GAFA(Google、Amazon、Facebook、Apple)やNetflix、Uber、Airbnb等、新たなデジタル技術を使ってこれまでにないビジネス・モデルを展開する企業が登場し、非常に大きな存在となっています。
このような状況において、多くの企業が、ビッグデータの分析、AI、IoTといった新しい技術を活用し、新しいビジネスモデルを創出、柔軟に改変するDX(デジタル・トランスフォーメーション)への対応を早急に進めています。
そのために、CDO(Chief Digital Officer:最高デジタル責任者)等を設置し、経営トップのコミットメントを強めている会社も出てきています。
しかし技術が大きく進歩する中で、個人情報の取得、利用を行う新サービスにおいて、個人情報の利用が問題視される事例が発生しています。
例えば、ヤフーが独自の信用スコア「Yahoo!スコア」のサービスを開始するにあたり、ユーザーへの説明が不十分な恐れがある点や、スコアの作成をデフォルトでオンにしていた点等が大きく問題視されました。ソーシャルメディア等でも話題となり、サービスは短期間で終了となっています。ヤフーは本件が問題視された後、有識者からなるプライバシーに関するアドバイザリーボードを設置しています。
2019年には、就職情報サイト「リクナビ」を利用する学生から同意を取らずに内定辞退率予測をリクナビ利用企業に販売する事件が発生しました。学生に利用目的として知らせることなく、Cookie等の識別子情報から得られたWEBの閲覧履歴情報等をリクナビ利用企業に渡し、リクナビ利用企業側で個人情報と突合することで、内定辞退率予測を企業に渡すという悪質な事例でした。このサービスを展開したリクルート、リクルートキャリアは個人情報保護委員会からの勧告を受けました。また、内定辞退率を受け取った企業も指導を受けています。
ひとたびこのような事件を起こしてしまうと消費者の信用は失墜し、事業運営に大きな影響が発生します。個人情報を取得する新しい形態のサービスを企画する上で、個人情報の適切な取り扱いは大きなコンプライアンスリスクです。
一方で、世界の個人情報保護法令が、個人の権利の強化に舵を切っています。2018年5月にEUで施行されたGDPR(General Data Protection Regulation:EU一般データ保護規則)を皮切りに、アメリカ、カリフォルニア州ではCCPA(California Consumer Privacy Act:カリフォルニア州 消費者プライバシー法)が今年1月に施行されました。
日本でも今年6月に改正個人情報保護法が成立し、2年以内に施行されます。世界の潮流に沿い、改正個人情報保護法でも消費者権利が拡充され、個人情報を取扱う事業者の責務が増しています。
参考:事業者が確認するべき個人情報保護法改正への対応ポイント(データプライバシーデーコラム)
技術の進歩により、これまでには不可能だった方法での個人情報の取得、利用が可能になっていますが、個人の権利、履歴を侵害するようなサービスや、不適切な個人情報の取得がたびたび発生しては問題になりました。一方では改正個人情報保護法が成立し、今、個人情報・個人データの利活用と、適切な利用・保護とのバランスがあらためて問われています。
DX(デジタルトランスフォーメーション)の推進のように、個人情報保護に対しても事業者の真摯な対応が求められているのです。
そのために必要なのが、DXにおけるCDO(Chief Digital Officer:最高デジタル責任者)のように、個人情報保護におけるCPO(Chief Privacy Officer:最高個人情報保護責任者)の設置です。
CPOは個人情報保護法を中心とした個人情報保護スキームに精通し、CEOやCISO、CDOなどの各責任者と連携して個人情報保護体制の構築、運用の責任を負う最高責任者です。
技術の進展で新しいサービスを生み出していかなければならない一方で、法律やコンプライアンスリスクへ対応するには、個人情報保護を経営上の大きな課題として対応していく必要があります。そのための第一歩が、CPOの設置と言えるでしょう。