KDDIのモバイル通信サービスは多くのお客さまにご利用いただいています。そうしたお客さまの“デジタルライフ”を安心・安全・快適にする大切な取り組みが「プライバシーガバナンス」です。
プライバシーガバナンスは、「個人情報保護法」などの法律に則って、お客さまの情報を厳格に管理するだけの取り組みではありません。それは、活用の規定が法的に定められていないデータであっても、お客さまの「プライバシー」を侵害する可能性のある個人データ(以下、パーソナルデータ)については、その利用に適切なガバナンス(統制)をかけていくことを意味しています。その上で、お客さまが納得のいくかたちでパーソナルデータを活用し、各種サービスの利便性向上へとつなげていくことが、KDDIの目指すところです。
その目的のもと、2020年4月にはプライバシーガバナンスの専任組織を立ち上げ、KDDIグループ全体がお客さまのパーソナルデータを適切に活用していくための体制を強化しました。さらに、パートナー企業と協業しながら、KDDIグループ外の企業や自治体によるプライバシーガバナンスの取り組みを支援するソリューションも提供しています。
デジタルトランスフォーメーション(DX)のトレンドが勢いを増す今日、お客さまとの接点を通じて収集したパーソナルデータを、サービスやビジネス、経営の変革に活用する動きが活発化しています。その中で重要性を増しているのが「プライバシーガバナンス」によって、パーソナルデータを安全に、かつ安心して活用できる環境を整えることです。言い換えれば、プライバシーガバナンスによって、データドリブンな事業運営の実現につながり、DXを加速していくことが可能になります。
KDDIでは、自社の経験とノウハウを生かし、個人のお客さまのプライバシーを強固に守るだけではなく、企業・自治体のお客さまによるプライバシーガバナンスにも貢献し、より安心・安全で快適なデジタル社会の実現を目指していきます。
「プライバシーガバナンス」で守るサービスの安心と利便性
KDDIは2020年、お客さまの「プライバシー保護」を統括する専門組織「データガバナンス室(現Data&AIセンター プライバシーガバナンスG)」を設置しました。
KDDIでは、お客さまの個人情報を法令に則って厳格に管理してきただけではなく、情報の漏えいや盗難のリスクを回避する情報セキュリティ対策にも力を注いできました。それらの施策に加え、プライバシーガバナンスの強化に乗り出した背景には、KDDIのサービスに対するお客さまの信頼・信用を高いレベルで維持するという狙いがあります。
(1).jpg)
「KDDIのもとには、モバイル通信サービスの契約時にお客さまからお預かりした個人情報のほかに、当社のスマートフォンやWebサイト、各種サービスを使うお客さまが、それらをどのように使っているかのデータが大量に集まってきます。2017年ごろから、そうしたお客さまの『パーソナルデータ』を分析し、サービスの強化・拡充や経営判断の適正化に積極的に活用していく機運が高まりました。ただ、パーソナルデータの分析・活用にはお客さまのプライバシーを侵害したり、不快感を与えたりして信頼・信用を失ってしまうリスクがあります。そうしたリスクを軽減しつつ、KDDIグループ全体でのパーソナルデータの適切で有効な活用を促進する組織としてデータガバナンス室が立ち上がり、それが今日のData&AIセンター プライバシーガバナンスGへと発展しました」
お客さまが自身のデータの使われ方を決める
お客さまのパーソナルデータは、個人情報保護法に則って取得し、管理するのが基本です。ただし、KDDIのもとに集まるお客さまのパーソナルデータの中にはその扱い方が法令の中で明確に規定されていないものも含まれます。KDDIは、そうしたパーソナルデータについても、お客さまのプライバシー保護や快適なサービス利用、倫理の観点から活用のルールを明確に定め、そのルールへの順守を全社的に徹底する方針をとっています。
(1).jpg)
もっとも、自身のパーソナルデータの扱われ方に対する人の見方、感じ方はさまざまです。ゆえにKDDIは、お客さまのパーソナルデータをお預かりし、活用する上での原則として、以下の3点を確保し、お客さまの同意を得たり、説明の充実を行うようにしています。
① 透明性:どのようなデータをどう活用するかの使用目的の透明性を確保する
② コントローラビリティ:お客さまが自身のパーソナルデータの使い方をコントロール(ないしは選択)できるようにする
