「ユーザープライバシーファースト」を掲げる、Zホールディングス データプロテクションのキーマンに迫る
2022年5月23日、Zホールディングスは「データプロテクション基本方針」を公表しました。「日本・アジアから世界をリードするAIテックカンパニー」になることを目指すZホールディングスグループが、グループ全体でのデータの取り扱いにおける、プライバシーをはじめとしたユーザーの権利利益の保護を目的として掲げる基本的な方針です。
情報技術の発展によりユーザーの生活がさらに便利になる一方で、膨大なデータの取り扱いやAI技術の進化が、プライバシーの侵害などユーザーに不利益をもたらす可能性も指摘されています。こうした問題に、Zホールディングスグループがどのように向き合おうとしているのか。また、ヤフーやLINEをはじめとするグループ各社が、今後どのように実効性のある運用を行なっていくのか。データプロテクション基本方針策定に至るまでのプロセス、そしてそこに込められた想いについて、プロジェクトのキーパーソンに話を聞きました。
INDEX
PROFILE
- 中山 剛志(なかやま・たけし):Zホールディングス株式会社 執行役員 プライバシー&セキュリティ統括部長
- 2014年10月 LINE(株)へ入社。LINE(株)執行役員CPO/CISOとして、法務室、セキュリティ室、コンプライアンス・リスク管理室を統括。 2021年3月 Zホールディングス㈱プライバシー&セキュリティ統括部長 。2021年4月より現職。 米国ニューヨーク州、ワシントンDC登録弁護士、英国ウェールズ弁護士。
- 小柳 輝(こやなぎ・あきら):Zホールディングス株式会社 GDPO部長
- 2003年ヤフー株式会社入社。法務部、政策企画本部などを経て、2013年「官民人事交流制度」により経済産業省に入省。データ活用促進にかかる政策の立案・実施、個人情報保護法改正を見据えた政策の立案・実施などに携わる。 2015年ヤフーに戻り、2016年施行の改正個人情報保護法に向けたプライバシーポリシーの改定などを推進。 2020年5月にヤフーDPO就任。2020年10月より現職。
なぜ今、データプロテクション基本方針が必要なのか
――まずは、なぜ今このタイミングで「データプロテクション基本方針」の策定に至ったのか、背景から教えてください。
中山:遡ると、ZホールディングスがLINEと経営統合した際に、データの取り扱いに関して「わかりやすい説明」「国内法に基づく運用」「有識者による助言・評価」「プライバシー&セキュリティファースト」という、4つのポイントを打ち出しているんです。要は、Yahoo! JAPANとLINEのデータ連携にあたり、ユーザーの同意取得を前提に安全安心の確保に努めます、ということです。これを元に、さらに具体化した方針を打ち出すことは、最初から構想として持っていました。
本来であれば、統合の発表と同時に進めるべき事案でしたが、諸事情で遅れてしまい、実際に着手したのは昨夏のことです。まずはヤフーとLINEがこれまで蓄積してきたものを、Zホールディングスとしてどう活かしながら取り組んでいくか、小柳さんと意見を出し合うことから始めました。
小柳:ご存知のように、我々のようなテックカンパニーは、大量のデータを分析することでいち早くユーザーのニーズに応え、それによって急成長を果たしてきた経緯があります。同時に、ユーザー側のプライバシーへの意識が日増しに高まっている中で、これまでのプライバシーやセキュリティに関する問題などから、テックカンパニーのデータの取り扱いについて厳しい目を向けられているのもまた事実です。そのため我々としては、ユーザーのプライバシーを最優先に考えるという方針を、誰にでもわかるよう具体化する必要があったわけです。
――ヤフーとLINE、2つの巨大テックカンパニーを統合するだけでも、大変な苦労があったと推察します。策定プロセスにおける実際の苦労についてはいかがでしょう?
