今回は、5月1日にヤフーに新しく設置された「DPO(データ保護責任者)」の役割や必要なスキルについてご説明します。また、DPOに就任した小柳に、今後実現したいことなども聞きました。
DPO データ保護責任者(Data Protection Officer)とは?
DPOは、自社や自社グループ内における個人(ユーザー)データのプライバシーを保護する責任者のことです。
EU(欧州連合)域内の個人データを保護するための法律として「GDPR(一般データ保護規則:General Data Protection Regulation)」(※1)が2018年に施行されたことに伴い、EUにある多くの企業で設置・導入されており、主に個人データ保護の戦略とその実行の監督を行います。
※1 2018年に施行された、ウェブ上の個人データ(IPアドレスやCookieなどを含む)に関する法律。
GDPRにおける個人データの扱い
・IPアドレスやCookieなども個人データとされている
・企業が個人データを取得する場合には、自らの身元や連絡先、処理の目的、第三者提供の有無、保管期間などについて明記し、ユーザーの同意を取得するなどの法令で定められた要件を満たす必要がある
日本でも、主にEU向けに商品やサービスを提供している企業(メーカー、航空会社、インターネット企業など)でDPOが設置されていますが、国内では専門の人材がまだかなり少ないのが実情です。
DPOには高い専門性が必要とされ、個人情報保護法やプライバシーに関する実務経験、法律の知識などが必要とされます。また、組織内におけるデータの取り扱いに関する知識、社内システムに関する知識、監督機関などとの調整能力も求められます。
DPOの役割 CISOやCDO、CPOとの違いは?
DPO(Data Protection Officer):
プライバシーを始めとした、ユーザーの個人情報保護に関する取り組みを行う。社内の事業部門や経営陣との利害関係がなく、独立した客観的な立場からデータ保護について助言・監視、評価を行う
CISO(Chief Information Security Officer):
システム・エンジニアリング的に、サイバー攻撃からデータを守る
CDO(Chief Data Officer):
データ活用の推進役として、ビジネスの開発、活用に向けたシステム整備やデータガバナンスなどを担う
CPO(Chief Privacy Officer):
個人情報保護法で規定された個人情報の安全管理に対して責任を負う
2020年5月1日より、ヤフーはDPOを設置しました。データプライバシーに関する社会情勢の変化や、データソリューション事業(※2)の開始を踏まえ、今後さらなるデータ活用を推進していくためにも、DPOの設置が不可欠と考えたことが背景です。
※2 DS(データソリューション)事業
検索やメディア・ECなどの事業を通じて蓄積してきたヤフー独自のビッグデータを活用し、企業や自治体などの事業活動を支援するサービス。
DPOに就任した小柳に、ヤフーのDPOの役割、プライバシーの業務に関わる上で大切にしていること、今後実現したいことを聞きました。
ヤフーのDPOの役割
法務部、政策企画本部などを経て、2013年「官民人事交流制度」により経済産業省に入省。データ活用促進にかかる政策、個人情報保護法改正を見据えた政策の立案・実施などに携わる。2015年にヤフーに戻り、2016年施行の改正個人情報保護法に向けたプライバシーポリシーの改定などを推進。
ヤフーのDPOは、今後データを活用していくに当たって、データ保護の意識を組織の中にさらに浸透させることを目的として設置したもので、主に2つの役割があると考えています。
1)プライバシーに関わるヤフーの取り組みについて、中立的、第三者的な立場から評価、助言する
プライバシー侵害のリスクを低減するため、サービスの設計・仕様検討段階で、個人情報・プライバシー保護について検討し実践する「プライバシー・バイ・デザイン」の取り組みを、より進めていきたいと考えています。
また、ユーザーのみなさまの代理人として、たとえば「取得したデータをどのように使うのか、もっと説明してほしい」などの具体的な提案を会社に対して行っていきます。特に、プライバシー性が比較的高い、位置情報や検索履歴などのデータを適切に取り扱っているかについてもしっかり確認していきます。
ヤフーに安心してデータを預けていただくためにも、みなさまからお預かりしているデータをどのように取り扱っているかも含めて、さらに透明性の向上を図っていきたいと考えています。
2)個人情報法保護委員会、総務省など、監督官庁とやりとりを行う際の窓口
DPOは、監督官庁との窓口の役割も果たします。具体的には、監督官庁が行う調査や執行に協力する役割を果たすほか、万が一、個人情報の漏えいなどの事故が起きた際は、その報告も担当します。
また、今後は、データを持つ企業と政府との関係も重要になってきます。
