【特別寄稿】デジタルトランスフォーメーション(DX)とデータ保護法コンプライアンス
(石川 智也 弁護士)


デジタルトランスフォーメーション(DX)の推進

 近時、デジタル技術を活用して新たな社会的価値を創造し、企業価値を高めていくデジタルトランスフォーメーション(DX)の動きが加速しています。withコロナ時代の新しい生活様式への対応のため、さらにはafterコロナに向けて、DX推進や経営戦略の見直しが進んでおり、DX推進のための専門部署が設置されるケースも見受けられます。
 DXというと、AI、IoT、先端的技術を用いたデータ利活用による新規ビジネスの創出を連想される方もおられるかもしれませんが、デジタル技術を利用した顧客情報の管理、デジタル・マーケティングの利用、グローバルでの従業員管理システムの導入などを通じて、企業の業務の効率化・最適化が進み、ビジネスモデルが変化することも見込まれており、多くの企業が取り組むべきトピックであるといえます。

2つの視点:DX加速に伴うデータ保護法の壁と、DXによるデータ保護法の遵守

 DXを加速していくためには、データの利活用が鍵となりますが、そのときに立ちはだかる壁が、データ保護法(日本だと、個人情報保護法)への対応です。紙ファイル、各人のPC、又は各社のサーバにおいて個別にデータが保管・処理されていた時代と、会社の垣根を越えて、ときには国境を越えて大量にデータが流通・処理される時代とで、管理態勢や取り組むべき項目は著しく変化しています。個人データの漏えいも、従前は持ち出しや誤送信が主な原因でしたが、近時は高度な技術を持った悪意ある第三者からの不正アクセスが注目されるようになり、採るべき対策もリスク状況も根本的に異なります。さらには、データが大規模かつ広範に処理されるために、個人データの漏えいやデータ保護法への違反が発覚した場合のリスクが桁外れに大きくなっています。
 他方で、面白いのは、データ保護法の壁は、DXによって乗り越えられる側面もあるということです。分かりやすい例としてCookie管理の同意ツールが挙げられます。これは、Cookie管理の同意ツールを導入してデータ保護法の壁を乗り越えようということが言いたいのではありません。同意ツールの進化によって、企業のニーズに即した形でデータ保護法への対応が図られるようになったことを紹介したいのです。GDPR施行当初、多くの日本企業は、①Cookie情報を取得する前に同意を得る方法がない、②GDPRが適用されない日本からのアクセスにも同意を要求するのはわずらわしいという問題に直面しました。今は、①Cookie情報を取得する前に同意を取得し、②IPアドレスをベースに一定の地域からのアクセスに対してのみ同意ポップアップを表示することができるツールも登場し、技術革新により上記の問題が解決されています。
 私は、「データ保護法の壁は技術革新によって乗り越えられる」という考えがトップダウンで技術開発・営業の現場まで浸透している企業と、そうでない企業とでは、DXの実現可能性は大きく異なるのではないかと見ています。DXの推進にあたって、利用者側は、データ保護法に対応できるサービスと、そうでないサービスとの見極めが必要であり、他方で、ベンダー側は、データ保護法に対応できるサービスの提供が成功の鍵となります。そして、この環境下では、利用者側も、ベンダー側も、事後的に法律を遵守しているかを確認するアプローチでは対応できません。当初よりプライバシーへの影響を考慮して検討を行うプライバシー・バイ・デザインの考え方、プライバシーリスクを低減するためのプライバシー保護影響評価の考え方を社内の検討プロセスの中に組み込んでいくことが重要になってきます。また、企業価値を増大させるための攻めのコンプライアンスとして、自社のDX戦略とデータ保護法に精通したデータ保護責任者等の役職の設置も重要になってくるでしょう。

代表的なDXの推進に向けた施策とデータ保護法への対応

 DXの推進に当たってよく見られる代表的な施策において、どのようなデータ保護法の問題点があるのか、簡単に紹介してみたいと思います。何れも社内にプライバシーリスクを検証するプロセスが組み込まれていないと、法的問題点が検証されることなく、ビジネス主導で導入してしまいがちなトピックです。

