レポート

GDPRから考える、デジタル時代のプライバシー

KPMGコンサルティング株式会社
テクノロジーリスクサービス
パートナー 大洞 健治郎氏

デジタル時代の消費者意識とプライバシー保護

■デジタル時代の個人データの取扱いとは

 現在、世界中でプライバシー関連の規制が一斉に見直されている。2018年5月に欧州連合(EU)の一般データ保護規則(GDPR)が施行されたが、その1か月後には米国カリフォルニア州で消費者プライバシー法が成立(2020年1月施行)、またインドやブラジルでもGDPRと同様の内容の個人データ保護関連法案が議会に提出、可決されしている。

 なぜ今、このタイミングで規制が見直されているのか。それは、デジタル時代になってプライバシーに対する新たなリスクが顕在化し、その手当てが必要となってきたためである。

 では、従来との違いは何か。一例としては、消費者が意識していないところでデータが継続的に収集され、個々人のビッグデータとして海外のどこかのサーバーに蓄積されていく点や、それらのデータをもとに行われる人物像の推定(プロファイリング)は本当に正しいのか、さらには推定に使用されている自分のデータは正確なものなのかを本人が把握できない点が挙げられる。このような問題からも新たな規制が必要となってきている。

 GDPRの前身であるEU一般データ保護指令が採択された1995年当時、インターネット利用者は世界人口の約0.3%だったが、現在は約半数にまで伸びている。また、約9千万件だった携帯電話の回線契約数も2017年には50億件と世界人口比75%まで伸びており、デジタル化、インターネット化は著しい。

 デジタル化が進むほどプライバシー保護は重要となる。2015年に世界経済フォーラムが今後10年間に予想されるイノベーションのメリットデメリットを公表しているが、そこで挙げられたほとんどのイノベーション項目のデメリットとして「プライバシー侵害」が挙げられている。デジタル化やイノベーションが進めば進むほど、プライバシーの問題は避けて通れないものとなってきている。

 各国の法規制見直しが進む中、注意すべき点として国内と海外規制における個人情報の定義の違いが挙げられる。GDPRや中国サイバーセキュリティ法、米国児童オンラインプライバシー保護法(COPPA)など、IPアドレスやCookie、デバイスの型番等までを個人データとして定義している例は多いが、現状、日本ではこれらの項目が個人情報という意識が薄い。例えば、IPアドレスに関しては、IPv6になるとユニークIdentifierの組み込みが可能となり、異なるWi-Fi環境から接続してもトラック可能となるため、リスクがあると指摘されている。

 また、各国では様々な経緯から個人データをかなり幅広くとらえている。例えば、GDPRを作成した第29条作業部会は、従業員データに関するリスク評価の要請例として、

  • 情報漏えい防止対策として導入するDLP(メール送受信の自動チェック等を行うもの)ツールやMDM(モバイル機器のリモート制御サービス)の利用
  • 社用車のGPSトラッキング
  • 採用段階でのSNS等によるバックグラウンドチェック
  • 従業員に貸与するウェアラブルデバイスのデータ管理 等

を挙げている。今やデータはマーケティング部門だけでなく、企業のあらゆる部門で活用されているが、ここまで個人情報管理台帳に入れている日本企業は少ないと思われる。

 Cookieに関しては、本来の目的で訪れたWebサイトをきっかけに、それ以外のWebサイトの閲覧状況等も収集された後、事業者間で共有され、広告配信などに利用される仕組みが出来上がっている。本人が最初に訪問したWebサイトの利用目的に同意しているので法制度上は問題ないが、KPMGが実施した調査では個人情報の取扱いに関する同意文を確認している消費者は1割にも満たず、何をどこまで同意したのかがわからなく不安や懸念が高まっている。報道などでもプライバシー問題が取り上げられるようになり、社会の意識が向けられる中で企業には、法律だけでなく消費者に寄り添った対応が求められる。


■消費者プライバシーに関するグローバル意識調査

 KPMGが2017年に世界24か国で行った消費者のプライバシーに関する意識調査では、企業のデータ管理に対し、56%が強い懸念を抱いており、特に中国、インド、シンガポールでは企業への信頼度が低かった。また、業種別でみると公益企業に対しても高い懸念を持っており、消費者は、Cookieの設定やSNSの設定変更などで能動的に自らを守ろうとしている。しかし日本の回答者は、企業に個人データを渡したくないという回答が最も多かったにも関わらず、プライバシー保護のための行動をとっている割合が24か国の中で最も低く、具体策を理解していないという結果が出た。