③ アカウンタビリティ:お客さまからの要請に応じて、お預かりしているパーソナルデータの内容や使い方、管理方法に関する説明責任を果たす
デジタル社会全体の健全な発展にも貢献
上述した3点を確保するためにKDDIでは、パーソナルデータの活用に関する理念やお客さまご自身によるデータの管理方法をまとめた「プライバシーポータル」を提供しています。また、パーソナルデータのコントローラビリティを確保するための「同意管理(Privacy Policy Manager:PPM)」システムも独自に開発し、活用してきました。
今日では、そのPPMシステムの機能をクラウドサービス化してKDDIグループ以外の企業や自治体にも提供しています。さらに、コンサルティング会社のTMIプライバシー&セキュリティコンサルティングと協業し、PPMなどの技術から、プライバシーガバナンスの「方針策定」、「組織体制構築」のコンサルテーションサービスまでをワンストップで提供する体制も整えました。この協業を通じて、プライバシーガバナンスに関するKDDIのノウハウと技術を、デジタル社会全体の健全な発展に役立てています。
(1).jpg)
パーソナルデータの取得と管理を適正化・合理化するKDDIのPPM
KDDIはお客さまのパーソナルデータについて、法令(個人情報保護法や民法)への準拠とプライバシー保護の両面から適切に取得・管理し、有効活用につなげています。それを実現する上で中心的な役割を担っている技術が、「同意管理(Privacy Policy Manager:PPM)」のシステムです。このシステムはクラウド型サービス「KDDI IDマネージャー 同意管理機能 (PPM: Privacy Policy Manager)」(以下 KDDI PPM) としてご提供しております。
(1).jpg)
オンラインサービスを使おうとする人にとって、そのサービスを使うことでどのようなパーソナルデータが取得され、それがどう使われるのかが不透明であるのは心地良いことではなく、不安に感じるものです。また、自分のパーソナルデータが自分の知らないところで勝手に使われるのも避けたいと考えるのが通常です。PPMは、そうしたユーザーのニーズを充足したり、不安を解消したりする上で有効なシステムです。
実際、PPMを使うことで、サービス提供者は、パーソナルデータの取得と活用に関するユーザーの「同意」の記録と管理が一元的に行えるほか、ユーザー自身で同意内容を管理・変更できるようになります。つまり、パーソナルデータの扱いをユーザー自身でコントロールすることが可能です。これにより、ユーザーは安心してサービスの利用を始めることができ、サービス提供側も、ユーザーの同意に基づくかたちで安心・安全にパーソナルデータの活用が推進できます。
(1).jpg)
「KDDI PPMのようなシステムは他にもありますが、ほとんどが海外の製品で、国内で開発している企業はわずかです。また、KDDI PPMには、膨大な数のお客さまを擁するKDDIでの活用実績と同意管理のノウハウが凝縮されています。しかも、国際的なプライバシー保護のフレームワーク(国際標準ISO/IEC 27556)にも準拠しています。そうしたことから、KDDIグループだけではなく、日本のデジタル社会全体の健全な発展に寄与するシステムとして期待されています」
データ分析基盤とPPMの連携で安全なデータ活用も効率化
KDDI PPMの使用によって、サービス規約文章の登録と統合管理、表示が実現され、ユーザーに対してパーソナルデータの利用目的に合わせた明快な通知内容・公表内容を表示させることができます。
また、外販しているクラウドサービスのKDDI PPMは、事業やサービスを跨いだかたちで使用できます。そのため、複数の事業・サービスに関するユーザーの同意内容の一元管理も実現できるほか、個人情報保護法・民法の改正などに対応するのも簡単です。
さらに、KDDI PPMはデータ分析・活用の基盤と容易に連携させることができ、ユーザーによる同意内容に基づいてデータを抽出し、分析をかける作業も合理化できます。
(1).jpg)
「KDDI社内でも、お客さまによる同意内容をリアルタイムにデータ分析・活用の基盤に反映させ、当該の分析・活用の同意が取得できているデータに対してのみ、分析・活用を図るというプロセスが出来上がっています。これにより、お客さまの同意のないデータを分析・活用してしまうミスが回避でき、結果として、パーソナルデータの活用を巡る客さまの安心感、信頼につながっていきます」
