2018年5月のGDPR施行をひかえた状況の変化
――GDPR対応について、欧米そしてアジアの現状について教えてください。
ルイスターバーグ:GDPR対応については、多くの企業が自社の事業にどのくらいのインパクトがあるのか、その判断に迷っている段階ではないかと思います。GDPRは基本的に、より統合された俯瞰的な視点が必要であるため、単なるプライバシーの問題ではなく、データガバナンス、データマネジメントも含めたビジネスの問題として捉えられるべきです。達成すべき目標であると謳ってはいても、企業や国によって、目標に至るアプローチの解釈に差が生まれました。
このGDPRが草案段階だった頃と現在を比較すると、2つの違いが見受けられます。そのひとつ目は地域的な違いで、アメリカではプロセスとテクノロジーの観点で捉えるという処方的なアプローチをとりました。これは、すでに法制度が存在していたので、あとはシステムによっていかに遵守を目指すかが焦点になったためです。欧州では、どちらかといえばポリシー、ガイダンスであるとみなされました。最終的に正しい場所に到達すれば良いという捉え方です。
南米諸国はヨーロッパをフォローする傾向にあり、例えばアルゼンチン、ブラジルでは、政策や法律に関してもEU全体というよりはスペインに追随する傾向があります。アジアは国によって解釈に差がありますが、アジア全体としてはアメリカとヨーロッパとの中間に位置する印象です。企業に任せる部分を残す一方で、非常に職務的なポリシーを用意しているところもあります。日本はご存じのように、GDPRへの対応に若干の遅れがあります。
もうひとつの違いは業種間の差で、これには地域差はありません。例えば金融業界やライフサイエンス、官公庁などはインパクトに早く気づいたように思います。また、同じ金融業界でも銀行の方が保険会社より早く気づいたというようなトレンドがありました。それに対して製造業や消費財産業は、気づきの遅れがありました。いずれにせよ、どの業種においても企業によってアプローチに違いがあります。
ただ全体的には、実際に起こり得る事象のインパクトを過小評価した傾向があるように思います。どの業界も業種も縦割りの構造が存在しますので、最初はコンプライアンス、法務の問題だと思われていたからです。ところが、これはIT及び業務オペレーションへのインパクトがあるという気づきが生まれました。そのタイミングや気づくまでの時間の差によって、業種間の違いが生まれたように思います。
日本の企業とヨーロッパの企業を比較すると、日本企業の方がディテールにこだわる傾向があり、全てを網羅的に対応しないといけないと考えているように感じます。そうではなく、もう少し優先順位をつける方向で取り組んだ方がいいように思います。一方で、ヨーロッパの企業の方がリスクベースのアプローチにより慣れていたと思われる部分がありますが、地域差よりは業種間の差の方が大きいように思われます。
――GDPRについて、EUではどのようなアナウンスをしているのでしょうか。また、それを受けてデロイトの欧州のクライアントは、どのような状況でしょうか。
ルイスターバーグ:まず、EU当局側の動きとしては、GDPRへの対応に関してかなり積極的で、いわゆる「29条作業部会」がガイドラインを出しています。これはGDPRをどう解釈すべきかというガイドラインです。また、各国のデータ保護当局においても同様の動きがみられます。2018年5月の施行に向けて、市場に対してGDPR対応を正しく実施してくださいという、プロモーションのようなものですね。
その一方で、EU域内における私たちのクライアント間での認知度はどうかというと、「GDPRがある」こと、そして「どうやらプライバシーに対してインパクトがある」ことまでは認識していただいているのですが、それが日々の業務にどのような意味を持つのかまでの認識は、まだ低いように感じます。
どちらかというと、欧米企業の経営層や幹部レベルにおいては認知度が高まってきているようには思えます。しかし、中小企業では「これは一体何を意味するものなのか」と暗中模索の状況が続いているようです。確かに変化は日々起こっているのでしょうが、現状ではその程度だろうというのが私の感触です。
GDPRに準拠することで生まれるチャンス
――GDPR準拠は大変という声も聞きますが、準拠することで得られるメリットにはどのようなものがあるでしょう。
ルイスターバーグ:GDPRは一つの論点として考えるのではなく、データマネジメントという全体像の一部として捉えるべきです。もちろんGDPRによってリスクに対する関心が高まったことは良いことです。また、リスクがあるとともに複数のチャンスもあります。
例えば、データマネジメントの効率向上です。業種や企業を問わず、今や多くの組織が自らをデータドリブン組織であるとして、データのクオリティを重視するようになりました。また、リスクとメリットの境界も気づかせてくれたと思います。例えば自らの会社が提供する製品やサービスにおいて、必要な情報と余計な情報があるという、情報ガバナンスの視点が生まれたように思います。この気づきがあれば、オペレーションはより効率的になり、結果的にビジネスの成長につながるでしょう。
GDPRはまた、プライバシーの観点でも、より良い枠組みを提供すると思います。プライバシーの定義は、以前は「放置しておいてもらえる権利」でした。それが今は、「自らコントロールできる権利」にシフトしています。つまり、何らかのメリットがあれば、個人は自分のプライバシーの一部を他人に提供しても構わないと考え、また使って欲しくないと思えば、そのデータを引き揚げることができるという権利です。
