元Spotify担当者に聞くGDPR施行後に起こった企業の個人データ対策とは?
GDPRやCCPAなど個人データに関する法律の話は日々目にすることが多いものの実際に企業がどのように対策、運用しているかはネット上で見つけにくい情報だと思います。
プライバシーの話は一視点だけでなく様々な専門性から議論が必要なため個人データ対策を担当した方や思想家、政策や運用で関わっている方などに直接インタビューして話を聞いていきたいと思います。
第一回目は音楽配信アプリSpotifyでGDPR対策に関わり、現在は自身で個人データソリューションスタートアップを運営しているPan Xuanさんに話を聞きました
Panさんの自己紹介
Kohei:Panさん。今回は貴重なインタビューの機会を頂きありがとうございます。ご自身のスタートアップPrivacyOneの活動とプロダクトの特徴を教えて頂けますか?
Pan: もちろんです。今回はインタビューの機会を頂きありがとうございます。私の名前はPan Xuanです。スウェーデンのストックホルムを本社にPrivacyOneというスタートアップを運営しています。
GDPRなど個人データに関する法律が新たに制定されてから特に欧州では企業の規模関係なくデータセキュリティやコンプライアンスに関する意識が高まってきています。
私たちはこれまでデータのコンプライアンス設計をできていなかった企業に対して新しい個人データ保護の取り組みを進めるために必要なプロダクトソリューションをリーズナブルに提供しています。
GDPRやCCPAに準拠した形でデータを適切に取り扱うための仕組みを展開することで、安心安全にデータ利活用を進めていくことができる環境づくりを提供していきたいと思っています。
データの取り扱いはこれまで以上に複雑になっていくので、法律に沿った形でのデータ処理やデータの透明性、アカウンタビリティ、プライバシーマネジメントなど多岐にわたる課題を解決できることが大きな特徴ですね。
GDPRが始まって実際に何をするの?
Spotifyでの経験の話
Kohei: 面白いサービスですね。私も初めてサービスに関して話を伺った時にこれから必要なサービスだと感じました。日本だと個人データに関する新たな法律がまだ明確には定まっていませんが、欧州で展開する企業、国内でGDPR対策を行う会社などには役に立つ取り組みですね。
Panさんにお伺いしたかったのは前職のSpotifyでの取り組みです。音楽配信では世界トップクラスで数多くの個人データを取り扱っていたと思いますが、実際に運営されていた際のポイントなど教えて頂けますか?
Pan: ありがとうございます。詳細に関しては一部秘密情報もあるので、お伝えできない部分はありますが、私が経験した内容を皆さんにお伝えできればと思います。
Privacy Oneというスタートアップを立ち上げる前には5年間Spotifyという会社で働いていました。最後の2年間は403と呼ばれるデータプライバシーコンプライアンス部隊に所属していました。
コードネームが面白くてHTTPのエラーメッセージの403という名前で、GDPRが施行されるに当たって新しく作られたチームです。既にセキュリティソリューションは社内で利用していたのですが、GDPRやCCPAに対応したものではなかったので新たにチームを作って新たに導入することになりました。
それ以外にも個人データ保護法に準拠するに当たって新しいルールが作られたり、新しいチームが数多く立ち上がったりと様々な動きがありました。
それぞれ2〜3人のチームがフルタイムで働き、時々4人になったりもしましたね。チームではプライバシーに関連した取り組みに専念して複数の事業部と連携して、個人データのアクセス権の調整やデータ取得の際の取り決めなどを進めていました。
-----------------------------------------------------------------------------
解説メモ
※以前の記事でも紹介しましたが個人データを取り扱う上でのワークフローの改善を行なっています。ここを個人データ取扱量が多い企業は複数事業部に跨って組織を作って対応しています。
-----------------------------------------------------------------------------
30歳くらいの人たちの別チームと連携して社内全体でのソリューションの導入などを進めていました。2年間を通じてこれまでにない新しい取り組みが次々と生まれました。
Spotifyクラスになるとある程度大きな投資を行うことができるため数多くのチームを編成したり運用できましたが、その他の企業では中々大きな投資を行うことは難しいのではないかと思います。
私がPrivacy Oneを立ち上げた理由は誰でも簡単にGDPRなどの規制に対応できるような仕組みを提供したかったというのもあります。
インハウスで開発できる大手企業にも課題はあって個人データを取り扱う際の透明性をいかに説明できるかという問題が残っています。
第三者からのデータの提供があった際などに外部とのデータ連携が必要になってくるため私たちの提供しているソリューションと連携させることで解決できる部分もあります。
-----------------------------------------------------------------------------
解説メモ
※GoogleがCookieの第三者提供をストップしたのもまさに個人データ利活用コストが大きい(収益に対して)ということが上げられます。こちらはCCPAのフローですが、GDPRでも個人データの同意の話は大きな課題の一つです。
-----------------------------------------------------------------------------
例えばFacebookなどの大手企業は個人データ取得や活用の透明性から罰則などを受けることも多いのが実情です。それは第三者から集めたデータ(アプリなど)を活用する際にどのようにデータを取得してきたのかが不透明なため直接信用問題に関わることになります。
個人データを活用する上で信頼できるネットワークを構築して利活用を促進していくこともソリューションを活用することで実現できるようになります。
トヨタやFacebookが連携して情報を共有することができるような信頼されたネットワーク限定のデータ共有イニシアティブなどもこれから出てくるかもしれませんね。
今後は日本でもこういった動きは出てくるかもしれませんが、特に国を越えてビジネスをしている大手企業は対応が必要だと考えています。
-----------------------------------------------------------------------------
解説メモ
※GDPR対策を進めている企業は "JIPDECとITRが行なった「企業IT利活用動向調査2020」" でも徐々に増えてきており、今後も増加傾向にあると考えられます。
-----------------------------------------------------------------------------
GDPRが施行されて最も大変だったことは何ですか?
