見出し画像

欧米企業が取り組むプライバシーコンプライアンスの手順

Privacy by Design Lab(プライバシーバイデザインラボ)

ビッグデータの活用が叫ばれる中で、企業がやるべきことは年々増えています。

今回は長年セキュリティ分野に関わり、現在はユニコーン企業のBigIDのCEOを務めるDimitriさんにこれからのBigIDの戦略と新しいプライバシーテクノロジーのトレンドの話をお伺いしていきます。

画像1

Kohei: なるほど。とても興味深い話ですね。これまで2年間データプライバシー分野のマーケットの変化を見てきたので、Dimitriさんが教えて下さったネットワークの広がりによって生まれる新しいビジネス機会を時代に合わせて変えていくことはとてもよくわかります。

BigIDのビジネスモデルを知ってからずっと気になっていたことがあるのでお伺いしたいと思います。私は気になっていることはBigIDが「なぜデータディスカバリー分野に注力したビジネスを展開しているのか」という疑問です。

プライバシーガバナンス対策のマーケット課題に取り組むスタートアップは既に数多く存在していて、OneTrustTrustArcは代表的な企業だと思います。同じマーケットのライバル企業との違いもお伺いできると嬉しいです。

データ活用を促進する企業の悩みの種

Dimitri: いくつか理由があります。私たちのビジネスはアイデンティティ分野が将来大きなマーケットになると考えていて、アイデンティティ分野でも特にデータ領域へ注力していることが一つ目の理由です。ライバル企業と比較すると、他の企業の創業者は同じ分野で事業を行っていても、それぞれ経歴が異なります。OneTrustの創業者は、法律とプライバシーの専門家です。彼はこれまでに法律とプライバシーをテーマに活動していたので、プライバシー領域の変化を十分に理解して事業に取り組んでいる専門家だと思います。

図:競合企業と異なる専門領域で参入

画像2

OneTrustと比較すると、私たちBigIDは彼らと違いデータサイエンスの専門家です。OneTrust同様に私たちもプライバシーコンプライアンスの課題解決を事業としていますが、私たちはデータサイエンスの専門家の立場から解決策を提案しています。

OneTrustは既に多くの企業に採用されて、素晴らしい実績を残しています。ただ、彼らのビジネスはクライアントである社内のプライバシー対策チームの運用を効率的に行うことができる解決策を提案し、作業の効率化を支援するモデルです。

なぜ彼らのビジネスがクライアントに受け入れられるか説明しましょう。プライバシーコンプライアンスに実務に詳しい方であればご存知の方もいると思います。法改正で社内のコンプライアンス対策の手続きがより複雑になってきています。社内のメール調査やコンプライアンス状況をスタッフが一つ一つ確認していくことはますます骨の折れる仕事になりつつあります。そういった負荷作業に加えて、厳密なプライバシー影響度評価の実施も必要になります。

こういったコンプライアンス手続きがますます複雑になっていることが現時点での大きな企業課題となっています。複雑になればなるほど担当者が作業の全体像を理解していない部分抜け漏れてしまい、後々問題になることがあります。

図:テクノロジーを駆使してコンプライアンス課題を解決

画像3

昨今のガバナンス環境を取り巻く動きはとても早いので、企業内で対応が間に合っていないとしてもGRC(ガバナンス、リスク、コンプライアンス)が規制当局から厳しく監査されることになるため、企業は自社で実施している規制対策を行政へ説明し、日々対応を行っていくことが求められます。

ただ、規制対策を実施しただけでは本質的なユーザーの課題を解決することはできません。なぜかというと、ユーザーが同意して企業に提供したデータと、ユーザーの同意を元にお預かりしたデータが企業内で適切に運用されているのかというと、取得とデータ活用にギャップが存在するケースも数多く見られるので(ユーザーが同意した内容とは異なる形でデータが利用されるケース)、社内のコンプライアンスに加えて、社内でデータを活用する際のリスク対策も並行して進めていく必要があります。

