データの一生を守るには─リテラシーを高める個人、基盤を作る企業
「個人情報」が世界的な重要テーマになっている。プライバシー保護を目的とした法規制の整備が世界的に進み、グーグルやアップルは、パーソナルデータを使うサードパーティークッキーの廃止に向けて動いている。
この潮流のなか、個人情報を守るために、私たち一人ひとりにできることは何か。また、企業はどのようにユーザーの情報を守るのか。
Kindle人気ランキング1位を獲得した『データマネジメントが30分でわかる本』の著者、横山翔(@yuzutas0)氏と、 『AI・データ分析プロジェクトのすべて』の著者の一人で教育系SaaS企業でデータチームを率いる伊藤徹郎(@tetsuroito)氏に、個人と企業それぞれがいま取り組むべきことを聞く。
POINT
- まずは、自分がどこにどんな情報を預けているかの洗い出しを
- 個人が企業のリテラシーを高める
- 個人情報は「人権」
- 企業はデータの一生を管理する意識と基盤を整えるべき
(左)横山 翔(@yuzutas0)
合同会社風音屋(かざねや)を運営。リクルートやメルカリ、ランサーズなど多くの企業でデータ活用やDXを推進してきた。DevelopersSummitコンテンツ委員やDataEngineeringStudyモデレーターなどコミュニティ活動を通して、データ基盤について積極的に情報発信している。著書『データマネジメントが30分でわかる本』がKindle人気ランキング1位を獲得(2020年3月)。著書・寄稿に『個人開発をはじめよう!』『Software Design 2020年7月号 特集 一から学ぶログ分析』ほか。
(右)伊藤 徹郎(@tetsuroito)
大学卒業後、大手金融関連企業にて営業、データベースマーケティングに従事。その後、コンサル・事業会社の双方の立場から、さまざまなデータ分析やサービスグロースに携わる。データ分析が注目され始めた頃から受託分析会社や事業会社でデータ分析を活用したプロジェクトを多数経験。現在は教育系SaaS企業でデータチームを率いる。その経験からWebでの連載、著書執筆、イベント主催など幅広く精力的に活動。著書・共著に『AI・データ分析プロジェクトのすべて』『データサイエンティスト養成読本 ビジネス活用編』ほか。
個人が持つべきリテラシー──「放置アカウント」をどうすべきか
── コロナ禍でECが拡大したこともあり、企業が個人の情報を得る機会が増えています。
横山 その結果、データマネジメントが必要な企業が増えました。たとえば、過去の購買データから「この季節にはこの商品が売れるはずだ」と予測して顧客に適切なレコメンドを提示することも、データマネジメントの一環です。
伊藤 そうした使い方が攻めのデータマネジメントだとすると、守りのデータマネジメントもありますね。預かっている個人情報をいかに流出させることなく守り続けるか、必要に応じて削除するかも考える必要があります。現在は、何年も前に一度だけ買い物した個人のデータも、保管し続けている企業が大半だと思います。取得から保管、削除まで、データの一生を管理する活動は、データマネジメントの領域で「データライフサイクルマネジメント」と呼びます。
── どのサイトに情報を預けているのかを忘れている個人も多そうです。たとえばそうした“放置アカウント”はどのように管理されているのでしょうか。
横山 データベースでは、アクティブなアカウントと同じ扱いで管理されているケースが多いです。その場合、もしも流出事故などが起きた場合には、どちらも同じように被害に遭ってしまいます。
伊藤 どんな情報が流出するかによって受ける被害は変わります。たとえば、メールマガジンへの登録のように、メールアドレスしか預けていないなら、流出したとしても迷惑メールが届くくらいですみます。でも、クレジットカード番号を預けていたら、勝手に買い物をされてしまう危険がありますし、SNSならスパムの踏み台になって知人に迷惑をかけてしまう可能性もあります。
横山 ですから、まずは自分がどこにどんな情報を預けているかを一度洗い直すとよいと思います。もちろん、パスワードを使い回さないというのは当然のことです。覚えやすさと安全性が相容れないのはパスワードの長年の課題ですが、最近はワンタイムパスワードを使えるサービスも増えていますし、パスワード管理のツールも多くあります。
── 各サービスに預けている情報を洗い出して、使っていないサービスからは退会すれば安心ですか。
横山 それがそうとも言いきれません。企業にとっても個人にとっても、残しておいた方がいいケースが少なからずあるからです。家電製品がリコールされた場合や、ユーザーの健康に影響を与える問題が発生した場合などは、情報が残っていることで、販売した企業が購入した個人に知らせることができます。メッセージアプリの履歴などもそうです。
伊藤 企業側は、警察から捜査のために個人情報を提供するよう協力を求められた場合、開示しなくてはならないこともあります。こうなってから「消してしまったのでわからない」というのは困りますよね。治療記録のようなものも、消してしまって参照できないとなると命に関わる可能性が出てきます。その一方で、一定期間以上ログインされていないアカウントは削除するといったルールを設けている企業もあります。
── では、個人はどのようなことに気をつけたらいいでしょうか。
伊藤 リテラシーを上げましょう、ということになります。リテラシーとは、そのデータがどんな目的で使われるのか、そして、そのサービスが不要になったときに、いったん預けた個人情報をどうすれば削除できるのかを知っていることです。
