元Spotify担当者に聞くポストコロナのGDPRの動きとデータビジネスの変化とは?
個人データに関してコロナの最中でも議論が行われています。特に個人のプライバシー情報の取り扱いは感染情報や位置情報含めて一部議論が加熱しています。
EDPS(欧州データ保護監督官)のWojciech氏はコロナによってデータビジネスは大きなゲームチェンジが起こると発表しています。
日経新聞電子版でもEUが進めるデータ戦略は紹介されており、コロナが収束するとともに個人データの話は改めて議論が進んで行くと考えられます。
サピエンス前史の著者であるハラリ氏は監視社会に対しての警鐘も鳴らしています。
前回の企業のGDPR対応に引き続き、第二回目はSpotifyでGDPR対策に携わったPan Xuanさんに2020年のGDPRの変化と大きな動きに関してお伺いしました。
GDPR対策にどれくらい費用がかかるの?
Kohei: 新しく法律が施行されるとワークフローも大きく変わり特に中小企業は対策が大変だと思います。企業の規模によって異なると思うのですが、データ保護対策にどれくらいの費用がかかるのですか?
Pan: 細かい金額は企業によって異なるので一概には言えないのですが、Googleやマイクロソフト、Spotifyなどの個人データを数多く取り扱う企業は多くの従業員を抱えているためワークフローに関して大規模な投資を行う必要があります。
中小企業に関してはスタートアップなどの事業体に関係なく対策が必要なのですが、プライバシーポリシーに記載するくらいしか対策ができていないのが現状だと思います。
これが大きな問題でGDPRでは個人データを企業がどのように取り扱うかを事前に説明するように求めています。
-----------------------------------------------------------------------------
解説メモ
過去の記事でも紹介しましたが、Facebookなどの大手企業は個人データ処理に対する不透明性から多額の罰則を請求されています。機械でデータを処理する際に、どのように処理が行われるのかを説明する必要性も出てきています。
-----------------------------------------------------------------------------
そのためプライバシーポリシーに記載されている内容だけで果たして透明性を担保できるのかという疑問が残ります。中小企業だと十分にコストをかけて対策を行う事も非常に難しいです。
B2B取引を行うSaaS系のサービスなどが大企業と取引する際にも個人データ対策が必要になることに加えて、銀行や医療など機密性の高い個人データを取り扱う場合はさらに対策が必要になります。
-----------------------------------------------------------------------------
解説メモ
過去記事でも紹介しましたが、取り扱うデータによっては十分にデータ取得によって与える影響を事前に予測する必要があります。DPIAと呼ばれるプライバシー評価はデータビジネスを行って行く上で重要なアセスメントになります。
-----------------------------------------------------------------------------
PrivacyOneを設立した理由としては、中小規模の企業でもリーズナブルに対策ができる仕組みを展開したいと考えて立ち上げました。予算やリソースが潤沢ではない企業にとっても十分に対策できる仕組みを提供したいですね。
Kohei: まさに中小企業の個人データ対策はこれから問題になってくると思っていたのでとても重要な取り組みだと思います。企業間でのデータ共有や中小規模の会社がガイドラインを設定する際にも一定の基準に達したかどうかを確認できる仕組みは大切ですね。
Pan: はい。一つのパッケージサービスとして提供できれば、どの規模の企業でもプライバシーを前提としたビジネス設計ができると思うので広げていきたいと考えています。
GDPRはこれからどうなっていくの?
GDPRが施行されてからどれくらいのスタートアップが誕生したの?
Kohei: じゃあ次の質問に行きたいと思います。GDPRが施行されてから色々と変化があったと思うのですが、欧米ではプライバシー関連のテクノロジーはトレンドになりつつあるのですか?去年OneTrustがユニコーン企業になったのは大きな変化ではないかと思っています。
-----------------------------------------------------------------------------
解説メモ
OneTrustは個人データ関連で企業価値が10億ドルを越えたユニコーン企業です
-----------------------------------------------------------------------------
Pan: ええ、たくさん出てきていますね。投資家と話をすると数多くの企業が既に出てきていると聞きます。現時点では数はそれほどまで多くはないですが、これからさらに増えて行きそうです。大きいところだと今話していたOneTrustやTrustArc、BigIDなどが先を走っていて、CiscoやIBMなど従来のテック企業も徐々に参入してきています。特にデータ分析やコンプライアンスチェックなどはビジネスとしても成長見込みが大きいです。
ドイツやオランダなどは欧州でも取り分け数が多い地域ですね。ただ、構造的にスタートアップが抱えている問題としては解決する課題が個人データ規則の中での一部のニッチな対策になってしまっていることです。
例えばドイツではデータ仮名化よりのスタートアップが多く、私たちが本社を置くスウェーデンではデータ管理などDPA課題に最適化されたソリューションが多いです。アメリカではドキュメント作成など効率化からサービス設計されることが多いですね。
先に紹介したOneTrustなどが規模を拡大している理由としては一つの課題だけではなく、個人データ取り扱いで発生する全ての課題を解決するソリューションを提供しているからです。ただ、彼らのソリューションは他と比較して金額が高いですね。特に中小企業向けには厳しいと思います。
欧州のプライバシーテック企業の資金調達状況は?
Kohei: そうするとベンチャーキャピタルからのリスクマネーも少しずつプライバシーテック企業に流れ始めてきているのですか?
