2022年4月の改正個人情報保護法の施行なども控え、企業にとってはデータ管理が新たなリスクになりつつある。そこで法律を学び、守りを強化しようとするリーダーもいるだろう。それに対してデータ利活用とサイバーセキュリティーに精通するTMI総合法律事務所の寺門峻佑弁護士は、「むしろ、攻めに転じるために法律を活用すべき」と語る。それにより、日本企業がグローバルに競争優位性を発揮することもできるという。

自社のデータ保護の体制を強化するためには

TMI総合法律事務所　パートナー・
TMIプライバシー＆セキュリティコンサルティング株式会社取締役　寺門峻佑弁護士

欧州の一般データ保護規則（GDPR）、国内の改正個人情報保護法などに対応するためには、どこから始めればいいのだろうか。TMI総合法律事務所の寺門峻佑弁護士氏は「まず自社の状況を知ることが大切」と話す。

「自社がどのようなデータを使っているのか、データ保護・プライバシーの観点はどこまでできているのか、現状を把握しないことには、どこを直せばいいのか、どのレベル感で対応すればいいのか分かりません。そのためには、すべての企業が自社の現状のアセスメントを行うべきだと思います」

寺門氏が経営に参画するTMIプライバシー＆セキュリティコンサルティングは、その名の通り、TMI総合法律事務所が提供するリーガルサービスとともに、法的・技術的知見を融合することで、顧客のDX（デジタルトランスフォーメーション）を支援し、データ活用とセキュリティの多様なニーズに機動的に応えている。

TMIプライバシー＆セキュリティコンサルティング株式会社 HP

「これまでは法務部を通じて弁護士に依頼する段階で、はじめて本格的にデータ保護・プライバシーの観点を検討する企業がほとんどでした。しかし、本当はそのもっと手前の段階、最前線でデータを利活用している人たちこそが、データ保護・プライバシーの観点を持って対応していくべきです」

具体的に、自社のデータ保護の体制を強化するためにはどのような手順で行えばいいのだろうか。

「私たちは、まずは現状把握から始めます。どんなデータを使っているか、それをどういう媒体からどのような手段で集めているかをつぶさに確認します。そうすると、欧州からデータを取っているならGDPRへの対応も検討しなければならない、といったように適用法令も明確になり、また、データの収集にあたりユーザーの同意を取得しているのか、といった現状が明らかになります。その上で、法令と自社の体制との間にギャップ部分があるのか比較検討する『Fit & Gap』のプロセスを行います。そうして洗い出されたギャップ部分について、どう対応すべきかを検討し、実行していきます」

「Cookie」の活用などはデジタルマーケティング特有のものだけに、これらのプロセスでITソリューションの利用を考える企業もあるだろう。それに対して寺門氏は「ツールは選択肢の一つであって、課題解決にはいろいろなやり方があります。システム実装が必要にならないケースも少なくありません。少なくとも改正個人情報保護法に関しては、オペレーションをきっちりと会社の中でやり直すことで、対応が可能になるケースの方が多いといえます」と話す。

データの利活用を急ぎ、知らないうちに「法」を犯していた？

DX推進のためにデータの利活用を急ぐあまりに、知らず知らずのうちに法に抵触していた、というケースもあり得るという。

「そもそもデータの利活用をしようと思った時に、法令や規制への準備ができてないことは多々あります。そのため、知らないうちに違法・違反の状態になっていたということも多いのです。特に注意すべきは、外部委託先や業務提携先などとのデータのやりとりです。個人情報保護法には、個人データのやり取りに関して、委託提供や共同利用、第三者提供というカテゴリー分けがあり、本人同意の要否や取っておくべき手当てが異なりますが、どのカテゴリーに当たるのかを判断するのは実は容易ではなく、誤解しているケースも多いです。さらに外国のベンダーを使うケースもあって、プレーヤーがたくさんいますが、それぞれのケースで考慮すべきことがあります。」

データが集まれば何をしてもいいというわけではない。例えば、最近のデジタルマーケティングでは、データエクスチェンジやクロスデバイスで行動履歴を追うことが一般的に行われている。データを渡している企業側、受け取っている企業側、それぞれにおいて、それが個人データであるのに、あたかも自分たちが自由に扱えるデータとしてマーケティングに使っているケースがあるが、「そうした取り組みは個人データの外販と一緒です。となれば、ユーザーの同意を得ておかなければなりません。その辺りの基本的な知識が欠けている企業がまだ散見されます」。