横山 最近、サイトやアプリを使うときに許諾を求められることが増えたなと感じている方は多いと思います。そうしたときに、いま伊藤さんが言われた2点を確認するといいですね。
伊藤氏 : そうですね。自分の個人情報を意識するシーンは今後さらに増えていくはずなので、面倒がらずに確認して欲しいです。
企業に求められること──データライフサイクルマネジメントの強化へ
横山 ただ、法改正により、企業側は、何を目的にそのデータが欲しいのかをその都度丁寧に説明することになりました。利用規約が長くなり、ユーザーへ提示する回数も増えることで、許諾を得るやり取り自体が形骸化し、かえって読まれなくなってしまう恐れはあります。一度取得した個人情報を本来とは別の用途で使う場合には、その都度、ユーザーから許諾を得る必要があります。それを受け手の個人が面倒だと感じるのは当然のことなので、ここはデザイナーやエンジニアがUXで解決しなくてはならないポイントです。
伊藤 個人が企業のリテラシーを高めることもできます。消してしまっても構わないアカウントがあるなら、その企業に「削除したいです」とか「削除できますか」と問い合わせるだけでも、「いま、ユーザーはこうしたことを気にしているんだな」と気づかせるきっかけになるからです。
── 個人の意識が変化すると、企業は新たにどのような対策を取る必要がありますか。
伊藤 前提として、3年に一度改正される個人情報保護法に反さないように、取り組みをアップデートしていく必要があります。でも、法律に反していなければいいというわけではありません。法改正よりも個人情報の扱いに対するユーザー意識の変化の方が早いので、たとえ合法であっても、倫理に反する使い方をすれば、結果としてブランドイメージを毀損してしまうこともあります。
横山 そのデータは何のために集めるのですかと聞かれたら、しっかり説明して納得してもらえるような準備をしておかないといけないですね。
伊藤 欧州で確立された“個人情報は人権”という考え方は、日本でも間違いなく広まっていきます。あと、“忘れられる権利”についても意識しておいた方がいいと思います。デジタル化が進んだことで、人なら忘れてしまうようなことも半永久的にデータとして残るようになりました。これについても、当事者が望めば削除するという方向に進んでいます。
横山 そもそも、自社はユーザーのどんなデータを持っているんだっけという棚卸しも必要ですね。その際には、どのデータは残しておくべきで、どのデータは削除するべきで、どのデータは持ち主の申し出に応じて削除するのかなども整理しておくといいですね。
伊藤 ユーザーから削除の要請があったらどうするのか、業務フローの整備は必須ですね。加えて、これからはどのような個人情報を取得“しない”のかというルール作りもしておくとよいです。それほど必要ではないのに、得られるものは得ておこうと集めて溜めておいた結果、それが流出してしまったら、相応の補償をしなければならないし、訴訟に発展する可能性もあります。そうしたリスクを考えたら、必要以上の情報は取得しないという選択もあるはずです。データを持ち続けるなら、個人情報を「東京都の20代男性」というように粒度を粗くして匿名加工情報にしたり、暗号化などで、他の情報と突き合わせない限り個人を特定できない仮名加工情報にしたりすることもできます。
横山 だからこそ、データマネジメントの中でもデータライフサイクルマネジメントは注目されています。どのようなデータを取得して、どのような形で保持して、何を残して何を削除するのか、データの一生についての管理が必要なのです。
伊藤 ISO (国際標準化機構)など外部機関の審査を活用して、自社の取り組みを適正に行うことも大事ですね。自社がデータライフサイクルを適切に管理できていることを第三者にチェックしてもらうわけです。ユーザーは利用しやすさや使い勝手に加えてそうしたものも手がかりに、使うサービスを選ぶからです。
横山 そしてもちろん、データライフサイクルマネジメントができるような基盤を整えることも大事です。方針が決まっても、それを運用する体制やシステムが整っていないと、実行には移せませんから。実はいま、まさにこのテーマの書籍『データ基盤の処方箋』(仮)を伊藤さんと共同執筆しています。2021年冬に技術評論社から出版の予定です。データ整備に関心のある方に役立つ1冊にするので、ぜひ読んでいただきたいです。
伊藤 企業の担当者だけでなく個人の方でも、自分の個人情報がどう扱われるのかに関心がある方には、面白く読んでもらえると思います。
企業の課題と必要な対応
── 今日お話しいただいたように、個人情報への個人の意識、企業への視線が変化しているなかで、企業が向き合うべき今後の課題を教えてください。
伊藤 データの利活用とセキュリティはトレードオフの関係になってしまうことがあると思います。「データをみんなでどんどん使うぞ、売上を上げるぞ」という攻めの姿勢と「データは大事に守るぞ、安心と信頼を獲得するぞ」という守りの姿勢を、必ずしも100%/100%で両立できるとは限りません。だからこそ、自社ではどのようなデータをどのように使うのかというポリシーを設定することが重要です。
横山 データライフサイクルマネジメントは、今後データを預かるすべての企業が取り組まなくてはならないものになっていきます。できるだけ早く、データを扱う社内の人が安心して使える仕組みを整えて、ユーザーに信頼されるサービスを提供できると素敵ですね。私たちも日々そのために試行錯誤しています。