Kohei: とても面白いお話ですね。自分たちもスタートアップを運営していて個人データの取り扱いをこれからどうしていこうか悩んでいるところではあります。
こういったコストをかけずに導入できるソリューションなどは個人データを取り扱う中小企業にとっては必要な方法だと思います。
次に聞きたいのがGDPRの施行前と施行後でどのような変化があったのか聞いてみたいです。
Pan: 良いポイントですね。紹介したいのはCapgeminiという会社が数十億から数千億の収益を上げている企業1100社に調査した結果で、8業種10ヶ国でおこなったものになります。
初期GDPRが施行前時点での調査とと1年経ってから同じように調査を行なっているのですが、2018年の結果では7割から8割の会社が社内コンプライアンスに対して十分に対策できていると答えていました。
しかし、2019年の調査ではその半分まで対策ができていると答えた企業が減り、2割から3割の企業しか十分に対策をできていないという結果が出ています。
これは法律施行後に大きな変化が起こっていて、初期に対策は万全だと思っていた企業が実態は内部のコンプライアンス対策が不十分だったということを示している興味深い結果です。
新しい技術やプロダクトを導入するたびに個人データを取得するため、その都度対策が必要になってきます。そのためデータ量が増えれば増えるほどセキュリティやプライバシー対策コストが増加し各企業が対策に追われることになるのです。
Regtechと呼ばれるサブスクリプション型のソリューションが注目され始めてきていて各社が導入を始めています。理由としてはソリューションを導入することで各社はコンプライアンスを度々変更するコストが低下するのです。
Kohei: なるほど。Regtechが注目される理由にはそのような背景があったのですね。日本ではまだ個人データに関する新しいルールが決まっていませんが、GDPRの施行前と施行後で大きな変化があったということは他の国でも同じような動きが考えられるかもしれません。
もう一つお伺いしたいのがGDPRでの社内ワークフローの問題です。国内のIT部門と話をするとデータ保護に関するワークフローを気にする企業も徐々に増えてきているのですが、実際に欧州ではどのような変化が起きているのでしょうか?
Pan: たくさんありすぎて一言では伝えきれないですが、テクノロジーを選定する際にプライバシーを前提としたコーディングや設計が求められるようになってきています。
例えば、GDPRではDPOと呼ばれるデータ保護責任者を設置することが求められていて、責任者を中心に適切にデータ保護に関する取り組みを報告する必要があります。
テクノロジーチームだけでなく、マーケティングなど個人データを扱うチームが連携して報告、運用する新しいガイドラインを設計する必要もあります。これは今までにはなかった新しい動きの一つです。
GDPRの下ではデータはできる限り少なく運用することが求められるため、技術実装や運用する際にもこの点を考慮した上でデータの取得や活用を進めていくことが必要になります。
Privacy Oneでトレーニングプログラムを準備しているのですが、まさにこのようなワークフローを理解する上で新しいデータ利活用の考え方を社内全体で浸透させていくことが必要になります。
プライバシーバイデザインやプライバシーバイデフォルトという考え方は基本的にこれからスタンダードになっていくと思うので、ビジネス設計する際にも注意したいポイントです。
プライバシーを前提に考えるということはユーザーが主体的に企業にデータを提供する仕組みを考えていく必要があります。
現時点では欧州でもプライバシーを前提とした設計を実現できている企業は少ないため、トレーニングやコンプライアンス作成などに協力して取り組んでいく必要があります。
特に古い仕組みを導入し続けている企業で個人データを取り扱う場合は、システム自体が大きなリスクになりコスト要因になります。
常にシステムを更新して新しい仕組みに変えていく必要があるのでこれまでのやり方を見直してセキュリティ対策を万全にするだけでなく仕組み自体をアップデートしながら、プライバシーを前提にした設計を進めていく事が必要です。
続きは次週のブログで更新します!
次週は2020年GDPRの全体の動きとスタートアップ動向に関しても紹介します。
※一部法的な解釈を紹介していますが、個人の意見として書いているため法的なアドバイス、助言ではありません。
引き続きCOMEMO記事を読んで頂けると嬉しいです。
↓↓↓
記事の内容やブロックチェーン×データビジネスに関するご質問はこちらまで!! 気軽にメッセージください!
ブロックチェーン技術は世界中の人たちが注目している新しいビジネスのタネの一つです!気になったら気軽にメッセージください!