個人データを、ビジネスを守る、IIJ

【論説】デジタルトランスフォーメーション(DX)とデータ保護法コンプライアンス(弁護士 石川 智也)


近時、デジタル技術を活用して新たな社会的価値を創造し、企業価値を高めていくデジタルトランスフォーメーション(DX)の動きが加速しています。withコロナ時代の新しい生活様式への対応のため、さらにはafterコロナに向けて、DX推進や経営戦略の見直しが進んでおり、DX推進のための専門部署が設置されるケースも見受けられます。
 DXというと、AI、IoT、先端的技術を用いたデータ利活用による新規ビジネスの創出を連想される方もおられるかもしれませんが、デジタル技術を利用した顧客情報の管理、デジタル・マーケティングの利用、グローバルでの従業員管理システムの導入などを通じて、企業の業務の効率化・最適化が進み、ビジネスモデルが変化することも見込まれており、多くの企業が取り組むべきトピックであるといえます。
 DXを加速していくためには、データの利活用が鍵となりますが、そのときに立ちはだかる壁が、データ保護法(日本だと、個人情報保護法)への対応です。紙ファイル、各人のPC、又は各社のサーバにおいて個別にデータが保管・処理されていた時代と、会社の垣根を越えて、ときには国境を越えて大量にデータが流通・処理される時代とで、管理態勢や取り組むべき項目は著しく変化しています。個人データの漏えいも、従前は持ち出しや誤送信が主な原因でしたが、近時は高度な技術を持った悪意ある第三者からの不正アクセスが注目されるようになり、採るべき対策もリスク状況も根本的に異なります。さらには、データが大規模かつ広範に処理されるために、個人データの漏えいやデータ保護法への違反が発覚した場合のリスクが桁外れに大きくなっています。

【目次】
デジタルトランスフォーメーション(DX)の推進
2つの視点:DX加速に伴うデータ保護法の壁と、DXによるデータ保護法の遵守
代表的なDXの推進に向けた施策とデータ保護法への対応
  (1) 顧客データの共有
  (2) デジタル・マーケティング
  (3) グループでの従業員管理ツールの導入
「費用」か、「投資」か

【本文サンプル】

デジタルトランスフォーメーション(DX)の推進
 近時、デジタル技術を活用して新たな社会的価値を創造し、企業価値を高めていくデジタルトランスフォーメーション(DX)の動きが加速しています。withコロナ時代の新しい生活様式への対応のため、さらにはafterコロナに向けて、DX推進や経営戦略の見直しが進んでおり、DX推進のための専門部署が設置されるケースも見受けられます。
 DXというと、AI、IoT、先端的技術を用いたデータ利活用による新規ビジネスの創出を連想される方もおられるかもしれませんが、デジタル技術を利用した顧客情報の管理、デジタル・マーケティングの利用、グローバルでの従業員管理システムの導入などを通じて、企業の業務の効率化・最適化が進み、ビジネスモデルが変化することも見込まれており、多くの企業が取り組むべきトピックであるといえます。

2つの視点:DX加速に伴うデータ保護法の壁と、DXによるデータ保護法の遵守
 DXを加速していくためには、データの利活用が鍵となりますが、そのときに立ちはだかる壁が、データ保護法(日本だと、個人情報保護法)への対応です。紙ファイル、各人のPC、又は各社のサーバにおいて個別にデータが保管・処理されていた時代と、会社の垣根を越えて、ときには国境を越えて大量にデータが流通・処理される時代とで、管理態勢や取り組むべき項目は著しく変化しています。個人データの漏えいも、従前は持ち出しや誤送信が主な原因でしたが、近時は高度な技術を持った悪意ある第三者からの不正アクセスが注目されるようになり、採るべき対策もリスク状況も根本的に異なります。さらには、データが大規模かつ広範に処理されるために、個人データの漏えいやデータ保護法への違反が発覚した場合のリスクが桁外れに大きくなっています。
 他方で、面白いのは、データ保護法の壁は、DXによって乗り越えられる側面もあるということです。分かりやすい例としてCookie管理の同意ツールが挙げられます。これは、Cookie管理の同意ツールを導入してデータ保護法の壁を乗り越えようということが言いたいのではありません。同意ツールの進化によって、企業のニーズに即した形でデータ保護法への対応が図られるようになったことを紹介したいのです。GDPR施行当初、多くの日本企業は、①Cookie情報を取得する前に同意を得る方法がない、②GDPRが適用されない日本からのアクセスにも同意を要求するのはわずらわしいという問題に直面しました。今は、①Cookie情報を取得する前に同意を取得し、②IPアドレスをベースに一定の地域からのアクセスに対してのみ同意ポップアップを表示することができるツールも登場し、技術革新により上記の問題が解決されています。
 私は、「データ保護法の壁は技術革新によって乗り越えられる」という考えがトップダウンで技術開発・営業の現場まで浸透している企業と、そうでない企業とでは、DXの実現可能性は大きく異なるのではないかと見ています。DXの推進にあたって、利用者側は、データ保護法に対応できるサービスと、そうでないサービスとの見極めが必要であり、他方で、ベンダー側は、データ保護法に対応できるサービスの提供が成功の鍵となります。そして、この環境下では、利用者側も、ベンダー側も、事後的に法律を遵守しているかを確認するアプローチでは対応できません。当初よりプライバシーへの影響を考慮して検討を行うプライバシー・バイ・デザインの考え方、プライバシーリスクを低減するためのプライバシー保護影響評価の考え方を社内の検討プロセスの中に組み込んでいくことが重要になってきます。また、企業価値を増大させるための攻めのコンプライアンスとして、自社のDX戦略とデータ保護法に精通したデータ保護責任者等の役職の設置も重要になってくるでしょう。

代表的なDXの推進に向けた施策とデータ保護法への対応
 DXの推進に当たってよく見られる代表的な施策において、どのようなデータ保護法の問題点があるのか、簡単に紹介してみたいと思います。何れも社内にプライバシーリスクを検証するプロセスが組み込まれていないと、法的問題点が検証されることなく、ビジネス主導で導入してしまいがちなトピックです。

続きは有料会員様にご覧いただけます

ログイン 有料会員登録情報を見る

関連記事