見出し画像

ビッグデータ時代に生まれた新たなガバナンス課題

Privacy by Design Lab(プライバシーバイデザインラボ)

GDPRが施行されてから企業のデータコンプライアンス意識が徐々に変わりつつあります。

今回は長年セキュリティ分野に関わり、現在はユニコーン企業のBigIDのCEOを務めるDimitriさんにプライバシーコンプライアンスとテクノロジートレンドの話をお伺いしていきます。

画像1

Kohei: 皆さん本日のPrivacy Talkにお越しいただきありがとうございます。今回はプライバシーコンプライアンス課題をテクノロジーで解決するサービスを提供しているDimitriさんをお迎えしています。Dimitriさんは現在プライバシーコンプライアンス分野でユニコーン企業になったBigIDのCEOを務めています。本日はお越し頂きありがとうございます。

Dimitri: こちらこそインタビューに呼んで頂きありがとうございます。

Kohei: ありがとうございます。始めにDimitriさんのプロフィールを紹介します。Dimitri Sirotaさんは企業向けのプライバシーマネジメントプラットフォームBigIDの創業者兼CEOを務め、プライバシーとアイデンティティの専門家でもあります。

Dimitriさんはシリアルアントレプレナーであり、投資家、メンター、戦略家としても活動しています、これまでにセキュリティ企業のeTunnels、APIマネジメント企業のLayer 7 Technologiesの2社を創業し、Layer 7 Technologiesは2013年にCA Technologiesに売却しています。

今日はBigIDの創業のお話と、Dimitriさんのこれまでの起業にまつわるエピソードもお伺いしていきたいと思います。宜しくお願いいたします。

Dimitri: 宜しくお願いいたします。

Kohei:: 早速本日のアジェンダに移りたいと思います。Dimitriさんのご経歴を拝見すると、現在CEOを務めるBigIDが3度目の起業と知って正直驚きました。BigIDはプライバシーコンプライアンス対策のサービス領域でトップクラスのテクノロジー企業として様々なメディアでも紹介されていますね。始めにお伺いしたいのが3社目の企業理由です。DimitriさんがBigIDを設立しようと思った経緯は一体何ですか?

セキュリティの専門家がプライバシー分野に進出した理由

Dimitri: そうですね。では創業前の話をお伝えしようと思います。私が2社目に起業した会社をComputer Associates (CA)へ売却した後に、CAで事業開発やコーポレート分野で2年ほど働いていました。なぜ起業したのかというと、CAで2年間仕事しながら新しいビジネス機会に出会うことができたことが1番の理由ですね。

私が当時コンプライアンス分野に新しいビジネス機会が生まれると考えただけでなく、欧州のGDPR法案が可決するタイミングだったので、多くの企業がプライバシー法規制のコンプライアンス対応へ関心が高まる時期だったことも影響しています。。

GDPRが施行されると、多くのデータを取り扱う企業に対してデータの透明性や信頼、アカウンタビリティが求められるようになると考えました。さらに企業がユーザーからデータを預かる際に、ユーザーが自身のデータにアクセスすることや削除を要求することが権利として法的に認められるようになったことで企業のプライバシーコンプライアンス対策が法改正によってより重要になるとその時に感じました。

図 GDPR施行後に企業に求められるようになったコンプライアンス

画像2

プライバシーに関する規制が施行された後にいくつか変化が生まれると予測しました。企業コンプライアンスに関して、データを取り扱う企業は誰のデータを保有していてどんなリスクがあるのか理解してデータを管理する必要性が高まると考えました。これまで多くの企業が対策できていない新しいコンプライアンス課題になると思いましたね。

これまではユーザーからできる限り多くのデータを取得して、利用していたと思います。そして取得したデータを効率的に運用するために機械学習やビジネスインテリジェンスサービスを活用することがユーザーにとっても企業にとってもメリットがあると考えられていました。。

既に機械学習やビジネスインテリジェンスを導入している企業で、効果的にデータを運用しお金に変えるために第三者にデータを販売し、データを共有しています。一方で企業がこれまで行っていたデータの販売や共有等の運用方法に対して懸念を示す声が、私が会社の設立を検討していた当初から上がっていました。GDPRが制定されデータの取り扱いを厳しく取り締まるようになった時期です。