ヤフーは2020年4月13日、厚生労働省と「新型コロナウイルス感染症のクラスター対策に資する情報提供に関する協定」を締結しました。これは、厚生労働省がクラスター(感染者集団)対策を迅速かつ効果的に実施することで、新型コロナウイルス感染症の感染拡大を防止する取り組みを進めることを目的としたものです。
取り組みに賛同いただいたユーザーのみなさまの検索・購買履歴と位置情報を組み合わせて分析した統計データをクラスター発見に役立ていただくため、協力させていただきました。
今回、分析結果を提供したことで、もしユーザーのみなさまに不利益が生じてしまった場合はすぐに提供をやめ削除していただく枠組みもしっかり作る必要がありました。そのため、アドバイザリーボード(※3)の先生方にもご意見をいただきながら協定文を作成し、その全文を公開(※4)しています。
また、取り組みの詳細は事前に対象となるユーザーに向けてお伝えし、同意いただいたユーザーのデータのみを分析の対象としました。
※3 Yahoo! JAPANのプライバシーに関する取り組みが、ユーザーのみなさまや社会から見て適切かどうかを第三者の視点で確認いただくため、さまざまな分野の有識者からなるアドバイザリーボードを設置しています。
プライバシーに関するアドバイザリーボード
※4 協定文の全文はこちらのプレスリリースからご覧いただけます。
新型コロナウイルス感染症のクラスター対策に資する情報提供に関する協定を厚生労働省と締結(プレスリリース)
データは、これまで解決することのできなかった社会課題を解決する原動力となります。しかし、使い方を間違えるとユーザーにご迷惑をおかけする可能性もあります。
引き続き、政府とヤフーが適切な関係を維持しながら社会課題を解決していけるよう、DPOとしての役割を果たしていきます。
プライバシーの業務に関わる上で大切にしていること
プライバシーを考えることは、つきつめていくと社会の課題解決につながっていくと思っています。私も含め、会社を一歩出ればひとりの生活者であり消費者です。そのため、プライバシーについては自分ごととして考えることが重要です。
その観点から言うと、プライバシーは、「嫌か嫌じゃないか」「受け入れられるか受け入れられないか」という問題だと考えています。そうであれば、
・多様な価値観について敏感であること
・それらについて適切に配慮すること
・配慮した結果の自分の行動や考えを客観的に評価できること
この3つを満たすことができればクリアできるのではないでしょうか。
ただ、これらは要素としては単純ですが、実際にできるのかと言われると、極めて難しいのだと思います。刻々と移り変わる状況の中で、私たちの社会が何を受け入れ、何を受け入れないのか、社会との対話の中で見いだしていくこと、そして「本当にこれでいいのだろうか」と常に自らの考えを点検し補正していくことが、とても大切だと思います。
「データの時代」の「データの会社」におけるDPOの真の役割は、このような考え方が社内の隅々に浸透し、最終的にはDPOの存在が不要になるように社内を変えていくことだと考えています。
DPOとしての今後の展望
ヤフーの「データプライバシーの番人」として、社内外に向けて以下のようにはたらきかけていきたいと考えています。
1)社外に向けて:データ保護のお手本に
今後、国内企業全体でデータ保護の取り組みをより強化していくことで、ユーザーのみなさまが企業に安心してデータを預けられるようになり、より良い社会にできると考えています。
また、私がDPOとしてユーザーのみなさまとヤフーのサービスの間に立っているのと同じように、今後はユーザーのみなさまと国の間にヤフーをはじめとした各企業が入り、みなさまの大事な情報を守るためにはたらきかけたり交渉したりする役割を果たしていければと考えています。
先ほどお話した、「新型コロナウイルス感染症のクラスター対策に資する情報提供に関する協定」の取り組みをはじめとして、今後もヤフーがデータ保護の模範企業の一社となれるよう、貢献していきます。
2)社内に向けて:全社員が自律的にプライバシーを考えていけるように
ヤフーがこれからどんな価値をユーザーのみなさまに提供していくのか、そのためにどういったデータをどのような形で使うのか、より理解しやすいような形でユーザーのみなさまにお伝えしていく必要があります。
そのためにはまず、前提としてプライバシーを守らなければいけないということを全社員が認識しながら業務を行っていくよう、はたらきかけていきます。たとえば「このデータを使うのであればこのような点に配慮をすべき」というようなユーザーのみなさまの立場に立った客観的・中立的な意見も伝えていきます。
また、サービスの提供や企画、システム設計の各場面において、全社員がより自律的にプライバシーをしっかり考えていけるようにしていきたいです。いったん立ち止まり「やろうとしていることは社会に受け入れられるのだろうか?」「ユーザー(の個人情報)を守れるのだろうか?」と客観的に見直す習慣が、今後さらに社内全体に広がるとよいと思っています。
