Colllabogate　共同創業者 CMO　栗原　宏平氏

• 印刷用PDF
• 当日の質疑応答まとめ（PDF）
• 当日の講演資料（PDF)

これまで、データプライバシーの話と言うと、どうしても法律または技術が中心に議論されてきたのではないかと思います。しかし、現在プライバシー関連の法律は大きく変化しており、さらにその変化の中で新たなビジネスチャンスも生まれてきているので、今日はビジネス視点から新たな取り組み等をご紹介したいと思います。

私自身は、Collabogateというスタートアップの経営と併せて、データプライバシーに関して世界各国の専門家へのインタビューや、プライバシー検討コミュニティの形成等に取り組んでいます。その活動やFacebook、Googleといったデジタルプラットフォーマーの動向を通じて、世界では、ビジネスにおけるデータプライバシーへの対応が、法律順守のような守りから、次のデータインフラを考える攻めの段階に移行していることを強く感じています。

プライバシーに関しては、1890年代に「The Right to be let alone=放っておいてもらう権利」が提唱されました。そして100年後の今、インターネット・SNSの時代に再びプライバシーが重要とされるタイミングが来ています。GDPR施行前のエコノミスト誌で、「データは「石油」ではなく、データそのものである」という記事がありました。ちょうどGAFAと呼ばれるデータプラットフォーマーがデータを収集しビジネスにつなげている時期でしたが、記事では「ただデータを集めるのではなく、データ自体に目を向けていかないとビジネスモデルは成立しない」と指摘していました。

法律面では、このデータインフラへの対応が加速しています。GDPRしかり、米国カリフォルニア州の消費者プライバシー法（CCPA）しかり、企業に対し、これまでは努力義務的であった個人のデータプライバシー保護を課す動きとなっていて、これは今後ビジネスを進めていく上での大きな転換点と捉えることができます。つまり、データプライバシーは企業データ戦略に不可欠なものになるということです。

すでにFacebookやGoogleが急速に自らのビジネスモデルをデータプライバシーに配慮したモデルにシフトしていく中で、彼らのデータに依存してビジネスを行っている各企業もまた、データ戦略策定ではデータプライバシーの考慮が不可避になっていると思います。

FacebookやGoogleがデータプライバシー重視にシフトしている理由は、公共的な視点からも考えてみる必要があります。カナダのトロントで進めていたスマートシティプロジェクトは、Googleの関連会社Slidewalk Labsを中心に進められてきましたが、今年5月に同社の撤退が発表されました。もちろん、収益性や持続可能性の問題もありましたが、データプライバシーと言う点で住民の理解を求めるところが大きなネックとなりました。

本プロジェクトには、プライバシー・バイ・デザインを提唱したアン・カブキアン博士がアドバイザーとして参画していたのですが、2018年にスマートシティでのデータ収集に関する住民の同意およびその後のフィードバックの設計のあり方に対して懸念を表明し辞任しています。今後、ネットビジネスだけでなく、より生活密着型のビジネスや公的ビジネスを成功させていく上でも、ビジネスにおけるデータプライバシーに対する考え方を変える重要なターニングポイントだと思います。

米国では、2001年9月11日の同時多発テロをきっかけに制定された愛国者法により、国の機関による個人のやりとりへの介入が大幅に緩和され、個人のプライバシー権が制限されたことが、現在のコロナ禍の中で記事に引き合いとして出されています。米国ではこのような背景からデータプライバシーに対する議論が国、民間を巻き込んで現在活発に行われています。

「一度失ったプライバシーは取り戻せない」という観点は非常に重要だと考えています。オンライン上で行っている自分たちの活動に関する情報を、勝手に捕捉する企業や国からどのように取り戻すのか、という点はデータプライバシーを考える上で１つの大きなテーマになっていて、それが「データは誰のものか」という議論やMy Dataの取り組みにつながっています。

現在、世界各国で様々な感染者追跡アプリが検討されています。中国や韓国のように中央集権的に個人データを取得するものももちろんありますが、日本の厚生労働省も採用しているApple・Google共同開発のものなどはかなりデータプライバシーに配慮された形になっていると思います。

アプリ開発に関しては、アプリそのものよりもプロジェクトの意思決定および開発過程に注目して欲しいと思います。Pan-Europeanで検討していたPEPP-PTにしてもMITが中心となったPACTにしても、プロジェクトに多くの大学・民間企業の専門家、個人が従来の枠組みを超えて参加している点です。これが今後のトレンドになるのではないかと考えています。