データ企業に求められる新しい経営課題

GDPR施行後は、特定の範囲でデータを活用することは許されますがデータは消費者や従業員の財産と考えられ、企業は消費者や従業員に対してアカウンタビリティ責任を持つことになりました。

データを取得する企業はデータを提供するユーザーへアカウンタビリティ責任が伴うことで、保有するデータのコンプライアンス順守責任が新たな経営課題として取り上げられるようになります。

図 データ企業に求められるアカウンタビリティ課題

画像3

今後データのアカウンタビリティの問題は日本や中国、韓国やフランス、ドイツ等全ての国で対策が急務な企業課題になると思います。国を越えてビジネスを展開する企業はデータを取得する際の他言語対応も求められますし、ユーザーからデータ要求があった際には本人を確認してユーザーの要求へ対応する必要があります。

私が起業する前に働いていたCAではアイデンティティ管理のサービスをフランチャイズ型で事業展開していました。CAでの経験はとても素晴らしかったのですが、CAのような大企業では変化が求められるマーケットで新しいビジネスを展開することはとても難しく、取り組み始めるまで4、5年かかってしまうもどかしさを感じていました。

私が考えたビジネスアイデアは外部のベンチャーキャピタルの支援が最適なモデルだと考え、社内で資金を調達するよりも外部資金で始めた方が良い選択だと思いました。

プライバシー保護分野は世俗的なトレンドであるため、新興企業が新しい方法でがマーケットに参入してポジションを作ることができると考えました。そこでCAで勤めている知り合いに声をかけ、一緒に新しい挑戦を始めることにしたのです。

図 プライバシー分野が有望なマーケットである理由

画像4

私が声をかけたのはCAでアイデンティティプロダクトのポートフォリオをトップで見ていた人で、BigIDの共同創業者です。起業する前に私たちはお互いに感じているこれからのプライバシー対策の課題に対して、新しいソリューションを開発してマーケットに参入できないか議論を始めました。

1ヶ月間ビジネスアイデアの議論を行い、「最終的にこれで行こう」という話にまとまりました。話がまとまったのが2015年の初秋ですね。

2015年の後半から準備を始めて、2018年にGDPRが施行されたタイミングで本格的にスタートしました(2016年に初めてのエンジニアを採用)。プライバシー法が施行される前に新たな挑戦を始めたことがBigIDの創業ストーリーですね。

Kohei: GDPR施行前から準備を始めていたことは先見の明がありますね。GDPR施行前と施行後で企業のプライバシーコンプライアンス意識に大きな変化はあったのでしょうか?

GDPR施行後に生まれた企業経営の意識変化

Dimitri: そうですね。大きく3つの意識変化がGDPR施行後に起きていると思います。一つ目はセキュリティに対する意識です。GDPR施行前から社内のセキュリティへの意識が高い企業も多かったですが、データセキュリティへはあまり関心がない企業が多かったと思います。GDPR施行前はセキュリティインフラ対策やハッカーからの攻撃にどのように対処するのかを考えることが多くの企業のセキュリティ対策課題でした。
.
GDPRが施行されたことでセキュリティ対策の考え方が、社内のインフラ対策だけでなくデータセキュリティへ移り始めたことが大きな変化ですね。今では医療や金融分野等を横断したデータ利用が進むに伴って、GDPR対策だけでなく、米国のHIPAA(医療保険の相互運用性と説明責任に関する法律)、グラム・リーチ・ブライリー法カリフォルニアのプライバシー保護法(CCPA)等の法律で求められるデータセキュリティ対策も大きな経営課題です。

GDPRに限らずデータ保護規制は取り締まりが厳しくなってきており、プライバシーコンプライアンスは規制への対策として重要な経営課題の一つになっています。変化の二つ目がデータの置き場所がデータセンターからクラウドへと急激に移行が始まっていることによって生まれている新たなコンプライアンス対策への意識です。

クラウドへデータの置き場所が移行するに伴って、これまでの企業インフラでデータ管理を行うことができなくなります。Oracle SQLサーバー等のデータセンターにデータを預ける場合、置き場所のセキュリティインフラを気にすれば良かったのですが、クラウドへ保有データを移行することでデータの取り扱い環境が大きく変化します。

クラウドにデータを置いておくことはデータを預かる企業のインフラ環境ではなく、クラウドを提供する企業が設定した環境にデータを置いておくことになるので、新しく導入するクラウド環境で求められるセキュリティ対策を進めていく必要があります。

