改正実現を見据えて、いまなにをすべきか
大綱へのパブリックコメントが締め切られ、現在は個人情報保護法改正のための法案作成段階に入っている。改正を見据えて、企業はいまなにをすべきなのか? ここからパネリストの議論が始まった。
小林:検討が順調に進めば、来年1月の国会に法案が提出される。成立する可能性は高い。成立した場合、即時施行ではなく、施行は2016年4月1日からになるでしょう。大綱に示された方向で法律が改正された場合、民間で自主ルールをつくり、第三者機関がそれを承認するフローになる。データ活用に踏み出したい企業は、いまから準備してもいい。
(平成25年12月20日 高度情報通信ネットワーク社会推進戦略本部決定)より
大山:具体的にアドテク業界はなにをすればいいのでしょうか?
宮一:ひとつは「プライバシー影響評価(PIA)」がある。そのためにも情報資産の棚卸しが必要。自社にどんなデータがあって取り扱われているのか。
小林:プライバシー影響評価は、データを使う前にそのインパクトを考えましょうというもの。インパクトがあるなら本人にわかるように同意をとる、あるいは低減するなど。また、そのデータがどういう経緯で取得されたかも重要です。データを取得するときに目的を示していたりいなかったりする。それがデータサプライヤー、データブローカーを通じて、本人はわからないようにB2Bでデータ流通する。広告主がそういうデータを使っていいか。使う側に責任が求められる時代になる。
企業は顧客とどうつきあっていくのかが問われている
本間:お客さんにとって良いサービス、悪いサービスがある。寿司屋で「いいネタあるよ」と勧めるとき、お客さんの名前を知らなくてもレコメンドできる。コンテキストや状況をきちんと理解する。自分のターゲットを見つめ直し、そのビジネススキーム上で使うか使わないかを決める。
パーソナルデータを使ったほうが、お客さまがハッピーになるならPIA評価してやるべき。そして、法が施行されたあとは、お客さまとのコンセンサスづくりが大事になる。まずは、自分たちがターゲットのお客さまとどうつきあいたいのかを考えること。
大山:アメリカでは、CPO(Chief Privacy Officer)のポストを設けている。日本では誰が責任をもってイニシアチブをとることになるのでしょうか。
宮一:法務部門に任せればいいかというと、そうとは限らない。しかし、リーガルの言語が理解でき、かつ、お客さんのことも理解できることが望ましい。
本間:くわしい人がイニシアチブをとるべきだが、それだけではカバーできない。いろんな人たちがチームでやる。法務的に漏れがないドキュメントがつくれることも重要。広告主が今やるべきことは、社内にそういうリソースがあるのかを知ること。ないなら、業界で話し合う必要がある。
小林:事前の対策をすることが大切。法務部門は全部作ったあとにチェックをするが、製品やサービスの概念設計が固まる前にやらないと反映できない。
本間:これまではデータを取れないことがビジネス損失につながると企業は思っていた。しかし、データを取られることを好まないなら最初からオプトアウト(Cookieの無効化や広告配信停止)してくれたほうがいい。
宮一:オプトアウトする人にターゲティングしてもコンバージョンしない。そのことはアドテクエンジニアも理解する必要があります。「プライバシー・バイ・デザイン(Privacy by Design)」というのは、まずプライバシーを考えて設計すること。
小林:プロセス自体はシンプルです。どこで同意を取るのか、業界の人たちが集まって議論し、ファシリテイとする。リーガルチェックはどこの会社でもクリアできる。業界での議論でWin-Winになる対策は可能。
宮一:今回の改正で変わるとしたら、これまでは「これはやっちゃだめ」と言われていたのが、今後は、消費者と徹底的にコミュニケーションできるならある意味でなにをやってもいいということ。現場の人たちみんながワイワイ議論しながらやることが大切になると思います。