社内のデータ活用の対策は企業にとって頭の痛い問題で、コンプライアンスに準拠したからといってすぐに解決できる問題ではありません。法律が新しく施行されたので、これまでに以上にユーザーや従業員のプライバシーを適切に取り扱うことがより重要になりました。社内で誤ったデータの取り扱いが起きた際には事業に大きなマイナスのインパクトを与えることになります。

データを活用する際の対策は社内調査やレポーティングだけでは不十分です。そういった対策だけでは “ どこにユーザーのデータを保存したか覚えていますか?” という質問を社内で聞くと、取り扱うデータ量が膨大になればすぐに答えることは難しいと思います。(ユーザーからどこにデータがあるか聞かれた際に対応できない)

車の鍵やサングラスを探すのとは大違いで、自分がどこにデータを置いて管理しているのかをすぐに思い出すことは難しいと思います。

社内のデータを従業員の時間を使って確認するよりも、データサイエンスの考え方を応用して機械で管理する方が効率的にデータ対策を行うことができます。機械でデータ対策を実施することで作業の効率化だけでなく、レポーティングやセキュリティ等のデータガバナンス対策にも効果的です。

データガバナンスの鍵を握るデータサイエンス

私たちがデータサイエンスの考え方を用いて機械でガバナンスの解決策を提供する理由は、社内のデータ対策が重要な経営課題になると考えていたからです。しかし、私たちがマーケットに参入する前に調査すると、データガバナンスに取り組み始めた企業は作業を効率化させるためにOneTrustやTrustArcが提供するサービスを既に導入し始めていました。既に彼らのようなプレイヤーが存在するマーケットに参入することは難しいと思いませんか?

私たちは彼らのようなGRC課題を解決するための対策でアンケートやワークフロー設計サービスを先行して提供している企業がいることを理解し、彼らとのは異なる差別化が必要だと考えました。そこで外部からこれまでに2億5000万ドル調達して、データサイエンスの専門性が生かせるデータディスカバリー、データインテリジェンス分野に注力して事業を行っているのです。

既存のプレイヤーが存在するマーケットを切り崩していくためには “城の周りの水路がどういった環境になっているか(what you know about the waterway around your castle)” を事前に理解してマーケットに参入しなければシェアを奪っていくことは難しいと考えています。

私たちはこれからのデータ活用の未来を描いていきたいと考えています。既にマーケットに参入している既存のプレイヤーが解決できていない課題に今注力しています。私たちの会社で最近発表した次の方向性は、”Apple Storeで新しいマーケットプレースを作ろう” という構想です。これまでにない新しいマーケットプレースを準備してデータガバナンスに必要な対策アプリやモジュールを購入することができるようにしたいと考えています。

図:アプリを活用してコンプライアンス対策

画像4

企業が直面している課題で、プライバシーやセキュリティガバナンス対策コストが大きな問題になっています。対策コストが大きいにも関わらず社内のデータ管理アプリを提供する企業はこれまでに出てきていません。アプリの利用者がiPhoneやアンドロイド、AWSやSalesforceで自らデータ管理ができるようになれば社内のガバナンス対策は随分と楽になるはずです。

ユーザーが自らデータマネジメントができるアプリにコンプライアンス領域で取り組んでいる人はいなかったので、私たちが先行して取り組むことによって新たな企業の参入障壁を下げていきたいと思っています。参入障壁が下がれば、新たに取り組むプレイヤーが増えてデータディスカバリーとデータインテリジェンス分野で新たなマーケットを作り上げることができるようになります。

私たちが考えている構想はオープンなアプリのエコシステムを準備し、パートナーとの連携を進めながら、ユーザーが自らがデータディスカバリー機能を利用してプライバシー課題を解決できる仕組みです。