最後の変化は企業に求められるガバナンスの範囲が広くなったことです。クラウドサービスが誕生するなどインターネット環境の変化に伴い、企業が一昔前よりも多くのデータを集め低コストで管理することができるようになりました。

データを多く保有し貯めておくことができる環境が整ったので、企業が効率化や利益のためにデータを活用するケースが増えていきました。GDPRはデータ活用を目的とする企業に対して法的なガバナンスをこれまで以上に強く求めるようになりました。

3つの変化に加えてコロナによるデジタル化の促進が新たなデータのインフラ環境に変化を生み出しています。

図 リモート環境とセキュリティ対応

画像5

中でもクラウド化が大きな変化の一つです。企業はリモートワーク等の広がりによって突然クラウドへ移行せざるを得なくなったためプライバシーコンプライアンス対策に限らず、セキュリティやガバナンスを始めとした対策を急速に進めていかなければいけない状況に変化し始めています。

3つの変化はそれぞれ単独で起きているわけでなく、1つ1つが混じり合って新たな経営課題が生まれています。どの企業もすぐに対応するべき経営課題で、データプライバシーとデータセキュリティ対策はより重要性を増しています。

Kohei: 面白いですね。GDPRが施行されて以来プライバシーコンプライアンス対策が強く求められ始めていると私の周りでも伺ったことがあります。ユーザーの権利を企業が蔑ろにすることが、企業にとってもデメリットになり始めている大きな変化だと思います。

10年先のデータ社会を見据えた時に、今起きているトレンドが社会全体に大きな変化を生み出していくのではないかと考えています。未来のトレンドを予測する前に、Dimitriさんがこれまで関わられてきたセキュリティ分野のこれまでの変化についてお伺いしたいと思います。

インターネットの初期からセキュリティ分野で活動されていると聞いていますが、インターネットの初期と今とではどういった変化が生まれているのでしょうか?

インターネット初期から変わり続けるセキュリティ意識

Dimitri: そうですね。インターネットの初期の話を聞かれたのは初めてです。当時は私が初めて起業したタイミングなので懐かしいお話しになりますね。とにかく私が起業した当初のお話をしたいと思います。

私が初めて起業したのが1999年です。丁度今の我々が普段利用しているインターネットが始まったタイミングですね。初めて起業した会社はe-tunnelsという社名で、ネットワークセキュリティに注力した事業を行っていました。当時は企業内で複数の支社や部門、個人でネットワークを利用する際のセキュリティ対策が企業の経営課題で私たちはどの課題解決に取り組んでいました。

当時のセキュリティ対策で重要だと考えられていたことは、インターネットが接続できるグループ環境を広げていくことです。インターネットの初期は支社や部門間でインターネット接続環境が整っていなかったので、ISDNのような回線を利用していました(それ以外にもいくつかあった気がしますが、他のネットワークは忘れてしまいました)。

これまでのISDNのような回線を利用していた企業がインターネット回線へ移行するニーズが高まっているタイミングに合わせて、セキュリティを強化したいと要望があり、そのニーズに答える事業を行っていました。当時VPNの開発等を行っていたのですが、インフラ環境のセキュリティ対策ばかりでデータセキュリティに関心を持つ人はいませんでした。

インターネット誕生初期はインフラ環境へのセキュリティ対策を企業は経営課題と考えていました。今ではクラウドが当たり前にな理ましたが、クラウドが誕生する以前はファイヤーウォール対策を行うチェックポイントのような会社もネットワークセキュリティ対策を重要視していましたね。

ネットワークとインターネットワークが双方で接続する環境でセキュリティ保護する必要性が高まってきていました。セキュリティ保護のニーズに答えるために、私たちが提供していた価値は接続環境のセキュリティ対策サービスです。インターネット誕生初期はチェックポイントがセキュリティ業界では最も知られていたと思いますが、チェックポイントが有名だったのはインフラレベルでの対策に注力していたからです。

2社目の起業はアプリケーションレイヤーでのセキュリティ問題を解決するために会社を立ち上げました。会社名はLayer 7でOSIのアプリケーションレイヤー(Layer7)に因んで名付けました。