中山:細かい部分での手法ややり方に違いはあっても、「ユーザープライバシーファースト」という基本的な考え方については、もともと各社で共通した理念を持っていました。つまり、目指すところが一致しているため、各社とのすり合わせに注力した形です。
小柳:そこでまずは、データプロテクション小分科会というものを立ち上げて、グループ会社とのすり合わせを行ない、グループ全体としていかにデータプロテクションという命題と向き合うか、意見交換を行なったんですよね。
こうしてデジタルプラットフォーマーが大きな影響力を持つようになった昨今、データをどのように取り扱うのか、企業としてのスタンスが厳しく問われている現実があります。だからこそ、社会を含むステークホルダー全体から信頼してもらうために我々は何をすべきかを明確にしなければならず、この分野で先行する欧米の事例などに倣って議論を進めてきました。
中長期的な企業の成長に繋げるために、目先の利益よりも社会の倫理を優先する
――今回のデータプロテクション基本方針、特にポイントとなる点を挙げていただくとすると?
小柳:ユーザー側からすれば、サービスを利用するためにデータを渡さざるを得ないことがあると思います。だからこそ本来、データを利用して提供するサービスというのは、ユーザーの信頼を基礎にして提供するのが大前提となります。そこでZホールディングスグループがどのような方針に基づいてサービスを提供しているのかということを、しっかりとユーザーの皆様に伝えていく必要があると考えました。
その結果のひとつとして、今回のデータプロテクション基本方針では、企業としての利益よりも社会の倫理やユーザーの利益を優先するということを宣言しています。これは非常に特徴的なものであり、我々が「ユーザープライバシーファースト」を実現していくうえで最も重要だと考えている部分でもあります。
中山:そうですね、私もこの部分は大きなポイントだと思っています。「ユーザープライバシーファースト」と言っても、どこか曖昧な言葉であるがゆえに、企業でこれを掲げることに対して反対する人はまずいないでしょう。ただ,ユーザーに対するコミットメントもその程度で、ユーザーが期待する安心を与えることは難しいと思いました。そこをさらに掘り下げ、具体化することでたどり着いたのが、企業の利益よりも社会の倫理を優先するという考え方でした。
ただ、先行事例などをリサーチしてみると、そこまで突拍子もないスタンスというわけでもないものの、ここまで踏み込んで宣言していいのかという悩みもありました。それでも、この内容には外部有識者の皆様からも強く賛同いただきましたし、経営としても目先の利益より中長期的なユーザーや社会との信頼構築の方が重要だという判断がありました。
小柳:要するに、これは目線の高さをどこに置くかという話ですよね。長期的視野に立てば、社会の倫理に適うような形で事業を運営することが、結果として企業の利益に繋がるのは自明です。それをこうしてわざわざ明文化する必要があったのは、企業は、ユーザーから「ユーザーの利益よりも自らの利益を優先するかもしれない」という目を向けられていることを自覚すべきだからです。Zホールディングスグループは今回、そういった考え方をとらないことを明確に示すことで、ユーザーをはじめとするステークホルダーの皆様からの信頼を獲得しようとの姿勢を明らかにしました。また、基本方針として公表することで、この姿勢をグループ全体で再確認することにも繋がると考えました。
「Data Protection Officer」を設置する意義とは
――今回の基本方針策定に合わせて、NISTプライバシーフレームワークの導入が明言されています。その効果をどのように見込んでいますか。
中山:プライバシーやセキュリティというのは、どうしても現場の問題になってしまいがちですが、そうした問題を見える化して経営が所有できるようにすることが重要です。そこで、こうした米国国立標準技術研究所(NIST)が策定したフレームワークを取り入れることがひとつの物差しになり、自分たちのデータプロテクションの成熟度を測ることができます。我々が今どのような状態にあるのかを可視化し、ありたい姿とのギャップを埋めていくために、これは有用なツールだと思います。