 「消費者は何を不快に感じるのか」に関しては、半数以上が性別や教育水準、民族等通常機微と思われる個人データのネット公開には抵抗がないとする一方、ネットの検索履歴や所得、住所等本人到達性が高い情報や行動履歴の公開には抵抗が強く、さらに企業が自身の個人データを販売し利益を得ることに対しては、大きな不快感を抱いているという結果となった。

 また、調査では所得や教育水準による消費者感情の違いはほぼ見られなかったが、国や地域によって許容できるサービス等には差が見られた。日本で常識的に問題ないと思われるものが他国では不快感を生じさせる可能性があり、企業としては炎上リスクを考慮すればセンシティブな人・地域にレベルを合わせることが重要となる。

国や地域により消費者感情に差異はあるか?

 利便性とプライバシーに関しては、約3分の2の回答者が個人データを利用するスマホアプリやタブレットアプリを不快に感じており、ほとんどの国の回答者が、プライバシーに関する管理策の実施が、利便性よりも重要と考えている。

 一方で、プライバシーへの懸念を抱きつつも実際には個人データを渡すケースは多い。これは、デフォルトの設定を敢えて変えようとしない、メリットによりデメリットが隠されるといった行動バイアスによるもので、英国やオーストラリアの規制当局では、企業が行動バイアスを仕掛けることを監視する動きも出ている。このような状況の中では、自分が不快なことは行わない、が確かな指針となり得る。

許容できるものと、許容できないものの境界線

参考:「消費者プライバシーの境界線を越えないために:消費者プライバシーデータに関するグローバル意識調査」(外部サイト:KPMGコンサルティング)

■プライバシー保護のために必要なこと

 今後のビジネスでデータ活用は必須であり、適切なデータ取扱いを確立できれば、グローバル大手企業とも戦うことができる。ビッグデータが実際に活用される状況を踏まえ、これまでの対応から、データポータビリティの権利、プロファイリング拒否の権利、忘れられる権利、同意撤回の権利といった本人の権利保護のために、1)本人への必要十分な情報の提供、2)本人への選択手段の提供、3)問合せへの対応体制整備を行っていく必要がある。
 データのオーナーシップについてはいろいろな議論があるが、個人情報に関しては本人のコントロール権が重要になってくると考えられる。

施行半年、企業のGDPR対応における課題と対策

■基礎編:GDPR対応のために実施すべき事項

 GDPRには個人情報の保護とデータ流通促進の二つの面がある。データ流通という点から言えば、1995年に採択されたEU一般データ保護指令は、それに基づき各国での法整備を求めていたが、各国の規制にばらつきがあり、EU域内でのデータ流通の障壁となっていた。デジタル・シングル・マーケット(DSM)を実現させるためには、域内共通に適用されるルールが必要となり、指令から規則に格上げされ、EU加盟国すべてに強制力を持つ一般データ保護規則(GDPR)が整備された。

 欧州経済領域(EEA)域内各国に適用されるルールだが、以下のような場合には域外の企業にも適用される。

  • EEA在住者に商品やサービスを販売している。
  • EEA在住者の行動モニタリングを行っている。

 域外適用の枠組みがないと結果として法律が骨抜きになってしまうため、世界各国で域外適用の考え方は取り入れられている。

 KPMGでは、Webサイトで無料のGDPR対応簡易診断ツールを提供しており、以下のような質問に答えることで自社のGDPR対応状況を概観することができる(質問は全部で16項目)。
 参考:GDPR対応プロジェクト簡易診断(外部サイト:KPMG Webサイト)

  • 自社グループ内で収集、処理、保存されているEU在住者の個人データを網羅的に把握できているか。(顧客、従業員)
  • EU在住者の個人データ取得の際の同意取得にかかるルール手順を定め実施しているか。(日本の国内法より詳細な条件が設定されており、騙し打ちのような同意取得はいつでも無効とするとなっている。)
  • データ保護オフィサー(DPO)の設置要否を判定し、設置する場合に役割・責任を定めているか。(大規模にデータ主体の監視を行う場合やセンシティブな情報を大量に扱う場合はDPOの設置が必要となる。DPOの要件としては、法令遵守状況をモニタリングし指導できること、経営から独立していること、専門知識を有していること、監督機関からの要請に対応できること等が求められる。このほかにも各国で独自に追加要件を設定することができるため、留意する必要がある。)
  • データ保護影響評価(DPIA)を実施するルール・手順を定めているか。
  • 個人データのリスクレベルに応じたセキュリティ対策を講じているか。
  • 事故を認識してから72時間以内に監督機関へ報告できるように具体的な報告手順を定めているか。(ただし、データ主体にリスクを生じ得ないような状況であれば報告不要。)
  • EU在住者の個人データをEEA域外へ移転する場合のルール・手順を定め運用を開始しているか。(適切に移転先で管理が行われるよう契約がなされていればよい。)
  • グローバルで利用されるITシステムにおいて、意図しない国際移転リスクに関する評価・対策がなされているか。(アクセス権を持つ末端に至るまで同じ管理義務を課す必要があり、逆にアクセス不要な部分についてはアクセス遮断の措置を講じる。)

