パーソナルデータのグループ内共同利用に必要なオプトイン

2020-06-23

今やデータは企業活動を支える重要な資源であり、データ活用の推進は企業のビジネス拡大のための戦略課題です。数あるデータ資源の中でも、B2C企業を中心に最近特に注目を集めているのが、パーソナルデータです。パーソナルデータとは、個人の氏名や年齢、行動データ、購買履歴といった個人に関するデータ群の総称で、特定情報に絞られず広く定義されています。

パーソナルデータの活用目的の代表例

パーソナルデータの活用目的は、昨今の感染症対策を代表とした政府や関連する公共機関が主導する公共目的と、一般企業の事業目的に大別されますが、一般企業の事業目的をさらに分類すると次の4つに整理できます。

(1)利用者へのサービス提供(それに必要な渉外活動を含む)

(2)よりよいサービスプランや関連するサービスの提案(情報提供とそれに必要な渉外活動を含む)

(3)商品やサービスの改善や新規開発、あるいは研究

(4)(利用者へ不利益を出さない配慮を行った上での)情報の販売や外部提供

これまで、一般企業の事業目的達成を念頭に置いたパーソナルデータの活用は、多くの場合、自社内で(1)~(3)のサイクルを回してきました。近年は、利用者に多くの利点/付加価値をもたらすことを前提に、多事業展開している企業においては、グループでデータの共同利用を進め、顧客のさらなる拡大や囲い込みのために活用することが戦略的施策になっています。

パーソナルデータ活用の第一歩は、正しい取り扱い環境の整備から始まる

このように、パーソナルデータの利活用は企業にとって大きな可能性を秘めています。一方で、消費者のプライバシー意識が年々高まっていることを踏まえると、彼らの期待や意向に反したデータの利活用が、企業イメージの低下や顧客離反を招きかねないリスクをはらんでいることを忘れてはなりません。法規制に従うのはもちろんのこと、利用者が不利益を被らないよう配慮し、安心・安全にパーソナルデータを取り扱う環境を整えることが求められます。以下に、企業グループがまず取り組むべきことをまとめます。

ポイント(1):グループ共同利用に向けたプライバシーポリシーの見直し

多事業展開している企業においては、サービスによっては別法人が主管になっている、といったケースが見られます。このような場合、パーソナルデータを利活用するためには、サービス横断での利用目的とグループでの共同利用(あるいは第三者提供)の明示を含め、統合的なプライバシーポリシーの策定を行い、利用者本人からの同意を得る(オプトイン)ことが必要になります。利用者への不利益がないことを前提に、グループでの共同利用に向けた目的と内容の再定義の検討から始めることになり、多くの場合、個人情報の管理主管も再定義することになるでしょう。(オプトインについては後述します)。

ポイント(2):個人情報の管理・活用に向けた社内環境の再整備

続いて重要視されるのは、厳格なプライバシー保護対応を含め、データガバナンス態勢をきちんと構築することです。態勢整備は、プライバシーに関連するリスク管理の規程類の策定・更新と周知徹底、プライバシーに関する相談窓口の設置、チェックシートに基づきサービス企画・変更内容の審査を網羅的・複眼的に行うプロセス整備が重点施策となるでしょう。プライバシーガバナンスに関する取り組みは、法務やセキュリティなどの他のガバナンスとの整合性をとる必要があるため、当初の想定よりも時間をかけて検討を進めることが求められる傾向にあります。そのため、計画時には考慮が必要です。

これらの活動を通してパーソナルデータの保護ガバナンスに目途を付けつつ、データの一元管理を担う情報基盤(統合データマネジメントプラットフォーム)を整えることで、データ活用ガバナンスの推進が可能となります。これにより、利用者目線での連携サービス提供とパーソナルデータの有効活用への道筋ができるのです。

オプトインの先進的な事例

さまざまなサービスで生成されるパーソナルデータを流通・統合することは、企業や個人にとって新たな価値を生み出す半面、プライバシーリスクを多く含むことは前述の通りです。個人情報については、多くの国や地域において、その利用や第三者提供を行う前に本人の同意を取得することが求められています。そのため、既存のサービス利用者などから改めて同意を取得することは非常に負荷が高く、また乱暴な手法では利用者の離反を招くリスクもあります。業態やサービスを超えたパーソナルデータの利用について、旧来のように書面や電子メールでの通知やウェブサイトでの公開といった一方的な文書の押し付けと捉えられるような手法をとっていては、法的要求事項をクリアしたとしても、利用者の期待に応えているとは言い難いでしょう。先進的と呼べる事例では、法的な要求事項を満たす文書の通知や公開によらず、2つの点を踏まえて、サービス利用者をはじめとするデータ提供者(データ主体)との相互理解を図っています。

1.プライバシーに対するコンセプトの提示

法的文書で全ての利用者から理解を得ることは非常に困難です。そのため一部の企業では、ウェブ動画やテレビCMなどを利用して、プライバシーの保護をどのように実現しているか、そのコンセプトについて利用者に理解してもらうための場を提供しています。また、センシティブな情報を提供することで発生するリスクやその対処方法について、動画を用いた研修や簡単な試験を実施した上で、サービスやプログラムへの参加を認めるケースもあります。

2.サービスやデータの可視化、コントロールUIの提供

データ主体による積極的なデータコントロール権を認める法制度が、世界各国で取り入れられています。一方で、実際の手続きは煩雑かつ書面を利用したアナログな方法が採用されており、データ主体にとってはストレスフルな状態となっています。一部の企業や組織では、データを提供している企業やサービスの一覧、企業のデータの利用状況を可視化したダッシュボードを設け、同一のユーザーインターフェース(UI)から利用停止や削除などに関するコントロールをデータ主体が行えるようなUI・機能を提供しています。

規約書や契約書などで説明責任を果たすという一方的なアプローチだけでなく、利用者とコミュニケーションをとりながら透明性を増していくアプローチが、今後主流になると考えられます。デジタルを取り入れたコミュニケーションを通じて利用者のプライバシーに関する感度や期待値を明らかにすることで、真に納得した状態でパーソナルデータの利用を行うことができるでしょう。

執筆者

高橋 功

ディレクター, PwCコンサルティング合同会社

Email

篠宮 輝

マネージャー, PwCコンサルティング合同会社

Email

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}