小柳:その"物差し"にも、会社の内側から見るものと、外側から見るものの2つの観点がありますよね。ユーザーからの信頼を得ることが重要だと言っている以上、「我々はしっかりやっていますよ」という言葉だけではなく、その取り組みが客観的にどう評価できるのかを、ユーザーや社会にわかりやすくお見せする必要があると思います。これは透明性や説明責任の問題とも言えるでしょう。
――また、グループ各社に「Data Protection Officer」(以下、DPO)という、独立した立場でデータの利活用について監視する役職を置くことも発表されました。
中山:これには重大なプライバシーリスクについて、経営レベルでしっかりと判断できるようにしよう、という意味があります。やはり利益を追求する当事者の立場からは、どうしてもプライバシーリスクは見落としやすいところがあるので 、DPOという立場を通して、日々現場で起きている様々なプライバシーに関する判断を行おうということです。そして、現場で判断しにくい事案についてはそのつど経営まで上げて、客観的な立場から意見を伝え、すべての情報を共有した上で判断を仰ぐ、という仕組みですね。
ただ、ヤフーではDPOがうまく機能していても、これがそのままグループ各社に通用するわけではありません。ヤフーにはヤフーに、LINEはLINEに適したやり方があるはずなので、それぞれの状況に応じたDPOの体制を設けるべきです。このあたりは大きなチャレンジとして引き続き取り組んでいきたいと考えています。
小柳:難しいのは、DPOというのは企業組織の中において、かなり特殊な立場であることです。ある意味、ビジネスを度外視してでも、ユーザーを代表して客観的に意見を言う立場ですから。ユーザーの「こうして欲しい」ということや「これはして欲しくない」ということは、目に見えてそこにあるわけではありません。企業が事業活動を通して利益を追求していかなければならない中で、「それはユーザーの不利益になりかねないからやめましょう」と、意思決定にあたって異論を挟まなければならないのがDPOです。当然、ビジネスを考える現場とはぶつかることもあり得ますから、DPOを事業活動に組み込むためには相応の覚悟が必要だと思っています。
ユーザーのさらなる信頼を勝ち取るために
――それでも今回、こうしてDPOのポストを設けたことも、新たなチャレンジですね。
小柳:そうですね。ビジネスサイドは会社の利益を追求するのが役割ですが、当然それによってユーザーに不利益が生じることを望んでいるわけではありません。客観的・専門的な立場からユーザーにどういった不利益が生じうるのか、また、その不利益の発生はユーザーに求めてよいことなのかという点について、ビジネスサイドにもしっかり説明をして理解を得ていくことが非常に重要です。
中山:単一企業ではなく、これだけ多様で独立したIT企業から成り立つグループのプライバシー統制に取り組むのは、非常に大きなチャレンジです。これまでに例がなく、私たちにとっても初めてのことなので、必ずしも成功するとはかぎりません。しかし今回、データプロテクション基本方針策定の取り組みを通して、ヤフーやLINEなど主要グループ各社のトップに、「やってみよう」「もし失敗しても、その知見をさらなる改善に繋げよう」と背中を押してくれるムードがあることを強く感じています。おかげで気持ちが楽になった部分もありますし、これがZホールディングスのカルチャーなのかと、あらためて実感しています。
今後、グループのシナジーをさらに強めていくためにも、これはやりがいのあるチャレンジですね。
小柳:そうですね、私も同感です。DPOが掛け声だけに終わってしまわないよう、Zホールディングスとして、この役割がいかに重要であるか、引き続き理解を得ていかなければなりません。時代と共に、企業がユーザーや社会からかけられる期待が変化する中で、そこで我々がプライバシーの領域に関して、自社の考えや事業活動に関する基本的な考え方をこうして宣言できたのは、意義のあることだと思います。これをしっかり運用していくことで、社会から「Zホールディングスと聞くだけで安心できるね」と言っていただけるようになれば理想的です。今回の基本方針に恥じない形で、Zホールディングス全体が事業を運営できるよう、グループを挙げて取り組んでいければと思っています。
取材日:2022年6月8日 公開日:2022年6月22日
記事中の所属・肩書きなどは取材日時点のものです。
執筆:友清哲 編集:やじろべえ