Kohei: とても興味深いお話ですね、ライバル企業の動向をみながら、自分たちの強みを生かすためにデータから取り組みを始めたことはとても興味深いです。長期の戦略を描きながら実行していくことは、企業を長期的に運営していく上でとても重要なのだとお話をお伺いして感じました。

これからさらにデータ活用を進めていきたい企業は増えていくと思います。活用したい企業は増えていく一方で社内で適切にデータ運用が実行されているか確認することは企業課題として避けられない大きなコストになっていくと思います。

私も日本のいくつかの企業と話をしたことがありますが、多くの企業でデータが社内でサイロ化してしまっている問題があると思います。社内、もしくはグループ会社内でデータがバラバラに管理されているため、効率的にデータを利用するためには統合していく作業が必要になります。

一方でデータを統合すると統合部分が攻撃を受けることによってデータの漏洩の懸念は高まっていくと思います。データの漏洩リスクが高まることによって、逸早く漏洩した事実と原因を発見しデータ保護監督局へ迅速に通知することが求められるケースが増えていくと思います。

データ保護監督局への通知が遅れることによってユーザーからの評判が悪くなったり、対象組織への制裁金の問題も出てくると思います。企業内で適切にデータの管理状況を把握し、状況に合わせた対策を実施することがより重要になると思うので、BigIDは企業のデータ管理の課題への解決先になると思います。

最先端のテクノロジー企業が見据えるこれからの未来

先程資金調達のお話もお伺いできたのですが、BigIDは今後10年でどういった分野に注力して資金を投資しつつ事業を進めていくのでしょうか?

Dimitri: そうですね。今は二つの戦略を描いています。一つがセールスとマーケティングへの注力です。端的にお伝えすると、地理的な拡大戦略と産業ごとの垂直型拡大戦略を考えています。セールスとマーケティングはエリアを絞って一つづつ進めていきます。

二つ目の戦略はエンジニアリソースへの注力です。私たちはテクノロジー企業なので、テクノロジーへの投資がイノベーションに繋がっていくと考えています。

既にいくつかの競合になり得る会社が「BigIDより良いサービスを開発する」と言って資金調達を始めています。ですので、私たちは先行者として先に進んでいかなければいけません。技術開発への投資は主に三つの分野に重点を置いていく予定です。一つがデータディスカバリー技術です。この技術がBigIDにとって最も重要な技術要素で、私たちの企業ブランドです。

BigIDのブランドはデータディスカバリーとインテリジェンス技術です。私たちが企業に提供する解決策を活用して、社内でより早くデータを見つけることができる仕組みを提供したいと思っています。「どこで取得した、誰の個人データを、なぜ企業が取得しているのか」を一眼でわかるようにするためにデータディスカバリー技術への投資は引き続き継続していきたいと思います。技術投資を続けていくことで、メタデータレベルのデータから分類、グラフレベルと様々な用途へと応用していきたいと思っています。

図:逸早く目的のデータに辿り着く技術

画像5

二つ目がアプリ開発です。Appleがアプリストアで新しい規約を発表したことは大きな話題になっています。私たちが今考えていることは、新しいアプリのエコシステムを作ることができないかということです。第三者にデータをする際の対策フレームワークを準備する必要があると考えていて、丁度アナウンスを発表したところです。

私たち自身もアプリを作成することを考えています。昨日セキュリティリメディエイション、リテンションマネジメント、ファイルアクセスガバナンスのアプリを発表しました。二週間前には米国で開催されたガートナーのデータカンファレンスでデータガバナンス、 データスチュワードシップ、データグロッサリー、データクオリティのアプリを発表しています。 私たちが独自のアプリを開発するだけでなく、私たち以外にもプライバシー関連アプリが数多く普及していくことを啓蒙していきたいと思っています。