Pan: 現時点では始まっているとは言いづらいですね。ただ、OneTrustのようなプライバシーテック企業に短期間でバリュエーションがついているのはマーケットからのニーズに期待して起きている現象なのではないかと考えられます。
シリーズB前の調達で2700億円の評価額で調達しているのでこれから追随する企業も出てくるかもしれません。ただ、欧州、特に自分が拠点としているスウェーデンではセキュリティやプライバシー意識が高まってはいるものの調達までは至っていない状況です。
欧州から規制が始まったにも関わらずアメリカの企業が投資でも先行している点は非常に課題だと感じています。まだ欧州から大規模なRegtech企業が生まれていないので、今後は欧州から新しい分野の企業が生まれるように取り組んで行きたいと思います。
Kohei: アジアのマーケットでもまだこの分野の資金調達に関してはほとんど話を聞くことはないですね。これから法律が施行されたり、プライバシー意識が変わってくると新しいスタートアップが誕生してくるのではないかと思っています。
GDPRの下で2020年は個人データ規制が進むのか?
Kohei: 次の質問はこれから5年、10年でGDPRがどのように変わっていくのかについて議論して行きましょう。昨年末以降各国のDPAが各国でのインシデントに関してかなり踏み込んで調査を始めている印象です。
ポーランドでのパブリックスクールの事例は象徴的な事例ではないかと思うのですが、2020年のGDPRに関する動きはどのように考えていますか?
Pan: そうですね。ポーランドの事例は民間ではなく、学校で発覚している点が非常に象徴的です。GDPRでは民間企業だけでなく政府や公の組織でも対策が必要であり、特に顔認識技術から取得した個人データに関してはセンシティブなデータとして議論が行われています。
一般的には遺伝子情報や顔認識、血液情報などは個人データとして同意なく取り扱うことは勧められていません。今回の学校のケースでは十分に同意を取得していない状態で個人データを活用していたことになりますね。ただ中小規模の事業者では対策自体が難しいので、大きな課題が残っている分野でもあります。
実際にデータを取得しても個人データ対策をどのように行えば良いのか分かっていない事業者が多いのが現状だと思います。PrivacyOneでもトレーニングプログラムを始めたのですが、規制当局が求めている要求と事業者の対策に大きな溝があって、そもそもソリューション導入の前にこの溝を埋める必要があります。
個人データを取り扱う事業者もしくは個人データを取得する事業者どちらであっても対策を行う必要があります。
GDPRの下で欧州域外の企業はどのような対策を行えばいいのか?
Kohei: 確かにその視点は非常に重要ですね。欧米以外の企業もGDPRやCCPAに向けた対策を現在徐々に進めてきているといくつかのリサーチでは発表されています。日本の会社でも相談を受けることがありますが、正直文化的な違いもあり対策としては難しい点が多い気がしています。
特にネット系のビジネスでは国境が曖昧ということもあり、個人データ取得の問題は真剣に考えていく必要もあると実感しています。
Panさんにお伺いしたいのはアジア圏含めた他国の企業はどのような対策を行うことが最適だと考えますか?
Pan: 文化の違いや各地域によって対策が異なる点は難解ですね。GDPRの下では取り扱うデータの数や特定する個人の属性などによって必要な対策が変わってきます。
GDPRのみに限らず各地域の規制を含めた対策が必要になりますね。例えばスウェーデンでは「基本的メディア法」と呼ばれる表現や報道の自由を定めた法律があります。
個人のプライバシーとメディアのパブリケーションの話は歴史的にも数多く議論がされてきた部分で、この辺りは欧州のみならず日本や他の国々でも起きている現象ではないかと思います。
金融分野に目を向けてみるとマネーロンダリングの問題など個人を特定する必要がある場面なども数多く存在します。個人データと言っても様々な視点から見ていく必要があるためPrivacyOneではトレーニングプログラムを実施しているのが現状ですね。
Kohei: そうですね。おっしゃるようにプライバシーや個人データと言っても主体によって大きく解釈が異なってきますね。では最後にこれからGDPR含めた対応を検討されている企業や個人にメッセージをお願いします。
Pan:もちろんです。プライバシーデザインとプライバシーデフォルトの話はGDPRの元になった考えで、これから個人データを活用するビジネスでは必須になる考え方です。
GDPRでは個人データ取り扱いに関しての透明性や事前の対策も求めているので、対策ができている企業と対応できていない企業で大きな差がついてくると思います。
セキュリティの観点からもデータを何のために活用するのかは明確にしておく必要があります。GDPRではDPIAと呼ばれる個人データを取り扱う際の影響度評価が必要になる場合がありますが、私たちが展開するソリューションではワークショップなどを通じて必要なナレッジなども提供していく予定です。
-----------------------------------------------------------------------------
解説メモ
GDPRの下では取り扱う個人データによってデータ保護影響評価を行う必要があります。評価は個人データを新しく取得する(サービスを立ち上げる、スタートアップ買収して統合するなども)度に行う必要があります。
-----------------------------------------------------------------------------
プライバシーを前提に設計するビジネスが今後は主流になっていくかと思うので、是非ご興味ある方はトレーニングプログラムなどでご一緒できればと思います。
Kohei: ありがとうございます。素晴らしいアドバイスですね。プライバシーの話は各企業が対策を求められる分野だと思うので、引き続き注力していきたいですね。インタビューありがとうございました!
※一部法的な解釈を紹介していますが、個人の意見として書いているため法的なアドバイス、助言ではありません。
引き続きCOMEMO記事を読んで頂けると嬉しいです。
↓↓↓
記事の内容やブロックチェーン×データビジネスに関するご質問はこちらまで!! 気軽にメッセージください!
ブロックチェーン技術は世界中の人たちが注目している新しいビジネスのタネの一つです!気になったら気軽にメッセージください!