PayPay株式会社
執行役員CCO兼CRO兼DPO
法務リスク統括本部⾧　寺田　陽亮氏

• 印刷用PDFファイルをダウンロード
• 講演資料

当社は、PayPayをご利用いただく皆様のお金を扱う資金移動事業者として、金融庁から非常に厳しい指導を受ける立場にあります。データマネジメントに関しては、DPO（Data Protection officer：全社のデータ保護担当）、CDO（チーフデータオフィサー：全社のデータ戦略担当）、CISO（チーフインフォメ—ションセキュリティオフィサー：情報セキュリティマネジメント担当）の3名により様々なテーマに対しゴール設定や結論を出し、三者では合意できない内容に関しては社長を含むリスクコンプライアンス委員会で意思決定を行う体制を取っています。

我々は日本国内の決済事業者で、現時点でのサービス提供範囲は日本国内に限定しているため、CBPR認証取得の必要性がないように思われる方もいらっしゃるかもしれません。しかし、現在のビジネス環境では、実際には非常に身近なところで越境データ移転が行われています。

当社では、開発は外注せず、社内エンジニアによる内製としています。このため、社内には多くのエンジニアがいますが、半分以上が外国籍の従業員です。国内だけでは我々のニーズを満たすエンジニア数の確保は困難なので、2022年にはインドに開発拠点を設立し現地のエンジニアを採用してPayPayのサービスの一部を開発する体制を取っているため、海外から越境してパーソナルデータにアクセスするケースも生じます。また、社内インフラに関しても、人事や採用関係では海外事業者が提供するSaaSで従業員の個人情報を取り扱っています。

このように、海外に事業展開していなくても、グローバルなパーソナルデータの流通は身近で行われているため、自社が越境移転するパーソナルデータを適切に管理できる体制かどうかを評価し整備していくことが非常に重要だと考えています。しかし、自社だけで「グローバルな視点で一定の水準を満たせているか」を判断することは難しかったため、我々自身が自信をもってお客様にサービスの提供をするために、第三者の目で評価していただけるCBPR認証の取得を検討することになりました。

準備段階では、上層部の理解とトップダウンでの推進体制が非常に重要です。当社では社長を含め上層部に「第三者に確認してもらうことが信頼につながる」という意識が強くあったため、理解を得るために苦労することはなく、逆に「スピーディに取得するよう」プレッシャーがかけられる状況だったため、全社員ワンチームで取り組むことができました。

質問事項への回答や回答を裏付けるエビデンスの準備を行う中で、自社内の様々な部署で行われている個人情報に関わる業務の内部資料を抜け漏れなく収集すること、審査基準とのギャップを把握し整理する必要がありました。ベンチャー等で物事をスピーディに進めている場合、ルールや手順を文書として整備していないケースもあると思いますが、第三者の審査を受ける場合、個人情報の保護に係るルールや手順が文書として整備されていること、規程やマニュアルに基づいた運用がなされていることが非常に重要となります。

申請後は、審査機関であるJIPDECから出される提出書類の内容に関する質問に回答する必要があります。スピーディに認証を取得するためには、スムーズに質疑応答を進める体制を取ることが重要です。当社の審査でもいろいろと質問をいただきましたが、当社の申請事務局や現場の担当部門が連携して対応することで1～2日以内で回答できました。また、現状に対する改善事項を指摘される場合もありましたが、早期に改善対応し、改善に時間を要する場合はマイルストーンを説明することで了解を得ました。

認証取得を推進するためには経営層の強い関与が必要となるため、CDOであった私がプロジェクトオーナーとなり、全社横断の体制を取りました。個人情報を扱うセクションが多かったため、プロジェクトメンバーは延べ50名程度、事務局として中心的役割を担ったのは5名です。

初回の申請では、準備に3か月程度、申請後認証取得までは4か月半程度かかりました。CBPR認証は毎年更新審査を受ける必要がありますが、2回目は工数も減り2か月程度で認証更新となりました。

1番大きな効果は、グローバルなデータ流通の基盤が構築できた点です。審査を受ける中で、自社の個人情報管理体制をさらに高度化することができました。また、取得後はWebサイトのユーザープライバシーに関するページや採用活動の紹介ページでCBPR認証取得にも触れ、個人情報保護に真剣に取り組んでいる企業であることを積極的にアピールするための情報発信につなげています。

現在、日本でCBPR認証を取得しているのは4社にとどまっていますが、米国ではAppleやWorkdayなど大手企業が取得しているので、日本でも制度に対する認知が広がり、グローバルな視点でのプライバシー管理体制の向上が図られ、さらに認証事業者の増加につながると良いと思います。また、グローバルCBPRに移行することで、APEC域内に限らず様々な国の参加が進むことも期待しています。最後に、CBPR認証を取得していることで、円滑なデータ流通が実現できたという実績が様々なところで積まれていくと、さらにCBPR認証をアピールしやすくなり、幅広い業界の方が関心を持って取得を検討されるのではないかと考えています。

• 本内容は、2023年12月14日福岡、2024年1月10日大阪で開催された「グローバルCBPRの展開・普及ワークショップ」での講演内容を取りまとめたものです。