これが制度としてしっかり確立してくれば、消費者にしても従業員にしても、プライバシーとそれを管理する枠組みに対する信頼が生まれてきて、最終的には全ての人々にとってより良い世界になります。GDPRは、そうした貢献ができると思います。今はプロセスのアップグレードなど色々な作業が必要ですし、大変な投資をしなくてはいけません。しかし、そうした投資は最終的に価値が生まれることを認識しているからに他ならないと思います。
ただ単に、法律を遵守できていなければ罰金が課されるから、それを避けるためだけにコンプライアンスのルールを作ろうと考えている企業は、失敗してしまうと思います。これはある意味でカルチャーのシフトが求められるものです。そのため経営陣も従業員も、これは十分な配慮を必要とする重要なものであるという理解が生まれれば、新たな文化が生まれてくると思います。
――企業や組織がカルチャーのシフトを実践するためには、何が必要でしょうか。
ルイスターバーグ:GDPRが大きなチャレンジ、課題であるということは明らかになりました。おそらく今、多くの組織が評価を行なっているか、あるいは終えたかというようなプロセスにあると思います。
カルチャーのシフトを実践する上で、GDPRの重要なキーワードのひとつに、アカウンタビリティ(説明責任)があります。これは、企業として自らの責任を明確にすること、そしてエクステンデッドエンタープライズと言うのですが、その会社だけでなく協力会社やパートナー会社も含めて、全体としてコントロールや責任を明確にした上で、それぞれの役割分担を明らかにし、さらにそれに対してモニタリングしていく一連の作業を指します。
現在は、どのような企業であっても、小さなデータプライバシー室のような部署が用意されていると思います。そこでは企業規模に比べて少人数であり人的資源が限られていることが多いため、どうしてもテクノロジーを使って効率よく管理を行う必要があります。
また、プライバシーに関連する問題を全てテクノロジーで解決できるわけではありません。重要なことは今ある業務プロセスの中に、テクノロジーも含めたプライバシー保護の仕組みを埋め込んでいくことです。これは「プライバシーバイデザイン」と呼ばれています。
また、プライバシー影響評価(PIA)も必要です。これに関しては、第三者機関に実施を委託し、文書化して終わりにするのではなく、その後も継続的にモニタリングをフォローアップしていくことが重要です。
データの進化として今取り上げるべきものに、データアナリティクスとIoTがあります。企業がシフトしていくためには、この両方で成功してくことが欠かせないと思います。そして成功するためには変革が必要です。先ほどのプライバシーバイデザインは、さらに発展していくべきです。
IoTの世界では、インターネットに接続されたさまざまなモノから膨大なデータが生成されます。そのデータのセキュリティレベルが低かったら、そこに書き込まれていたパーソナルデータをコントロールできず、進歩とは程遠い状況になってしまいます。プライバシーバイデザインでは、プライバシー要件を満たすための基準が明確となり、製品やITシステムにおいてその基準への準拠が求められることは、誰の目から見ても明らかです。
開発者やマーケティングなど、それぞれの機能を果たす人たちがプライバシーバイデザインをしっかり理解できるようになると、最終的な製品の改善につながりますし、よりコンプライアントな製品を生み出すことができます。それは世間により受け入れられやすいものになるでしょうし、データ共有の意味でもコントロールが明確に行なわれている環境を用意することができるようになると思います。
――日本でGDPRの認知を広げ、企業がシフトしていくためには、企業の誰が旗を振るべきでしょうか。最近ではチーフ・データ・オフィサー(CDO)などを設置するケースもありますが、そういった経営層か、あるいは実際にデータを扱っている部署が率先するべきでしょうか。
ルイスターバーグ:非常にざっくりとした答えで恐縮ですが、基本的にはビジネス側の部署が変革に関与しないと意味がないと思います。コンプライアンスオフィサー、チーフ・データプロテクション・オフィサー、あるいはチーフ・データ・オフィサーの一人に責任を負わせるのは無理だろうと思います。
その理由は、そういう立場になってしまうと、GDPRを一つの論点として見てしまい、必ずしも望ましい効果を得られないと思うからです。実効性を持たせるには、まずはシニアマネジメントがきちんとコミットメントをした上で、それを組織全体に行き渡らせる必要があると思います。
CIOのように一人だけに決めるよりは、ビジネスサイドの人と、それを支援するもう一人といった二人以上の組み合わせが現実的だと思います。最終的には、GDPRに対するコンプライアンスもKPIのひとつになっていくでしょう。そのためシニアマネジメントのコミットメントと、ビジネスサイドからの関与が欠かせないと思います。それがないと、GDPRに対するコンプライアンスの他に、もうひとつの手順書ができてしまいます。
日本の企業や組織がGDPR準拠に向けてするべきこと
――日本の経済団体は、データ活用のためには規制緩和の必要があると主張している一方で、プライバシーの専門家は、きちんと利活用するためには規制が必要といっています。先ほどアメリカは処方的でEUがポリシーベースとおっしゃいましたが、その具体的な意味を教えてください。