三つ目がBigIDの利便性を高めていくことです。現在のBigIDソリューションは金融機関を始めとしたエンタープライズ向けに展開しています。クラウドを既に導入している企業向けのソリューションを展開しているので、大・中堅規模の企業にも利用いただくことができます。これまでは大手企業が中心でしたが、今は小規模企業に向けて展開するBigID meというソリューションを構想しています。

グローバル企業のチーム戦略

小規模企業向けに新しく進出していくことは、BigIDを採用する企業の裾やを広げるために必要な取り組みだと考えています。ディスカバリーインテリジェンス技術を採用したアプリを利用を促進することで、今後は利用課金モデルも検討しています。

開発したアプリの普及戦略のために、ServiceNowでCMOを勤めた経験者をグローバルマーケティングの責任者に任命しました。現在はプロダクトマーケティングに力を入れていて、他言語でのコンテンツ展開を始めています。

普及戦略で欠かせないのが地域別の対応です。私たちの会社のエンジニアリングチームはイスラエルに拠点を持っていますが、ビジネスは米国が中心で最近はラテンアメリカやブラジル、メキシコで利用いただくケースも増えています。私たちの会社は世界中にスタッフがいて、欧州ではフランス、ドイツ、北欧エリア、それ以外に英国、スイスが代表的です。アジア圏ではシンガポール、インド、オーストラリアに既にスタッフがいて、日本への展開も検討しています。

Kohei: 素晴らしいですね。日本ではプライバシーガバナンス対策が始まったところです。プライバシーステートメントを掲げているものの、実行できている企業も少ないのでステートメントに合わせて現場で運用できる対策を行っていく必要があります。そのためにはプライバシーガバナンスと社内のプライバシー文化を整えていく必要があると思っています。

Dimitriさんはこれまで数多くの企業とプライバシーガバナンス対策の支援に関わってこられたと思います。これまでのご経験からプライバシーガバナンスへ取り組むことを検討している企業はまずどういったことを始めに実施すれば良いのでしょうか?

欧米企業が取り組むプライバシーコンプライアンスの手順

Dimitri: そうですね。私個人の意見になりますが、まずは基本的なGRCの考え方を整えることだと思います。OneTrustやTrustArc、Wirewheel等が提供しているソリューションを導入してみることですね。私たちの会社でも同様に実施しています。そして実際に導入した後にDSR(データサブジェクトリクエスト)がフロントとエンドで機能するように対策を実施することですね。

(動画:Data Subject Rights Management)

これまでに紹介した仕組みは既に導入ベンダーが導入支援パッケージを準備してくれています。最後に自社で保有しているデータが一体どんなデータであるのかを社内できちんと理解することです。データといってもインベントリーやセキュリティ、データ分類やデータガバナンス、メタデータ等多岐にわたるためデータが一体何かを分類した上で、理解する必要があります。

この三つのステップを進めていくためにはデータインベントリーの設計、クラウド上のセンシティブなデータ分類とメタデータの可視化を行う必要があります。私たちが提供するデータディスカバリーソリューションは、これまでに紹介したプライバシーコンプライアンス課題を解決するために不可欠な要素を含んでいます。

図:データの分類と整理

画像6

実運用でにデータガバナンスやセキュリティの問題を解決するためには複数のソリューションを準備しておくことが必要です。データディスカバリーで実現できることは、プライバシーに最適化されたデータインベントリーの設計、セキュリティに対応したデータ分類とメタデータのデータガバナンスです。

※データインベントリーとはユーザー(組織)が保有ないし管理するIT資産に関するデータのことで、メタデータとは「データに関するデータ」のことです。

データディスカバリーの機能を準備したのちに、ServiceNowやIBM、BigID、OneTrustのようなベンダーが提供するサービスを利用してGRC関連の課題を解決することが望ましいと思います。ここまで紹介した一連の対策を同時に準備していくことで、効率的にガバナンス対策が実現できると思います。

