トップは個人情報の謝罪会見を防ぐために
GDPRを取り入れましょう

PRIVACYJAPANサイトでは、日本の企業がデータビジネスでユーザーに不利益を起こさず、炎上して企業価値を損なうことなく、企業成長をしつづけるためのプライバシー総合支援の企業の情報サイトです。

運営会社のSTEKWIREDのクライアント企業には、顧客との関係を損なうような炎上や謝罪会見などにならない予防観点のコンサルティングやスタッフ教育を実施しています。

データビジネスのプライバシーに関するトラブルは社会問題化しやすく、経営トップの謝罪会見や成長に深刻な影響を与えるリスクが高いため、ぜひとも参考にしてください。

個人情報問題でトップに謝罪会見を求める顧客心理

データビジネスのプライバシーに関するトラブルは、ネット炎上や社会問題に発展しやすく、その収束のためにトップが謝罪会見を行うことになります。ユーザーの怒りがトップ謝罪を招く顧客心理はどのようなものでしょう。

1.個人情報トラブルは、おわりの見えない不安

消費者は、データには価値があることと同時にデータが悪用されることの潜在的な恐怖を持ちます。

社会のサービスがオンライン化し、サーバー犯罪に個人データが使われていますが、自分のデータの悪用はどこまで広がるか想像もできず、データは、永久に保持が可能であるためその内容が変わらない期間にずっと悪用されるリスクがあります。被害の予想もなくなる予測もたたない不安があります。

2.信頼を裏切られた気持ちから怒り

個人データを企業がサービスに使うには、消費者との関係が事前にあります。消費者は、個人データの関わるやりとりをするまえに「企業が個人情報を期待通りに利用するだろう」という信頼をしています。

日本人のデジタルプライバシー意識は先進国の中では最低でしたので、かえしてみると、企業のプライバシー対策に対するチェックは諸外国人よりは緩い可能性があります。

個人情報の関わる問題が発生した際には、企業は消費者との当初の信頼を裏切ったことになります。個人情報の種類や量、侵害を受けた内容などによって、裏切られた気持ちが怒りに発展します。

怒りによってクレームやSNSへの投稿や訴訟に発展することがあります。自尊心を傷つけられた場合には責任者の謝罪を求める気持ちに発展します。

信頼は、米国ITでは成長の要因として経営の重要指標としているので、機会をあらためて信頼のテーマをとりあげたいと思います。

3.原因を招いた企業姿勢への疑い

「顧客の個人データをなんだと思っているのか？」「プライバシー侵害だと認識しているのか？」など、信頼を裏切られた怒りを持った状態で、知りたいことがあります。

それは、企業全体が日頃から、個人データのプライバシー配慮を組織として考えて対応していたのに起こったトラブルなのか、顧客を軽視していた企業姿勢が原因として起こったことであるのかどうかです。

サイバー攻撃や災害などによる個人情報の流出は、完全に防ぐことが難しい事例として、日ごろの対策が確認できれば、それ以上企業に責めを負う気持ちはなくなるかもしれません。

「個人データの保管は国内だから安心です。」と営業し、事実は韓国や中国でデータ保管をしていたような虚偽は、ユーザー信頼を裏切る行為です。自治体は事実が判明してからサービス利用をやめました。

個人データ取扱いで虚偽の公表は、個人情報保護委員会の立ち入り検査に発展しております。まさしく経営責任に発展しています。

このように個人情報の問題は、顧客が企業から尊厳を傷つけられたことになります。
SNSの普及や報道によって、個人情報取り扱いやその姿勢に対するトップの経営責任が追求されるのです。

価値あるデータビジネスにプライバシーリスクは必然

ドコモ口座被害金額の過半数がゆうちょの件でゆうちょ銀行謝罪会見では、本人確認に問題があるドコモ口座に大切な預金をなりすましの指示で勝手に送金される事案を放置していたことが問題になりました。

同時にドコモの不正口座に送信をさせ保有資産に実際の影響を与えたゆうちょ銀行も謝罪しています。

両社とも犯罪被害者の救済の姿勢があっても、なりすまし口座への送金という被害者を食い止める姿勢がないことが問題視されていました。

なりすまし口座に簡単に資産が送金されてしまう事件が、預金者にあたえた不安が大きかったことが伺えます。データビジネスの犯罪は常に発生するので、被害者の発生を抑えられたら謝罪会見を抑えられた可能性があります。

