「データ保護規制の最前線」第1回目。世界各国でデータ保護規制を強化する動きが広がっています。企業への罰則適用事例が増加しており、米グーグルなど「GAFA」と呼ばれる巨大IT企業が相次いで利用規約を改訂しました。日本企業も対応を迫られる中、本連載では、各国データ保護規制に関する直近の主要トピックを紹介します。各企業において対応を要する事項や想定されるビジネスへの影響などについて、12回にわたり解説します。
本連載は、日刊工業新聞(2021年10月~12月)に連載された記事の転載となります。以下の文章は原則連載時のままとし、場合によって若干の補足を加えて掲載しています。
データの利活用に伴うリスク対応
あらゆる経済活動がサイバー空間へシフトしていく中で、今後ますます多くのビジネスがデータドリブン(駆動)となる。「必要なデータをどのように生成し、それらをどのようにつなげて価値を生み出せるか」といった構想力が企業の勝敗を分ける。多様化する個々のニーズに、バリューチェーン全体で広く連携しながら応えていくことが必要となっており、好むと好まざるとにかかわらず、我々は今後このデータ社会の網の目の中へ深く引きずり込まれていくだろう。
一方で、データの利活用にはさまざまな考慮が必要だ。データは無体物であるため、実物資産とは異なり、事前の適切なアレンジがなければ所有権を主張できない。データ資産は複製コストや移送コストがほぼゼロであり、一歩間違えば瞬時に世界中へ拡散されてしまうリスクを負う。いったん海外へ流出してしまったデータには、法的措置を講じることも容易ではない。
IoT(モノのインターネット)機器で生成されるデータのほとんどは、何らかの形で個人の識別子と紐づけられており、プライバシーリスクへの対応も求められる。データ社会におけるこの問題は複雑だ。たとえば、システムが誤って解釈した個人の属性を、そのまま未来永劫利用し続けてしまうという、いわゆる偏見の固定化が懸念される。人工知能(AI)により誤った判断が行われていたとしても、当人がその裏側にあるロジックや基礎となるデータを知るすべがなく、誤りを正すことができないといったブラックボックス問題も起こりうる。正しいロジックで正しく推測が行われ、属性を把握できた場合であっても、人の弱みに付け込むような不適切な営業アプローチを行えば、法令に違反しなくとも倫理的な問題が生じるだろう。
先行する諸外国のデータ保護規制では、データの国内保存を義務付けたり、海外の事業者に対する法規制の“域外適用”を宣言する例が相次いでおり、企業のコンプライアンス対応は複雑化の一途をたどっている。いずれも前述のリスクに対する企業の管理責任を厳しく要求する傾向にあり、2022年4月に予定される日本の個人情報保護法改正もその後を追う。企業は、戦略的なデータの利活用と関連法規制への順守を両立させる必要があり、この難しい舵取りを進めていくためには、何よりも本質的なリスクの理解が重要だ。データ利用の視点では、もはやBtoC(対消費者)やBtoB(企業間)といった区分は重要でなく、大きな共同利用の枠組みの中で各企業が役割と責任を按分する。
執筆者
KPMGコンサルティング
パートナー 大洞 健治郎
※本文中に記載されている会社名・製品名は各社の登録商標または商標です。
日刊工業新聞 2021年10月8日掲載(一部加筆・修正しています)。この記事の掲載については、日刊工業新聞社の許諾を得ています。無断での複写・転載は禁じます。