GDPR:個人データ保護対策の要求例

■応用編:顕在化した課題と解決のアプローチ

 多くの企業がGDPR施行前に「必要最低限の対応をしたい」としてデータマッピング、処理記録・域外移転等への対応(SCC締結)、管理体制・ルールの整備、システム上のデータ保護方針の策定を行ったが、そこで止まってしまっているのが現状で、継続的なマネジメントシステムの運用、ルールに従った取扱いの実施・データガバナンスまで行っている企業は少ない。顧客データベースから様々な部署がデータをコピーし独自に使用しているケースは多く見られるが、顧客からの削除依頼がコピーデータにまで反映されず各部門が引き続き顧客にアクセスしてしまえば、社会的に大きな批判を招く可能性が高い。また、セキュリティインシデントによりデータ漏えいが発生した場合に、EU在住者データの有無や数をすぐに把握できる体制にもなっていない等、企業においてマネジメントシステムが機能していないことが大きな課題として顕在化してきている。

 例えば、個人データの新たな取り扱いが発生する場合、それを事前に管理部門が把握し、必要な手当てをフィードバックし体制を整えてから実際の取り扱いを開始し、さらにそれをモニタリングするという一連のプロセスが予め整備されていないと、様々なところで新たな個人情報の取扱いが発生してもその影響評価を行うこともできないまま野放しとなり、重大な法令違反・事故を引き起こすリスクを排除できない。

 GDPRではプライバシーバイデザインのプロセス整備を求めており、個人データ取扱いの事前把握は必須となる。さらにGDPRではDPIAも求めている。「自社はセンシティブ情報を扱っていないのでDPIAは不要」としている企業を多く聞くが、GDPRのDPIA要件のうち2つ該当するものがあればDPIAを実施する必要がある。また、例え現在は該当するものがないとしても、近い将来取り扱う可能性は非常に高く、対応できる体制作りは必要である。

GDPRデータ保護影響評価要件

 実際のビジネスでは、法令で定義された個人データの管理さえ行っていれば問題ないとはならない。企業における管理要件は、リスクベースで考える必要がある。法令要件だけで考えていると、マルチステークホルダーでビジネスプロセスを構築しようという発想にはなかなか繋がらない。本質的に何が大切なのかを考えながら、対策を講じていく必要がある。

 世界各国の個人情報保護に関する法規制が次々と見直されていく中で、グループ全体の体制を整えるために、私たちは、まずグループ共通ポリシーを規定した上で、その下に各国固有の法令要件や拠点別に求められる対応(日本のマイナンバー対応やGDPRのEU在住者データの扱い)を細則として設け、さらにその下でガイドラインや手順書を整理することを提案している。さらに、細則の中で共通化できるものは可能な限りグループポリシーに上げていくことが、現場の混乱をなくすためには重要となる。また、グループ全体で体制を整備するには、本社がリーダーシップを発揮し、リスク評価のグループ統一基準の作成や各国法規制の把握、拠点間の調整を行う役割を担うことで効率化が図れる。

まとめ

 個人データの取扱いはますます高度化・複雑化し、各国の規制も強化が進む一方で、個人データの利活用は企業にとって死活的に重要となってくる。各国の法改正の都度パッチワーク的に対応を行うのではなく、抜本的にデジタル時代においてどのようなプライバシー保護策が必要なのか見直すことで、安心してデータ活用を推進できる管理体制が整備されると考える。

 GDPRはとかく巨額な罰則金が注目されがちだが、プライバシーの問題は単に罰則金で済む話ではなく、営業停止や企業ブランドの毀損、消費者からの賠償請求等、これまでの経営が一気に傾く可能性もある最重要経営リスクの1つである。さらに、今後のイノベーションとプライバシーはセットで考える必要があるので、管理体制整備の役割は非常に重要なものとなってくる。