データの個人主権時代を迎え、企業のデータ活用戦略は複雑化している
インターネットやスマホアプリの検索や利用、会員情報や購買履歴、位置情報などを参照して、より精度の高いプロモーションやお知らせをすることは、いまや企業のマーケティング活動で極めて「一般的なこと」となりました。しかしながら、今起きているのはデータ活用が「行き過ぎてしまう」ことに警鐘を鳴らす、反動的な動きです。
2018年に、EUを含む欧州経済領域(EEA)域内で施行された一般データ保護規則(GDPR:General Data Protection Regulation)では、データの主権を個人に取り戻すことを基本理念として成立しました。また、アメリカのカリフォルニア州で施行される消費者プライバシー法(CCPA:California Consumer Privacy Act)、Cookieの使用を大幅に制限するe-プライバシー規則、日本でも個人情報保護法の改正案に盛り込まれるなど、各国でデータ保護規制が強化される動きが急速に広がっています。
企業側でも、データプラットフォームを整備している先進的な企業であるほど、プラットフォーマーなどの外部依存からの脱却を課題としてあげる傾向が高く、いまやこれは企業のデータ戦略を考える上で重要な、不可逆な論点の一つといってよいでしょう(図表4)。
今後企業の課題になるのは、法制度が強化されることはプラットフォーマーだけでなく、自分たちのデータ活用も制限を受けるということにあります。
たとえばGDPR/e-プライバシー規則では、IPアドレスやWebブラウザのCookie情報、スマートデバイスの広告識別子なども個人データと認識され、データの取得や保存、活用に関してはデータ主体であるユーザーから明示的に許諾を受ける必要があります。また、一度データ主体からの許諾を受けた後でも、データ主体からの各種リクエスト(アクセス、削除、訂正、データポータビリティ)を受けた場合には適切なリアクションが企業側には求められます。つまり今後のデータ活用には、プライバシーポリシーやCookieポリシーの改訂、準拠したフロントチャネルへの改修、データ主体からの許諾や撤回など各種リクエストを受け付けられるだけのテクノロジー・業務両面での体制作り、など多くの対応が企業に負荷となってふりかかってくるわけです。
しかしながら、日本におけるGDPR/e-プライバシー規制の認知・理解度はまだまだ広がっていないのが現状です(図表5)。GDPRには越境執行権がありますが、日本においても同水準の法規制が整備されることを想定した上で、十分な内容理解と備えが求められるでしょう。
また、このような潮流を前提に、安心・安全にデータを活用したいというニーズに応える、情報銀行というソリューションも登場してきています。情報銀行では、個人から購買履歴などの様々なデータを信託されますが、個人が提供先や対価を踏まえて判断した上で、適切な事業者への販売・利用が行われることになります。
この情報銀行の利用意向はいまだ約3割弱にとどまりますし、その利用意向はデータの質量に期待する傾向があり、現段階では必ずしも安心・安全面が評価されているわけではありません(図表6)。
ただし本来的には、情報銀行は個人同意の完全性を担保することができる有力なソリューションです。場合によっては自社でデータをまったく保有せず、リスクを完全に回避することも可能になるといえます。データ自体は均質化していくという側面はあるものの、企業にとってデータ活用の選択肢の一つになっていく可能性を秘めているでしょう。