(1) 顧客データの共有

 典型的には、グループでの名刺共有システムの導入が挙げられます。
 この場合、会社の垣根を越えて個人データが流通しますので、日本の個人情報保護法との関係では、本人の同意を取得するか、共同利用のための通知・公表を行った上で個人データを共有する必要があります。共同利用の方法を用いて海外のグループ会社に移転する場合には、個人情報保護法の下での国外移転規制への対応として、グループ会社が日本と同水準の個人情報保護体制を備えられるよう共通のポリシーを適用するか国外移転のための契約を締結する必要があります。また、システムを管理するベンダーとの間で、安全管理措置を確認のうえで、業務委託契約を締結する必要があります。
 次に、海外拠点から日本に向けて個人データが流通する場合には、拠点の所在する国のデータ保護法への対応が必要です。具体的には、本人への情報提供、データ取得・移転に際しての本人同意の取得、ベンダーとの間でのデータ処理契約の締結、国外移転に際してのデータ移転契約の締結などが問題となります。国外移転に際してはデータ保護影響評価の実施を求める国もあります。また、グローバルで、個人データの漏えいが生じたときや、本人からデータの開示・削除等を求められたときの対応を検討する必要があります。
 これらの各国要件を統合したデータ処理契約・データ移転契約の締結、グローバルにデータ漏えいや権利行使への対応を一元化して対応するためのマニュアルの策定は課題となっています。

(2) デジタル・マーケティング

 典型的には、Webサイトの閲覧状況や、HTMLメールの開封状況を踏まえたダイレクトメールや、推奨するコンテンツの調整の導入が挙げられます。
 この場合、日本の個人情報保護法との関係では、利用目的を通知・公表するとともに、ツールを管理しているベンダーとの間で、安全管理措置を確認のうえで、業務委託契約を締結する必要があります。また、特定電子メールの送信の適正化等に関する法律に違反しない態様でDMを発信する必要があります。
 海外の顧客を念頭に置いている場合には、海外のデータ保護法の域外適用を受ける可能性が高まることに注意が必要です。域外適用リスクのある国については、その国の要件に即した情報提供が必要となり、グローバルに通用する統一のグローバルプライバシーポリシーの策定が課題となっています。また、GDPRが適用される場合には、Cookie管理のための同意ツールの導入が必要なケースがほとんどですし、ベンダーとの間のデータ処理契約の締結、データ保護影響評価の実施、データ保護責任者・EU代理人の選任の要否の検討など取り組むべき項目は少なくありません。
 また、DMの発信先の国におけるダイレクトマーケティング規制への対応が必要です。日本とは異なり、事前同意を求める国やダブル・オプトインを求める国もあるため、ツールが各国のDM規制に対応できるか検討する必要があります。
 なお、閲覧状況を踏まえた情報をグループで共有する場合の対応については、上記(1)と同様です。また、個人データの漏えいが生じたときや、本人からデータの開示・削除等を求められたときの対応も上記(1)と同様に検討する必要があります。

(3) グループでの従業員管理ツールの導入

 典型的には、グループでの従業員情報の共有のためのシステム、共通のメールシステム、不正検知等の機能を備えた管理システムの導入が挙げられます。
 この場合、日本の個人情報保護法との関係では、上記(1)と同様です。
 海外のデータ保護法との関係についても、基本的には上記(1)と同様ですが、利用の態様によっては、従業員のプライバシーリスクが低減されているかを確認するため、データ保護影響評価を実施する必要があるケースがあります。また、このようなシステムを導入することについて、ワークスカウンセルの承諾取得の手続等が必要な国もあります。

「費用」か、「投資」か

 このように、DXの推進にあたってはデータ保護法のコンプライアンス対応が欠かせません。また、個別の施策への対応のみならず、各国のデータ保護当局の調査や、個人によるクラスアクションを念頭においた防衛体制を築く必要があります。例えば、ディスカバリー制度のある国では、社内の情報セキュリティやグループのデータ保護法への対応状況を記した文書について、弁護士の指揮によりPrivilegeの対象として管理していないと、自社に不利な証拠であっても、証拠として提出することが求められるおそれもあります。データ保護法への対応は、カリフォルニア州消費者プライバシー法(CCPA)の導入によって米国流のクラスアクションのリスクが顕在化したこともあって、新たな局面を迎えています。
 「コンプライアンス対応」というと、「費用」としてネガティブに見られがちですが、データ保護法のコンプライアンスについては、今やDXを推進し、企業価値を向上させるための「投資」と位置づけ、経営者が率先して行うべき全社的な経営上の取組みであることを強く意識して、その対応を加速させていく時代にあるといえます。

西村あさひ法律事務所

パートナー弁護士 石川 智也

関連記事