ルイスターバーグ:それは、規制が悪いものなのかどうかという話です。もしその規制が非常に処方的なものであって、競争を阻害するようなものであったとしたら、それは悪いものだと思います。しかし、GDPRは競争を阻害するものではなく、ある意味では競争する基準を決めるグラウンドようなものであると考えられます。データをどうしようが構わないが、基本的なルールがあるのでそれは守りましょうというのがGDPRです。
データ保護の観点から、規制緩和が処方的なものでなくなるというのであれば、私はその規制緩和に同意します。しかし、その規制緩和が単純にルールを少なくするものであったとしたら、それには同意できません。最終的に世界はデータを共有する方向に進んでいくのは間違いありません。その世界において担保されるべきは、自分のデータに対するコントロールであり、それがどう使われるかということに対する透明性だといえます。
現在EUと日本の間では、日本の十分性認定においての議論が盛んに行なわれていると思います。日本が十分性認定を受けるためには、なんらかの変化が必要であり、その変化がなければフェアなグラウンドが担保されないからです。私は欧州と日本間でデータの共有ができるようになって欲しいので、そのために若干処方箋的な部分が増えても大丈夫ではないかと思います。
ポリシーベースと処方型の違いですが、実は処方型にも均質性をもたらすことができるという良い面があります。例えば、セキュリティのスタンダードについて均質であるということは決して悪いことではありません。アメリカでは、データ侵害があった場合の通報が義務付けられていますが、問題があったときに何をすべきか決められているのは良いことだと思います。
ポリシーベースは、目標を明らかにして、その手法については企業に一任する手法です。しかし、放置しておくと解釈の間違いが生じてしまいます。国ごとに解釈が違うと、グローバル企業にとっては悪夢です。ですから処方型だから悪い、ポリシー型だからいいと一概にいえるようなものでもないですね。
GDPRは、「ここは三つ星レストランですからネクタイをしましょう」というような処方的な枠組みを提示しながらも、ある程度の自由度を許容するようなものと考えるのがいいのではないかと思います。
――最後に、日本の現状について感じていることや提言があればお願いします。また、その状況に対してデロイトが取り組んでいることを教えてください。
北野氏:私たちは過剰投資はお勧めいたしません。これまでさまざまなお客様にお話しさせていただいたことですが、日本の企業はとにかく真面目で、100%を目指しがちです。とにかく定められたことを2018年5月25日までに全部終わらせないといけないと全力を挙げていらっしゃる。
もちろん、事業リスクが大きな企業はそれなりにお金をかける必要があるわけですが、「本当にそんな問題が起きますか?」というようなところまで対応しようとします。確かに法律の条文を読めば適用対象になるわけですが、万難を排してまで行うようなことではないように思います。それよりも優先度をつけて、メリハリのある対応をした方がいいでしょう。
例えば、ITシステムにはライフサイクルがあって、一定の期間でシステムの更新や改修、バージョンアップなどが行われます。データの破棄などもこういう機会に同時に行う方法があるわけです。それなら、期限内に全てが終わらなくても、システム更新のタイミングでこれらのデータが破棄されるという説明ができれば、当局から調査などがあったとしても大きな問題にはならないと考えられています。
また、GDPRの条文を表面的に読むと、個人データを破棄するように定められていたとしても、例えば製造業におけるリコール対応など、ある程度の顧客データは保持しておきたい場合があるでしょう。こういったケースでもデータが適切に管理できていて、保持している正当な理由が説明できれば、当局に許容される可能性が高いと思います。最近はそういうことをよく感じますね。
一方で、なるべく個人データではないことにしようという動きもあるようです。改正個人情報保護法の際にもありました。しかし、EUでは日本よりも個人データの適用範囲が広いので、そういう小手先で対応するのはかえってよろしくないでしょう。それよりはメリハリをつけた対応の方が良いと思います。
ルイスターバーグ:デロイトでは、GDPRを包括的な観点から眺め、さまざまなバックグラウンドを持った人たちが取り組んできたことが正しかったと信じています。これはデロイトにとってもチャレンジだったのですが、多くのクライアント、特に大手企業にはどうしても縦割りのサイロ構造が存在します。まずはここを変えていく必要があります。
これからは、コンプライアンスや法務畑の人たちは、リスクシナリオにも長けていく必要がありますし、ITの人たちも白か黒かだけでなく、グレーの部分があることを認識しなくてはなりません。また、マーケティング・営業といった部門においては、GDPRがデータの活用を止めるものではないこと、自らのプレイフィールドがどこにあって、どこに強みを発揮できるのかを明示しなくてはならないことを理解する必要があると思います。
そのためには、GDPRが単なるデータ保護ではなく、まさに情報ガバナンスであることを理解することが重要です。その理解があって初めて、企業はコンプライアントでありながらイノベーションの成果を十分に享受することができる。つまり成功を収めることができると思います。
――ありがとうございました。
