顧客の個人情報はどう扱うべき? DX時代にプライバシーやデータコンプライアンスへの理解が深まらない企業が直面する2つの課題
株式会社電通デジタル
ビジネストランスフォーメーション部門サービスマーケティング事業部
グループマネージャー
今井紫森・濱田松本法律事務所
パートナー弁護士
ニューヨーク州弁護士
田中浩之トレジャーデータ株式会社
Director of Business Development
山森康平
「個人情報」の取り扱いが、改めて注目されています。顧客接点のデジタル化が進み、個人情報をさまざまなタッチポイントで取得できるようになったためです。
今や、GDPR(※1)やCCPA(※2)など、世界的に個人情報保護規則の潮流が強まっています。日本でも個人情報保護法の改正(※3)があり、「顧客の個人情報をどう扱うか」について、企業のさまざまな部門が課題を抱えています。
本記事では、DX推進の上で必須である個人情報の取り扱いと、それに関連したプロジェクトを進める上での難しさ、そして解決の糸口を、実際にクライアントの課題に相対する3人の鼎談としてお送りします。
法務的な観点から弁護士の田中浩之氏、顧客データ基盤を提供するトレジャーデータの山森康平氏、そしてデジタルマーケティング全般のソリューションを提供する電通デジタルの今井紫氏です。
課題1:部門間の「個人情報に対する意識の違い」から意思決定が遅くなる
今井この鼎談では、それぞれのクライアントから日々寄せられる個人情報関連の質問や課題を共有し、解決のヒントを導き出せればと思います。
電通および電通デジタルの場合、デジタルマーケティングを端緒とし、企業のさまざまな部署、部門を横断して個人情報に関してのお悩みを伺いつつ、戦略立案から戦術レベルまでをカバーしています。最近では特に、個人情報周りでの関係者間の調整に難しさを感じます。
山森私たちが提供する「Treasure Data CDP(※4)」は、顧客情報を含めたあらゆるデータをマネジメントできるデータ基盤ですので、「個人情報の取り扱い」はまさに最重要項目と考えています。その前提で最近感じるのは、クライアントがCDPのようなデータ活用サービスを検討・導入するのに、どうしても時間がかかりがちだという課題です。
今井「Treasure Data CDP」自体はクラウドのサービスですから、オンプレミス(自社設備と自社システム)でデータ基盤を構築するのに比べれば、導入に際しての工数は圧倒的に少ないはずですよね。どこに時間がかかるのでしょうか?
山森個人情報に関与する部署・部門が複数にまたがっているため、まず導入の意思決定プロセスに非常に時間がかかるのです。
今井なるほど、そこは電通デジタルも同様の課題を感じています。以前は企業1社の中で調整ができていたのが、近年はグループ企業間や、販社を含めた広い企業体も包括する全体で、データの共有やプライバシーポリシーの統一をしたいという要望もいただくようになりました。そうしたケースでは、実際に顧客データを保有している現場と本社の間に、意識の乖離や物理的な距離があって、調整が難しい。
また、デジタルマーケティングの担当者は法務の専門家ではないので、プライバシーの重要性を理解していただくまでに数か月かかってしまうこともあります。
山森日本でも個人情報保護法の改正がありましたし、グループがグローバルに展開している場合は、さらに各国のプライバシー関連の法制度や判例なども把握しないといけませんよね。
さて、田中先生は個人情報と知的財産、そしてITの分野に精通しておられ、国内、海外のデータ保護法案件を手がけておられます。私や今井さんもよく相談させていただいていますが、法律家として、企業の部門間調整などについてどうお感じですか?
田中私は弁護士として、企業の法務部門担当者との接点が多いのですが、法務とそれ以外の部門の温度差はよく感じます。現場と経営層、法務、そしてグローバルといった多岐に渡る部門の調整は非常に難しく、プロジェクトマネジメントに時間がかかるのもよく分かります。
一方で、経営層の意思で進めようとしている企業はスピード感がありますね。データ活用とプライバシー保護の重要性をメンバーが理解しているプロジェクトは、どんなビジネスであれ、決断が速い印象です。
今井同感です。プライバシー関連が絡むプロジェクトは、マーケティングの現場からスタートするというよりも、最初に法務部門やコンプライアンス、そして経営陣といった関係各所が重要性を共有することで、初めてスタートラインに立つように思います。
課題2:プライバシーを専門にする人材の不足
山森今、クライアントとお話すると、個人情報やプライバシーの取り扱いに対して不安に思われている方が増えていますね。巨額の制裁金を課すGDPRの執行事例が実際に増えている影響が大きいと思います。そこで改めて社内の運用を見直したときに、改正個人情報保護法に沿って考え直さなければならない点が多数あった、ということもあるでしょう。
今井ただ、とにかくプライバシー関連は動きが非常に激しく、一企業の担当者がグローバルにおける法規制をリアルタイムで把握していくのは、現実的には難しいです。GDPRでも「明文を現実に落とし込むことが、システム上できない」という状況が各企業にあり、「法の解釈」が一層重要になってきています。法律と実務について、田中先生はどうお考えですか?
田中こればかりは日々勉強していくほかないのですが(笑)、私自身はEUやアメリカの他、世界各国の法規制について常に最新の情報を得て、クライアントの実務を踏まえたアドバイスができるように努めています。
具体的な案件に取り組む中で、海外の弁護士と協同して知見が蓄積していく面もありますし、ここ数年、グローバルのデータ保護法に関する企業向けセミナーを定期的にやらせてもらっていますので、その準備のなかでもアップデートをするようにしています。
山森最近ではCRM担当者やマーケティング担当者も、法律をある程度勉強しないと実務が成り立たなくなってきていると感じます。私はよくお客様に「ビジネスが総合格闘技化していますよ」と伝えています(笑)。寝技と打撃ではないですが、静的な構造で成りたっている既存システムや法務部門と、動的に変化する要件を検討していきたいマーケティング部門やDX部門が協力しないと、実情に追いつけなくなっている。部門間で、用語すら噛み合わないケースも実際に起きていますよね。
それと、プライバシー関連のプロジェクトが進まない要因の1つには、プライバシーやデータコンプライアンスの専門人材が日本企業にはほとんどいない、ということがあります。
今井日本企業における情報セキュリティー担当者は、「インシデントが起きたときの対策」がメイン業務で、プライバシーは管轄外であることが多いのではないでしょうか。海外ではプライバシー専門の役職者がいる場合もありますが、田中先生から見て、日本企業でもそういった動きはありますか?
田中ある程度の規模の企業では、いわゆるCPO(Chief Privacy Officer:プライバシー担当責任者)のような役職を設置する動きはあると思います。担当領域としては、事業側のニーズを踏まえて、プライバシーを尊重しながらビジネスにデータを利活用する、いわば“アクセル”側の役職ですね。
他方でGDPRが定めるDPO(Data Protection Officer、データ保護責任者)のような、事業や企業が法律に則った活動を行っているか監視する、“ブレーキ”側の役職もあります。
データ活用についてのアクセル側とブレーキ側、双方の責任者・担当者がいると、バランスは良いでしょう。ただし、両方が役職としてそろってしっかりワークしている企業は、正直、日本ではまだ多くないのではないでしょうか。
※後編に続く
トレジャーデータと電通・電通デジタルが協業し提供するソリューションについて、興味をお持ちの方は、お気軽にお問い合わせください。
この記事のオリジナル版はこちら
企業がDX時代に直面する「個人情報の取り扱い」、課題とヒント(前編)2021/03/31