その中でも象徴的なのが、AppleとGoogleが共同開発の体制を取ったことです。両社は訴訟問題を抱え関係が良いとは言えない時期もありましたが、データプライバシーという共通の課題に対して、連携したことは大きなインパクトがあったと思います。実際に、データプライバシーを一緒に考えることは、枠を超えた新たなコラボレーションを生む１つのきっかけとなっていて、現在、新たな関係が続々と誕生しています。

今やオンラインカンファレンス、オンラインミーティング等のインフラとなっているZoomは、利用者の急増に合わせてプライバシーやセキュリティの問題でかなりバッシングを浴びましたが、そこから外部の有識者も招き、問題点の改善を図る等の姿勢を見せ、ユーザー数は右肩上がりで伸び続けています。

経緯としては、まず、Facebook経由でのログインでなくてもデータがFacebookにわたっていた点をメディアに指摘され、そこからセキュリティ問題などに派生していきました。その際、CEOが自分たちはユーザー中心に事業を行っているというメッセージを発信し、ユーザーを中心にしたコミュニケーションを取ることで、うまくビジネス転換を図ることに成功したと考えています。プライバシーの話になるとどうしても対立軸で語られることが多いのですが、真摯に向き合ってひとつずつ信頼を積み重ねていくことが、これからのビジネスで１つのテーマになると思っています。

実際に、FacebookやGoogle等が、データプライバシーという新たなインフラに向かおうとしている兆候を、いくつか紹介します。

まず、2019年7月にFacebookがFTC（米国連邦取引委員会）と和解し、今年の4月27日に連邦裁判所が正式に和解を承認したというニュースは、業界的にインパクトがあったと思います。Facebookは、前回の米大統領選の際のケンブリッジアナリティカ問題で政府・議会でも非常に問題視されていましたが、5400億円という制裁金とプライバシー対策強化で和解し、それ以来データプライバシーに関連した投資や仕組み作りを行ってきました。そして現在、社内の仕組み・文化からデータプライバシー前提に変化させようとしています。

また、Googleは、Youtubeの公式ブログで今後子どもに関して個人を特定するデータ取得は限定的になると発表しました。これまで子ども向けに配信されていた広告等も見直されています。さらに、これまで企業等に提供していたCookieの利用についても段階的に廃止していくことも発表しています。今までは、企業にデータを提供することでビジネスとしていましたが、Googleにとっては個人を特定しないデータであっても提供先企業で個人の特定が可能となるケースが想定されることは、Googleにとって自社リスクになるという判断です。今後は、こういったデータに基づいて展開していた企業のビジネスやマーケティングも見直されていくことになると思います。

現在、ワシントンDCにあるFuture of Privacy ForumやイスラエルのTech Policy Instituteといったデータプライバシーシンクタンクでは、データプライバシー技術関連のスタートアップが注目されています。GoogleやFacebookといった企業がプライバシー関連の仕組みを整備していく中で、技術的に解決可能な点も多くあるため、そういった技術を持つ企業への投資が進むことが予想されます。
もう１つのトレンドとしては、必要以上に個人データを持たないという取り組みです。データ自体を収集せず活用するための設計を行うプロジェクトも立ち上がっています。Apple・Googleのコロナアプリへの取り組みもその１つです。事業者にとって、セキュリティを確保するのはあくまでも収集したデータに対するリスクを下げる取り組みです。これに対し、そもそも必要以上に個人データを持たないということは、セキュリティという概念ではなく、リスクをゼロに近づけるという新しい概念で最近徐々に注目を集めており、そういったシステムを開発・実装するためのガバナンスの設計や、また何を信頼すべきかという点について、各国有志企業が集まって議論を行うプロジェクトも生まれています。

EUでは、GDPR以降データプライバシーの議論が行われていますが、ここに来てEU内でも国によって方向性が異なることが徐々に見えてきています。GDPRの下、各国で実際の対応を行ってはいるものの、コロナアプリ１つを取ってみても国によって判断基準が異なってきているため、今後ビジネスにおいても国ごとの対応が必要となる可能性があります。

2017年ごろまでは「データは集めて使え」が主流でしたが、2018年のGDPR施行を追随するように各国法律が大きく変化し、プラットフォーマーの意思決定にも大きな影響を及ぼしていると考えられます。そして、2020年以降、withコロナの中では集めたデータの管理や活用を考えていく際には、データプライバシーがデータインフラの前提となるため、その動向を注視しつつ、国ごとにスタンスが違う法制度に対応していくことが求められます。

今後は、利便性かプライバシーかという対立軸ではなく、共存した形でどのような新たなビジネスの可能性があるかを考えていくことになると思います。

本内容は、2020年5月18日に開催されたJIPDEC連続ミニウェビナー「ポストコロナのデータプライバシー　社会実装に向けて」第1回「データプライバシーの変化と新しいサービスモデル」の講演内容と取りまとめたものです。