樋口によれば、KDDIのPPMはまだ完成形ではなく、今後は規約の内容やパーソナルデータの取得・使用目的、さらには同意によって、お客さま、ないしはユーザーが得られるメリットをより簡潔に、分かりやすく伝えるなどの強化を予定しています。
TMIプライバシー&セキュリティコンサルティングが目指す変革とKDDIとの協業
KDDIは2023年4月にTMIプライバシー&セキュリティコンサルティング株式会社(以下、TMI P&S)と業務協力覚書を締結し、企業や自治体のプライバシーガバナンス構築を共同で支援しています。
TMI P&Sは、TMI総合法律事務所のベンチャーキャピタルであるTMIベンチャーズ株式会社の100%出資子会社です。パーソナルデータの活用とサイバーセキュリティ分野に精通した弁護士を中心に2019年12月に設立されました。日本の個人情報保護法やGDPR(EU一般データ保護規則)、CCPA(カリフォルニア州消費者プライバシー法)などに関する知見を生かしながら、パーソナルデータの利活用を支えるシステムづくりや、データガバナンス(プライバシーガバナンス)/サイバーセキュリティ体制構築の支援、セキュリティインシデント対応の支援などのサービスを提供しています。
(1).jpg)
「パーソナルデータの利活用と、データのガバナンス、あるいはセキュリティの確保は相反する概念ですが、これらの機能を併せ持っていなければ企業はデータ利活用のアクセルを思い切り踏み込めません。実際、膨大な数の顧客データを保持しているにもかかわらず、データの活用について『ここまではOK』、『それはNG』という線引きをしてくれる人がいないがゆえに、利活用が一向に進展しないといったケースが日本ではよく見受けられます。法令に関する知見と、パーソナルデータを利活用するためのシステムづくり、体制づくりのノウハウをもって、そうした現状を打破することが、TMI P&Sの目指すところです」
プライバシーガバナンスの実践者として見るKDDIの技術とノウハウ
KDDIとTMI P&Sによるプライバシーガバナンス構築の共同支援においては、KDDIが「KDDI IDマネージャー 同意管理機能(PPM:Privacy Policy Manager)」(以下 KDDI PPM)などのプライバシーガバナンスに必要とされる技術を提供し、TMI P&Sが「プライバシーガバナンスポリシー・宣言書の策定」や「プライバシーガバナンス体制の構築支援」「外部ガバナンスボード組織の構築支援」、「プライバシー影響評価(PIA)」などのサービスを提供するという体制が組まれています。
大井さんは、プライバシーガバナンス構築支援のパートナーとして、KDDIをこう評価します。
「KDDIさんの強みは、膨大な数の顧客データのガバナンスと利活用を実践してきた経験とノウハウ、技術力があることです。PPMの技術を提供できるIT企業は少なくありませんが、それをどう使うべきかを肌身で知るところは日本では稀有といえます。しかも、KDDIさんは技術や世の中の変化に対し積極的でスピード感があるので、一緒に取り組んでいてやりがいがあり、期待しています」
(1).jpg)
日本企業におけるデータ活用のレベルを世界水準へ
大井さんによれば、欧米諸国の企業に比べて、日本企業におけるパーソナルデータ、ないしは顧客データの利活用のレベルは低く、部門やグループ会社などを跨いだ顧客データの統合や一元管理が実現されていないなど、プライバシーガバナンスを構築する以前の状態で立ち止まっている企業も珍しくないといいます。
一方で、グローバルにビジネスを展開し、日本でも多くの顧客を擁する企業は、顧客データの統合化はもとより、世界共通のポリシーと体制のもとでプライバシーガバナンスを実践しています。
「日本の生活者の多くは、そうしたグローバルカンパニーのプライバシー保護のあり方やプライバシーガバナンスの仕組みにすでに慣れていて、同じような対応を日本企業に求めるようになっています。また、プライバシーガバナンスの体制とシステムが構築できていない企業は、世界的な信用を得ることができず、サービスのグローバル展開が図れないという問題にも直面しています。当社としては、KDDIさんの力を借りながら、日本企業のデータ統合やプライバシーガバナンス体制の早期確立を支援し、日本企業のデータ活用のレベルを世界水準へと押し上げていければと思っています」
