毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。
- 配信日:2020年6月25日
- タイトル:データプロテクションオフィサーの仕事
- 発表者:ヤフー株式会社DPO 小柳輝氏
ユーザーの代理人としてのDPO
ヤフー株式会社(以下、ヤフー)では2020年5月1日、社内に「DPO(Data Protection Officer:データ保護責任者)」を新設しました。EU(欧州連合)などに比べると日本企業ではまだ設置が少ないと言われるDPOに就任した小柳輝氏に、社内での役割や日頃心がけていることを伺いました。
DPOは、EUで2018年に施行されたGDPR(一般データ保護規則)の第37条で設置が求められている役職です。ヤフーはGDPRの対象となる、EU向け商品・サービスを提供する企業に該当しませんが、データプライバシーに関する国内外の社会情勢や、事業におけるデータ活用の推進を見据えて設置を決めました。
「ヤフーにおけるDPOの役割を一言で表せば、ユーザーの代理人です。当社はお客様の検索履歴や位置情報といったプライバシー性の高いデータを、サービスの企画やシステム開発などの日々の業務に活用しております。その活用の仕方はお客様の理解に基づくものでなければなりません。そのような配慮や取り組みはDPO設置以前から社内にありましたが今回改めてその姿勢をお客様に、そして社員に示す意義がありました」(小柳氏)
DPOは、社内の事業部門や経営陣から独立した客観的な立場から、日々のビジネスフローがプライバシーに配慮した形で行われているかなど、データ保護の適正性に関する助言・監視、評価を行います。
「サービスの企画やシステムの設計段階からプロジェクトに立会い、『このようなデータの使用方法は、お客様のご納得が得られない可能性が高いですね』『個人情報が特定されないようにする対策としてはこういうものがあり、それらを適切に講じる必要がありますね』といった評価や助言を求められることもあります」(小柳氏)
改正個人情報保護法への対応で優先順位が高いのは、「個人データの授受に関する第三者提供記録について、本人が開示請求できるようにする仕組みづくり」と小柳氏は説明します。
法務部門や情報セキュリティ部門、 CPOとの役割分担は?
DPOのもう一つの役割は、個人情報保護委員会など監督官庁とのやりとりとの窓口となることです。当局の調査や執行に協力し、万一プライバシーに関するインシデントが発生した際の報告を行います。
「保護委が企業に求める内容は、社会が要請するものであると認識しています。連携しながら職責を果たしたいと考えています」(小柳氏)
ヤフーにはDPO以外にも、個人情報の扱いに関わる法務部門や情報セキュリティ部門、また複数のCxOが存在します。
どのような違いや役割分担があるのでしょうか。
法務部門は、業務におけるデータ活用の法律への適合性とプライバシーインパクトをチェックする役割です。
情報セキュリティについては、CISO(Chief Information Security Officer)を責任者として対策を講じています。システム・エンジニアリングの側面からサイバー攻撃などからデータを保護する役割を担います。
また、CDO(Chief Data Officer)は、データ活用の推進役として、ビジネスの開発、活用に向けたシステム整備やデータガバナンスなどを担っています。
その中でDPOの設置目的を小柳氏は次のように説明します。
「社内のスタンダードとして、プライバシーに関する透明性の確保や保護が当たり前のものとして定着すること、です。つまり一人ひとりがプライバシーの配慮に向けて何をするか自律的に考え、行動する組織に変わること。ビジネス側が自主的に行うガイドラインの整備・運用や研修などを支援するのも、DPOの任務です」(小柳氏)
オンライン識別子もプライバシー保護対象としているのはなぜ?
DPOには高い専門性が求められます。プライバシーに関連する法律全般の知識、当局との調整能力、業務におけるデータ活用状況や関連するITシステムにも精通していなければなりません。小柳氏は、ヤフーの法務部、政策企画本部などを経て2013年に官民人事交流制度で経済産業省に入省後、2015年にヤフーに復帰し、2017年施行の改正個人情報保護法に向けた対応などを推進しました。
小柳氏が心がけているのは、「お客様の期待、社会の期待がどこにあるのか、対話を通じてしっかり捉えること」だといいます。「多様な価値観で成り立つ社会の中で、どのようなことが受け入れられるのか、逆にそうではないのか。人の心の動き、機微、社会の動向に敏感であることが大切だと思います」(小柳氏)
ヤフーが、オンライン識別子(Cookieなど)も保護対象に加えている理由もそこにあります。
「日本の法律で規定されているかどうかではなく、お客様がどう感じるかが大切です。Cookieが個人情報か否か、にかかわらず保護しないことは、世論として受け入れがたい状況です。これはGDPRの方向性とも一致します」(小柳氏)
とはいえ、社内の事業部が新たなサービス企画を成功させようと奮闘する中で、プライバシーに関する気づきから立ち止まり「ちょっと待ってもらえますか」とDPOが指摘をすることは現場の勢いに水を差すことにもなりかねません。勇気が要りそうです。
「そうですね。DPOはユーザーの代理人として、それなりの覚悟が求められると思います」と小柳氏は述べます。
高度な専門人材であるDPO。その重要性は増しています。これから日本企業で多くのDPOが設置されることを期待します。