公開日: / 最終更新日:
目次
PRIVACYJAPANサイトでは、企業向けプライバシー支援をしています。記事が貴社のお役にたちましたら幸いです。
前回の記事「トップは謝罪会見を防ぐためにGDPRを取り入れましょう」では、経営者がプライバシー問題で謝罪会見をおこなうような深刻な事態をふせぐ方法として、GDPRを経営にとりいれることを提言しました。
GDPRを賢く採用してみよう
(事業責任者/代理店向け)
社長から、「新規サービスの個人情報保護はGDPRに対応しているのか?」と言われたら、日本の事業責任者は困ると思います。個人情報保護法よりも多くの義務がありますから、自然に対応できるものではありません。
クライアント企業のWEBマーケティングやサイト開発を担当している代理店担当者も、クライアントから「当社のサイトの個人情報保護はGDPRに対応していますか?」と聞かれても困ると思います。
GDPRを採用し管理するのはクライアント側であるので、代理店としては「質問の立場がちがいます。」と回答したくなると思います。
GDPRは、制裁金の大きさなどの強制力で目立っていますが、データビジネスでプライバシー訴訟や炎上を予防することができる、ソリューションです。GDPRの原則を採用して、データを利用できる関係をつくるために賢く採用してみましょう。
GDPRは、スマートフォンが普及し、SNSであらゆる個人データがGAFAに吸い取られることを危惧したEUが、プライバシーを配慮したEU経済圏に個人データを閉じ込め、GAFAからデータを取り返そうという狙いがあります。
GDPRは、デジタル経済のプライバシー保護が主体となっています。そして、個人データの所有権が本人にあり、コントロールができるという発想が根にあります。
GDPRは、EU居住者の個人データを扱うグローバル企業では完全に網羅した対応をしないと、世界売り上げ4%の訴訟リスクがあります。
GDPRは個人情報保護法よりも規制が厳しいだけではなく対象も広くなっています、個人データの対象は自然人のあらゆるデジタルデータが対象となっており、無意識に対応ができるようなものではありません。
日本企業はEUへの展開をしていなければ、GDPRの義務はないので、多くの企業は、存在を知っていても採用をしていません。WEB代理店から提案してもらったサービスの仕様や製品は、GDPRの対応は基本的にしていません。
- GDPRは人に関するデジタルデータを対象としている。
- 日本の個人情報保護法ではデジタルデータの規制が少ない。
- EU居住者のデータを扱う場合には、GDPRに対応しないと訴訟リスクがある。
- グローバル企業はGDPRに対応しているが、国産サービスはGDPRに対応していないことが多い。
GDPRはデジタルに特化しているから価値になる
日本の個人情報保護法は、データの個人識別が法的に個人特定にいたるかどうかの解釈で大きく悩みました。法律を有効にするためには権利者である個人の特定が必要であるという前提があるためです。
日本は、この20年にクッキーについての直接の規制がない国となっています。個人情報保護法は、デジタル経済の法規制としては、時代とあっていないと言えます。
GDPRは、スマートフォンを利用して、生活の全てのデータをSNSに投稿している社会になり、その事業者が米国であることに危機を感じてつくられたデジタル経済に特化した法律です。
基本的には、EUの5億人のデータはEU圏内で利用を前提として、米国のビックテックは、EU市民の安心するプライバシー保護水準だけ、データ移転を許可しています。
GDPRは、EU市民のデータを扱う諸外国が対象です。日本の国内向けサービス事業者は、GDPRの義務はありませんが、個人情報保護法はデジタル経済のプライバシー問題の解決策は遅れています。
GDPRを賢く、都合よく利用するとデジタル経済のプライバシー保護水準まで、高めることができるため消費者とのトラブルを予防ができます。
GDPRの厳守は、データ保護オフィサーという役員を設置したり、ユーザーのプライバシー影響の事前調査やサービス導入前のプライバシーリスク分析と対策など義務があります。
法的義務がなければ、自社に必要な部分だけを都合よく利用できます。また、社運をかけた開発案件だけに集中することや位置情報ビジネスやアプリ開発などに特化もできます。これが、GDPRの賢い採用方法です。
代理店担当者は、データビジネスのサービス品質を高める効果のためにGDPRの採用をクライアントの担当部門に提案ができます。