就活学生の内定辞退率の販売問題に関して、リクルートキャリアの社長の謝罪会見は、日本の個人情報保護法へも影響をあたえた大きな事件です。

R社の顧客が、新卒者の内定辞退で悩んでいたため、R社が就活生の行動データと採用実績データをAI処理し、就活生の内定辞退の予測データ分析を商品として開発、募集企業に内定辞退率のデータを販売していたことが、報道により発覚しました。

社会問題となり、R社社長は謝罪会見を行い、R社から内定辞退率を購入した企業35社も個人情報保護委員会から行政指導を受けました。

「無断で就活生の行動データをAI予測した結果が採用に反映されると人生への影響を与える可能性がある。」プライバシー配慮のないAI予測の利用は、データビジネスの不適切な事例となりました。

AIの価値はビッグデータからの予測にあります。個人データのAI処理には、プライバシー侵害に発展する可能性があるため、ソースとなるデータ、データ処理の根拠、結果がもたらす倫理的な問題などを事前に考慮しなければなりませんでした。

GDPRでは、個人データのAI処理はプライバシー影響評価を事前に行うことが義務付けられています。日本では、AIから価値を産み出すことが悲願で、就活生からは収益が上がらないことから、就活生のプライバシーへの配慮はできておらず、謝罪会見では事業存続の危機を招いたと社長は発言しています。

「素早く失敗」で個人情報の構造的欠陥は防げない

FacebookのCEOのマークザッカーバーグ氏は、完璧を目指さずに早く市場に出し、失敗をすることを奨励しています。失敗から学ぶことや、失敗を恐れる官僚主義の組織になることを防いでいるようです。

米ITベンチャーの多くが、Facebookの失敗を恐れないポリシーを採用し、OODALOOP（ウーダループ）で現場の最適化をしながらの成長を目指しています。

Facebookは、GAFAの企業で、最も社員の満足度が高い企業となっていて、ビックテックの再就職先としても人気があります。そのFacebookは、IT業界で成功していますが、一方では多くのプライバシー訴訟で苦しんでいます。

Facebookのような広告ビジネスでは、広告の収益化のために無料ユーザーの属性などの基本データだけでなく、閲覧ページ、投稿状況、交友関係による影響などの行動データから広告を配信しています。

広告ビジネスは、個人データを利用しており、広告効果のあるものは、ユーザーからは追跡されるストレスや不快感を感じさせます。オンライン広告は、プライバシー侵害の側面をもっています。

Facebookの顧客企業であるケンブリッジアナリティカは、ユーザーのデータからユーザー行動をコントロールが可能であると表明し、アプリを不正利用して実行したことが問題となり、訴訟に発展し、廃業になりました。

Facebookは、広告主にアプリの利用を提供した際に、広告主がアプリを利用して、ユーザーの人間関係データも利用して、ユーザー間の影響度を分析し、ユーザーの意識をコントロールすることを許してしまったのです。

広告主が広告効果を高めるために個人情報を活用することが分かりますが、人間の心理現象を隠れて利用して、人々の意識を変化させようとすることは、一線を越えています。

Facebookがこの社会問題によって、時価総額で４兆円をこえる深刻なダメージとなりました。

ケンブリッジアナリティカは、顧客企業であるためFacebookはプラットフォームの責任を追求されたのは、気の毒と思われますが、広告ビジネスプラットフォームとして広告主がプライバシー侵害をできる環境を提供した責任を負うプラットフォーマーの法規制が進んでいます。

EUのGDPRがつくられる理由は、EU市民のプライバシーをGAFAから守るための規制が必要であったためと言われ、GDPRの施行後に欧州よりFacebookやGoogleはプライバシー訴訟を受けています。

Googleは、オンラインのサイトの検索行動やYouTubeの視聴行動、Gmailなど無料のプラットフォームからユーザーの全ての情報を扱う企業として、最もデータの悪用が怖い企業です。

創業からしばらくは、従業員に「Don't be evil（邪悪になるな）」のポリシーで経営をしていました。

個人情報の適切な取り扱いは、サービスの根幹に関わることなので、個人情報取り扱い時のユーザーのプライバシーを配慮への倫理観などは、全社員が共通してもつことが必要です。