私たちが注力していた領域はAPIのセキュリティマネジメント領域です。APIを活用したシステム間の接続が当たり前になると予測して立ち上げたのですが、想定以上に市場の立ち上がりが遅く始めの5年間はとても厳しい状況でした。

転機が訪れたのが、スマートフォンの普及とアマゾンWebサービス等のクラウドサービスの誕生です。スマートフォンの普及でアプリの利用が急激に増えたことに加えて、クラウドが普及し始めるタイミングが丁度来たので、APIを通してデータセンターに接続する動きが徐々に広がっていきました。

図 セキュリティ対応の分岐点

画像6

さらにアプリ間での連携が広まるにつれて、安全なアプリケーションネットワークへの関心が高まり始めました。プログラムコードでできることが増えるに従って、私たちが取り組んでいたビジネスの需要も高まり最終的に会社を売却することになりました。

ビッグデータ時代に生まれた新たなガバナンス課題

アプリケーションのセキュリティ課題を解決する領域のビジネスは今でも新規で参入する企業が出てきている市場だと思います。ただ、私が第三の企業(BigID)で選んだ領域はアプリケーションではなく、データです。ビッグデータはますます重要な資産になってきています。

私がこれまで取り組んできたことを整理すると1社目はネットワークからアプリケーションインターフェイス、アプリケーションネットワークで2社目を設立し、今はデータ領域で新しい挑戦をしています。

データは全ての企業にとって欠かすことができなアセットになりつつあります。コロナが落ち着いたとしても私たちの生活がデジタル化していく流れは加速していると思います。日本はまだコロナの影響が厳しい状況だと思いますが、こうやって私たちは今Zoomを通じて繋がり遠く離れていても話をすることができるようになっています。

私の生活もコロナで大きく変わり、オンラインでものを買う機会が増えました。私たちのコミュニケーション方法もメールやSlack、Teams等のオンラインツールを使うことが当たり前になりつつあります。

私たちがコミュニケーション手段も誰かとビジネスを始めるきっかけも、チームで新しい取り組みを進めていくときもデジタルツールを使うことが当たり前になっていくと思います。

ただ、これからデジタルツールが普及し、私たちがデジタルツールを利用することが当たり前になるためには「データとは一体何か」を明確に定義し、ルールを作ることが必要です。デジタルツールを利用する際に生まれるデータは、デジタルツールを利用する度に更新されサーバーに保存されていきます。

図 データとは一体何かの議論

画像7

データは流動的に形を変えているので、データとは一体何かの定義が重要になります。今皆さんが利用しているアプリやツールを通じてバラバラにデータが保管されています。データブリックススノーフレークはデータを保管する企業ニーズから生まれたプレイヤーで、彼らのような企業は誰のデータがどこにあるのかを把握しビジネスに変えています。

「データは新しいオイルである」と考えている人もいると思いますが、オイルとデータは別物だと思います。何が違うかというと、基準が異なります。オイルの場合はワンバレルのオイルが別のワンバレルと同様のものですが、データはそうではありません。あなたのデータと私のデータは全く異なるものです。

あなたのデータは十分に保護される必要があるのです。あなたのデータはあなた自身の活動を表し、データはあなたに帰属します。あなたのデータが無くなったから私のデータで埋め合わせましょうということはできないのです。

そして、あなたのデータはあなたが権利を有するものです。あなたがデータがデータを提供し続けることで、あなたのデータを受け取った人たちはあなたの人となりを理解することができるようになります。だからこそ、あなたのデータを預かった企業はあなたのプライバシーやセキュリティを考え対策する必要があるのです。それがガバナンスです。

デジタルツールを使う機会が一気に増えて、私たちを取り巻く環境は大きく変化しました。アプリケーションネットワークが発達することで、気軽にコンテンツを視聴できたり、アプリ間でデータを送り合うこともできるようになりました。紹介してきたように、私は時代の変化に合わせて求められる事業にこれまで取り組んできました。

インタビューは後編に続きます。

データプライバシーに関するトレンドや今後の動きが気になる方は、Facebookで気軽にメッセージ頂ければお答えさせて頂きます!
プライバシーについて語るコミュニティを運営しています。
ご興味ある方はぜひご参加ください。

Interviewer, Translation and Edit 栗原宏平
Headline Image template author  山下夏姫

この記事が気に入ったらサポートをしてみませんか?