これは各種ポータルサイトや外部組織の知見と支援を借りながら、確実に情報収集するように務めています。この部分はPwCにもお世話になっていますよね。
2つ目は対応準備です。情報を収集・分析した結果、対応が必要だと判断したときに、どのように対応していくのかを検討します。自分たちで完結できるのか、外部の協力が必要なのかといったことも含め、細かなアクションプランに落とし込みます。
3つ目は既存ルールや体制の見直しです。プライバシーポリシーや社内規定の見直しはもちろん、委託先や取引先との契約関係の整理、同意の再取得、お客様への通知、域外移転の要件整理、管理体制など、あらゆる部分を見直します。
さらに、インシデントがあった場合の対応方針や、本人からの請求などの対応プロセス、またそれに関わるあらゆるシステム改修など、幅広く対応しなければいけません。しかも、これらの取り組みには終わりがありません。どこの国がいつ法令を改正するかが分からない状況ですので、 常に注意を払ったうえで継続的な活動が求められています。
藤田:
最後に現在取り組んでいらっしゃるプライバシーガバナンス体制の構築プロジェクトについて教えてください。
定行:
はい。このプロジェクトはPwCにも支援をいただいています。これはANAグループとしてプライバシー保護に関する社員の行動原則を定め、改正個人情報保護法対応やお客様のプライバシーとどのように向き合っていくのかを明文化するプロジェクトです。
そして具体的には経済産業省の「DX時代における企業のプライバシーガバナンスガイドブック」を参考に、まずはANAグループの現状とのギャップの洗い出しと課題の抽出を中心に活動を進めています。
プロジェクトの内容を申し上げますと、メンバーは総勢20名です。グループ総務部、リーガル面を統括するグループ法務部、DXを統括するデジタル変革室からのメンバーで構成されています。また、システム開発を行うグループ会社「ANAシステムズ」からもメンバーを募っています。ちなみに、全員が本業との兼務でプロジェクトを運営しています。
仕組みと運用ルールは、データマッピングとプライバシー影響評価を軸に策定しています。現在はPwCの支援を受けながらグループ各社に対して50程度の質問をし、その回答結果を基に調査を進めています。これらの活動を通じ、改善の余地も見えてきたところです。
藤田:
「DX時代における企業のプライバシーガバナンスガイドブック」以外で参考にしているものはありますか。
定行:
社内に経験値の蓄積がないため、取引のある企業の協力を得て他業界のベンチマークを参考にしています。グローバルでビジネスを展開し、プライバシーガバナンスの構築を推進している企業や、プライバシー保護に関する変革に取り組んでいる企業の先行事例から学ばせていただいています。
こうした学びを私たちの「ありたい姿」に落とし込んでロードマップを作成し、ANAグループにふさわしいものを構築したいと考えています。これらの検討状況は定例の経営会議で経営陣に報告し、会社としてのコンセンサスと強いコミットメントを得たうえで、攻めの経営を支える基盤づくりという位置付けで推進していきたいと考えています。
藤田:
PwCとしても引き続きプライバシーガバナンスの強化をご支援し、ANA経済圏確立の一助となれるよう努めます。本日はありがとうございました。
小野薬品でデータ戦略を担当している山下 信哉氏をお迎えし、各部門を巻き込んだヘルスケアデータの二次利用におけるデジタルコンプライアンス体制の構築や、法規制、さらに視野を広げたELSI(Ethical, Legal, and Social Implications)リスクへの対応についてお話を伺いました。
アイデンティティ(ID)管理のソリューションが求められる背景や導入の要点、やってしまいがちな失敗とその対策などについて、ID管理を手掛ける企業の専門家3名にお話を伺いました。
膨大な量の個人情報を扱うリクルートのデータ保護・プライバシー保護専門部署の責任者と、プライバシー&セキュリティコンサルティングを専門とする弁護士を招き、今必要とされている取り組みと今後の展望を議論します。
2021年2月に施行されたデジタルプラットフォーム取引透明化法の中で注目されている「モニタリング・レビュー」。同法に携わる経済産業省の担当者をお招きし、モニタリング・レビューの果たす意義と新しい時代におけるトラストのあり方を伺いました。
各国サイバーセキュリティ法令・政策動向シリーズの第5回目として、ブラジルのデジタル戦略と組織体制、セキュリティにかかわる政策や法令とその動向などについて最新情報を解説します。
プライバシーガバナンスは、プライバシー問題に関するリスクを適切に管理し、消費者やステークホルダーに対して責任を果たすことを指します。この見直しは、社会からの信頼を得るとともに企業価値の向上に寄与します。企業のプライバシーガバナンスへの取り組み状況として2社の事例をご紹介します。
昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。
2025年3月末より、IoTセキュリティ適合性評価及びラベリング制度(JC-STAR)の運用が開始されました。行政機関や地方公共団体、民間企業に向けてさまざまな政府機関が発行するガイダンスについて紹介、解説します。