GDPRを考慮したWEBやアプリの開発は、データ取り扱いのサービス品質が高くなるため、サービス付加価値やクライアントからの信頼を高めることができます。
価値あるデータには、
プライバシー侵害をはらんでいる
GDPRは、米国ITサービスのデータ取り扱いに不安を感じるEUの人を救うためのルールです。EU域外の国がEU居住者の人権を配慮したデータ取り扱いをしないと制裁をするという仕組みです。
データ主体(ユーザー)がプライバシー侵害を感じないためにさまざまな取り組みをするには、ユーザーの目線で対策ができているかどうかを判断する必要があります。
サービスの全てを通して個人データの利用をユーザーにわかりやすく、同意を取り、説明をおこなうというのは、とてもハードなことですが、GDPRの顧客目線でプライバシー対策をおこなう基準と考えると素晴らしい指標であることに気がついていただけると思います。
GDPRは、プライバシー侵害を防ぐためにユーザーが心理的に問題とすることを先回りした原則やルールでできているので、市場に投入する前にサービス全体を顧客目線でプライバシーのチェックができれば、炎上するような製品やサービスであれば、修正や計画の見直しができます。
顧客目線でプライバシー侵害の芽を摘むことは、同時に顧客へのリスペクトの姿勢を表すことにつながります。
顧客データを収益とする際に、顧客のプライバシーに入り込み、不快感や不信感が発生しますが、GDPRのプライバシー原則を採用すれば、それらの際にオプアウト手段を設計して、顧客離れを防ぎます。
GDPRの本質の顧客の権利をオンラインサービスやアプリ開発などの担当者が意識すれば、プライバシー侵害のやりすぎを防げるでしょう。GDPRのプライバシー原則は、顧客満足やサービス品質向上の価値があります。
GDPRは完全に対応させようとすると膨大な労力がかかるので、プライバシーに関わるデータ利用で目新しい価値を提供するものや、位置情報や顔情報を利用するといった外国では訴訟に発展することが多い分野のサービスなどの炎上リスク予防の観点でGDPRを活用してみましょう。
後悔先に立たず
事前対策が会社やクライアントを救う
GDPRでは、プライバシー・バイ・デザインという新サービスの市場導入前にはプライバシーの対応ができているかリスクの評価し、対応する決まりがあります。
そして、大規模なデータ収集による分析やAIの処理結果が本人に影響をあたえる場合にデータ保護オフィサーとよばれるプライバシー保護担当の役員が、ユーザーのプライバシーの影響について評価しなければいけない義務があります。
新サービスや位置情報の利用、IOTセンサーのデータ補足など、データビジネスをする場合には、市場に投入する前のプライバシー対策を日本の企業も採用すれば良いと思います。
プライバシー問題は、事前対策(プロアクティブ)に価値があるのは、プライバシーに問題のある仕組みで市場投入してしまった場合には、サービス停止しか残されておらず、信用ダメージに直結するからです。
GDPRのプライバシー原則を利用して、市場投入前にプライバシー対応のチェックを行えば、プライバシー原則違反が大きければ、炎上する前に危険なサービスであることが経営者にもわかります。社長がわかった上でプライバシーリスクを無視して、炎上した場合には謝罪会見で経営責任を問われてもしかたがありません。
炎上リスクが事前に明確にわかれば通常は対応するので、今の日本の企業にありそうでないものはプライバシーの観点でチェックすることです。
内定辞退率販売問題をプライバシー原則でチェック
プライバシーのチェックとは、何をすれば良いのでしょうか。個人データの起点からサービス終了までにカスタマージャーニーを歩むユーザーのプライバシーを配慮した、サービス設計やコミュニケーション、データの取り扱いを行うことです。
プライバシー配慮は、GDPRがプライバシー権利をまもるためのプライバシー7原則を定めているので、各段階でプライバシー原則が反映しているかをチェックします。
プライバシー研修でリクナビの内定辞退率について取り上げた際に、GDPRのプライバシー原則でチェックしてみました。
リクナビの内定辞退率の問題は、AIのデータ結果が就職活動している学生の人生に影響を与えるといったプライバシーの影響があり、個人情報保護委員会より利用目的が不適切であるという問題でした。