Kohei: ありがとうございます。データを活用したビジネスモデルが広がっていく中で、欧州を中心としたプライバシー産業の広がりが徐々に大きくなりつつあると思います。欧米では既に数多くのプライバシー関連企業が誕生して、徐々にスケールし始めてきていると思います。BigIDはプライバシー関連企業の中でも先行して新しい分野に取り組んでいる印象があります。

プライバシー市場はセキュリティ市場の再来

Dimitri: 私がインターネットの初期に起業した時は、プライバシー分野に関わるとは思っていませんでした。インターネットの初期から起業して様々な事業に取り組んでいますが、私が初めて起業した当時はインターネットとセキュリティが盛り上がるタイミングでした。その経験を私は今プライバシー分野で体験しています。プライバシーは私が1999年にセキュリティ分野で体験した成長の初期段階にあると感じています。

Kohei: まさにそうだと思います。最後に視聴者の皆さんにメッセージをいただくことはできますか?BigIDをまだ知らない日本人の方にも読んでいただいています。

Dimitri: もちろんです。私はプライバシーに対する考え方の変化が全世界で起きていると思います。米国、英国やフランス等の国単位の動き、カリフォルニア等の州単位での動きも活発になってきています。既にプライバシーの対策はコンプライアンス対策だけでなく、テクノロジーを導入した新たなビジネス機会へと変化してきています。.

企業の守りを強くするためのコンプライアンス対策としてプライバシーを考えるのではなく、ユーザー体験をより良くする活動としてプライバシーを考える必要があります。プライバシーを考えることはユーザーや従業員と信頼関係を築き上げるための活動だと思います。

データの透明性を高めて、ユーザーに信頼してもらうことができるような体験設計を提供することが必要です。抽象的な話になってしまいましたが、このインタビューを通じて私が紹介した考え方がこれからとても大切だと考えています。

例えを紹介したいと思います。あなたが銀行で働いていたとしましょう。データはデジタル経済の中でお金に当たります。デジタル世界では、あなたのデータはお金と同等の価値を持つのです。データがお金と同等の価値を持つ世界になれば、デジタル世界にはデータ取引を管理する主体が必要になります。私たちが生きている現実世界に例えると、銀行が果たしている役割ですね。

銀行はあなたがいつお金を預けたのか知っていますし、預けた口座からお金を引き出したいと思った時にあなたがお金を引き出すことができます。銀行でできることが、今のデジタル世界のデータで実現することができないことが1番の問題です。プライバシーに取り組むことで、この問題は解決できます。デジタル経済に銀行のような役割ができると、企業の監査の仕組みが変化していくと思います。

現在は全ての企業が会計に纏わる監査を実施していて、収入と支出を報告します。収支を報告することはビジネス上のコストではなく、ビジネスの状況を報告するために必要な活動になります。

しかし、会計の仕組みがデータには現在求められていません。企業がどのようなデータを収入として集め、支出として捨てているのかがわかりません。BigIDで実現したいプライバシーとセキュリティガバナンスの仕組みはデジタル社会のお金(データ)の管理の仕組みになると構想しています。

ユーザーが自身のデータを企業に預け、ユーザーが自ら引き出すことができる仕組みを準備することで私たちが現実社会で行っている収入と支出を記録する銀行のような新しい仕組みが実現できると考えています。

Kohei: ありがとうございます。今回のインタビューはDimitriさんのこれまでの歴史から始まり、プライバシー業界のこれからを語るとても重要なお話だったと思います。Dimitriさん、改めて本日は貴重な時間をいただきありがとうございました。

Dimitri: ありがとうございました。

Kohei: 引き続きアップデートしていきましょう。

データプライバシーに関するトレンドや今後の動きが気になる方は、Facebookで気軽にメッセージ頂ければお答えさせて頂きます!
プライバシーについて語るコミュニティを運営しています。
ご興味ある方はぜひご参加ください。

Interviewer, Translation and Edit 栗原宏平
Headline Image template author  山下夏姫

この記事が気に入ったらサポートをしてみませんか?