GDPRを都合よく採用し、謝罪会見を防ぎましょう

GDPRは、EU居住者の人権保護の法律であるため、「当社にGDPRを採用させよう」とトップが指示した場合には、とてつもなく対応する義務が発生します。

データ保護オフィサーというプライバシー担当役員の設置も必要となり、EUの居住者の個人情報を扱わないならば完全対応を指示する必要はありません。

GDPRは、リスク回避と顧客満足のために都合よく採用することをお勧めします。GDPRのプライバシー原則対応は、ユーザーのプライバシー侵害ストレスを抑制し、サービス選択肢があり、ユーザーの不安解消につながるため、顧客との個人情報トラブルを予防するリスク回避の効果があります。

また、GDPRでは顧客への透明性を高め、本人の意思を確認するため、データ取り扱いの本人の権利が尊重されます。顧客を尊重したデータの取り扱いがないと、ユーザーの不満が高まるため、顧客満足と直結しています。

GDPRを巨額制裁がある法律の側面では脅威ですが、ユーザーのプライバシー権を明らかにしている側面では、データビジネスの羅針盤になります。

トップは、GDPRの義務を自社で採用するのではなく、GDPRのプライバシー原則を日本ユーザー向けにサービス品質向上とプライバシー訴訟回避のために都合よく利用すれば良いのです。

トップは、「当社のサービスはGDPRのプライバシー原則を採用できているのか？」ということを業績と同時に気にかければ、意思決定上でかならず謝罪会見の原因となるようなリスクと開発計画についての意思決定が求められます。

日本ではデータビジネスの開発時のプライバシー影響やリスク対策が義務づけされていないため、経営判断されるどちらのプランにもプライバシー保護がされていない、意思決定しようがない状態であったと思われます。

個人情報のプライバシー対策をする企業文化となるように日頃の指示がないという経営責任とも言えますが、トップにとってこれは切ない状況です。

データビジネスで新たな価値を提供する場合など、新しいものは価値と同時にリスクがあります。AIは、ソースデータそのものに人間の本性に潜む差別があり、AIのプログラムには開発者の潜在意識の差別が含まれています。

AI処理は、人に与える影響は良い面も悪い面も併せ持っています。GDPRではAIはプライバシー侵害を与えるものであるとして、事前にプライバシー影響を評価したり、リスク対策を義務づけています。

データテクノロジーの時代は、データは価値の源ですが、データの価値の裏側にはリスクが含まれています。顧客の信頼や企業ブランドは非常に傷つきやすいものです。

大企業や官僚組織は、計画の中断が難しいと思います。組織は人で出来ており、プロジェクトの成否も関わる人の評価に結びついています。また、時間をかけるとサンクコスト（埋没費用）が発生し、中断は損失を明確にします。

Yahoo!JAPANは、自社データで信用スコアビジネスをはじめようとしましたが、サービスはリリース当初から炎上し、社会問題となり、謝罪会見に発展しました。

ユーザーは、Yahoo!の行動情報がAI処理されて信用スコアにされることについて、メリットもデメリットも理解できませんでした。

自社の新たなビジネス開発設計に倫理的な問題などがないかチェックして、意見を受け入れたり、方向修正もできるようにしましょう。

GDPRプライバシー原則で深刻な事態は防ぎましょう

GDPRのプライバシー原則を利用して、顧客の目線で問題がないかを開発初期からチェックして、市場投入前に改善を行い、社会問題化を回避し持続成長をしましょう。

まとめ

個人情報のトラブルは、本人の権利侵害となるため、トップへの経営責任に発展します。マスコミも個人情報に関わる企業の不祥事は、一定の報道価値があります。

データビジネスにプライバシーリスクは必然で、事前の対策ができていなければ、問題が発生します。IT業界では、市場に早く投入して、問題を解決しながら改善を行う手法がありますが、プライバシーの対策をしないことには深刻なリスクがあります。

EUのGDPRでは、データビジネスの市場投入前のプライバシー対策を義務付けています。日本はGDPRの直接の義務はありませんが、新サービスの投入前にプライバシー原則でチェックするなど都合よく利用できます。

新サービスの開発段階でGDPRのプライバシー原則でチェックし、改善を行えば、深刻な信用問題に発展する仕様での市場投入をするまえにトップが判断でき、信用失墜の社会問題を防ぐことができると思います。