プライバシー7原則のチェック項目の対応をすすめても根本的な問題は解決していない可能性がありますが、就職活動している学生へのデータ利用の透明性を高める段階で、「あなたの就職活動をAIで処理して、内定辞退率を提供します。」といわなければいけないとなった段階で、本人に説明できるような仕組みへの改善へつなげることができるので、今回ほどの炎上を防ぐことができたと思います。
事件が起こったあとにその原因を分析すると簡単な原因であると思える心理を後知恵バイアスと呼びます。
リクナビ内定辞退率の報道資料をもとに作成しており、企業からヒヤリングをしておりませんので、内部の実情が無い状態での大まかな判断になります。
GDPRのプライバシー原則で特に目立った内容の評価
原則1:× プライバシーポリシーに虚偽があった。
原則2:× AI処理結果が本人に影響をあたえる利用目的であった。
原則3:× データの利用範囲を最小化していない。
原則4:× 本人が自己情報のコントロールができない。
原則5:× データの利用期限や保存が不明確。
原則6:◯ セキュリティ対策を実施している。
原則7:× 内定辞退率利用時に同意などの仕組みがない。
市場投入前のプライバシー分析でこれだけ問題点があれば、炎上も予想できたのではないでしょうか。当社に事前に相談を受けていれば、リスクを提示していたと思います。
開発の進行状況によっては、既に取り返しができないポイントで、そのまま強行してしまうケースもあるので、方向修正が効くタイミングで相談いただく必要があります。
リクナビ社内では、社会問題となり報道される前までは、AIによって顧客企業の課題解決をして、価値をもたらせた素晴らしい事例という社内認識であったと言われます。
誰一人として、就職活動している学生の気持ちになって考えることができませんでした。日本を代表する企業のとても優秀な人たちであっても、新しい価値観であるプライバシーについては見落とす可能性があるのです。
まとめ
GDPRはEU居住者のデータを扱い企業以外であれば、日本企業に義務はないため、完全対応の膨大な労力をかけることをする必要性はないと思います。
GDPRの義務がないので対応していない状態の企業が多いと思いますが、義務がないからこそ、都合よく利用する価値があります。
データビジネスを新しくはじめる事業の責任者や、クライアント企業のWEBサービスを手がける代理店担当者であれば、GDPRはサービスのプライバシー問題による炎上の予防ができます。
GDPRのプライバシー原則をデータ収集の最初のポイントからサービス終了までの全ての工程で対応できているかをチェックすると対応できていない部分はプライバシーリスクと認識できます。
リスクのある箇所については、プライバシー原則に基づいた対応をすれば、プライバシー問題の発生を抑止ができます。
日本を代表する企業の優秀な人たちが、個人情報に関わる問題で炎上を招いており、社内では見えないことなのかもしれません。
新たなテクノロジーやプライバシーに関わるデータのAIの利用の際には、プライバシー・バイ・デザインGDPRのプライバシー原則のチェックをお勧めします。
新たなテクノロジーで個人データの新たな利用がある場合には、その裏にプライバシー問題による炎上や報道など企業のトップの経営責任に発展させるリスクもあります。
自分の関わる仕事が企業の経営問題に発展させてしまっては、生きた心地がしないと思います。
プライバシー問題が生じてしまうと、サービスの復帰は難しく、対応は非常に面倒になりますので、プライバシーの被害者を発生させない、ユーザーの気持ちを配慮する予防に徹する方が、最も賢い方法といえます。
企業の信頼を失墜させるリスクは放置せず、市場投入前に影響を考慮して、開発の修正を行い、企業の信頼の致命傷は防ぎましょう。
この記事の監修コンサルタント
株式会社STEKWIRED 取締役 プライバシーコンサルタント アドバイザリー
諸井 賀正
個人情報保護法施行よりオンラインサービスを中心にOECD/GDPRのプライバシー原則でユーザーとの関係を良好にするプライバシーコンサルティングを実施。
個人情報保護とプライバシーがわかる研修やビジネス開発案件のプライバシーのアドバイスをしている。
- 【資格】
- ・JPAC認定プライバシーコンサルタント
- ・認定TRUSTeコンサルタント・審査員
- ・認定CPP/CPA講師
- ・個人情報保護士
- 【受賞】
- ・プライバシーアワードTRUSTe普及賞