最近では、アジャイル開発で「走りながら」プロジェクトを進めていくことも少なくない。本来は、データを集め始める段階や新しいサービスを始める段階でプライバシーポリシーなどに、データの利活用の目的やデータの提供先などをきちんと書き込んで同意を取るということをしなければならないが、まずプランを進めてしまう。

「その結果、データを集めて、さあ使うぞ、といった段階で法務部から『プライバシーポリシーに書かれていないので、それはできません』と言われて困っているという相談が本当に多いのです」

データ保護に関しては、アジャイル開発は向いていないのだろうか。その問いに対して寺門氏はそれを否定し、次のように語る。

「誤解してほしくないのは、そのようなリスクがあるからといって保守的になる必要はないということです。競争優位性を高めるためには戦略とともにデータを集めることが大切です。それは走りながらやっていいのです。ただし、集めながら、今すぐにでも、本人の同意を取りにいった方がいいのか、個人データにならないデータから収集を始めた方がいいのかといったことを常に考えることが大事です」

Privacy by Design / Security by Design――法律の観点においても競争優位性を発揮するための本質的な考え方は「ユーザー目線」であること

「どうしても法律というと守りの観点で考えがちですが、今は、攻めるために法律が必要なのです。そこで私は、法律を味方につけて攻めるためのアドバイスに力を入れています。守るだけでは、ビジネスの成長にはつながりません」

現場の最前線でデータ利活用をやろうとしているのは、売り上げや収益を拡大するためだ。その前提に立てば、攻めのためにデータを使うことを想定して先に同意を取っておくことや契約その他の手当てを検討したり、データとデータの突合（とつごう）・交換・分析などのビジョンを描きながら施策を打っておくべきなのだ。寺門氏は、そのためには企業の法務部門についても、守りのストッパーではなく、攻めのパートナーとして協働できる体制をつくるべきだと指摘する。

「私はよく共通言語を持つようにアドバイスしています。法務部門やコンプライアンス部門の人たちには、自社のビジネスにおけるデータ利活用の中身についてもっと勉強してほしい。一方、最前線の人たちは、『これは法的にどうなのか？』と気付くアンテナを張り、そうした疑問が湧いたときに、すぐに法務部門に相談をしたり、プロジェクトに巻き込んだりできる関係を構築してほしいですね」

最近ではプライバシー・バイ・デザイン（Privacy by Design）や、セキュリティー・バイ・デザイン(Security by Design )といったように、事業の立案などに当たり、あらかじめプライバシーやセキュリティーの観点を取り入れながら設計していく考え方がある。

「GDPRには、プライバシー・バイ・デザインやセキュリティー・バイ・デザインの考え方が条文上も入っています。法令遵守にとどまらず、ユーザーフレンドリーな設計をするのが潮流といえます」

このような面も含めて、日本企業がデータ保護に関して競争力を持つためにはどのようなことが大事なのだろうか。

「今自分たちの頭の中にあるプランが実現できるような形でデータの収集ができているか、サービスの設計ができているかがポイントになります。そこをいち早くやることが、データの世界での競争優位につながります」

社運を賭けたサービスであれば、自分たちがやりたいことが今のままで実現できるのか、ここのまま進めるとリスクがあるのではないかという視点を持って、初期の段階で精査することが大切となる。そこでの法律の知識は攻めるための武器になる。

「もう一つ大切なのが『権利』です。集めているデータの権利がどこにあるのかが、意外と見落とされがちです。データを使ってAIに機械学習させて独自のアルゴリズムをつくったつもりが、データの提供者との契約上の取り決めにより、それが販売できないという例がいくつか起こっています」

日本企業は海外企業に比べ、DXでは後れを取っているが、データ活用で競争優位性を獲得することはできるのだろうか。

「大いに可能性はあります。日本企業は実行に移すまでは時間がかかりますが、ひとたび動き出すと信頼性の高いサービスをきちんと提供できます。もちろん、データ活用においてGAFAなどのプラットフォーマーには競争優位性がありますが、日本企業が突出した強みを発揮できる『局所戦』とも言うべき領域はたくさんあります。『この分野でのデータ利活用はやっぱり日本だ』というようなものを見付けていくことで、十分プレゼンスを発揮できるでしょう」