ユーザーのデータ保護を担う DPOの役割とその取り組みとは?

コーポレート
二人の人物が並んで立ち、カメラに向かって微笑んでいる。背景には「LINEヤフー」のロゴが見える。

LINEヤフーは、ユーザーからお預かりしたデータの保護や管理体制を、独立した視点で監視し助言する役割を担う「データ・プロテクション・オフィサー(以下、DPO)(※1)」を設置しています。 データ保護の重要性がますます高まる現代社会において、DPOの存在はどのような意味を持つのでしょうか? また、企業がユーザーの信頼を獲得し、持続可能な成長を遂げるためには、どのような取り組みが必要なのでしょうか。

LINEヤフーのDPO中山と、プライバシー保護や個人情報保護法の専門家である中央大学国際情報学部教授の石井さんが、DPOが生まれた背景、企業における役割、そして今後DPOが目指す活動について語り合いました。

※1 DPO (Data Protection Officer):
EEA(欧州経済領域)内の個人データ保護を強化するために制定された「GDPR(一般データ保護規則)」で定められた役職。企業が収集したユーザーデータの利用や保護・管理体制を監視・評価し、経営に助言する役割を担う。GDPRが2018年に施行されて以来、EEA内の企業や、EEA向けに事業を展開する多くの企業でDPOが設置されている。2023年10月現在、LINEヤフーグループでは、LINEヤフーに加えて、PayPay、アスクル、ZOZOを含む16社においてDPOを設置している。
LINEヤフーDPOについて

メガネをかけた女性が微笑んでいるポートレート。背景はぼやけた都会の景色が広がっている。
石井 夏生利(いしい かおり)さん
中央大学国際情報学部教授、博士(法学)。専門分野はプライバシー、個人情報保護法など。政府の審議会委員、検討会構成員や企業のデータ保護に関する研究会の委員等としても活動し、広くプライバシーや情報セキュリティの課題を提起し、啓発を行っている。
黒いシャツを着た男性が微笑んでいるポートレート。背景はぼやけた都会の景色が広がっている。
中山 剛志(なかやま たけし)
LINEヤフーのDPO。米国・英国・豪州大手法律事務所、三菱商事(株)、ソフトバンク(株)(現ソフトバンクグループ(株))などを経て、2014年 LINE(株)(現 A ホールディングス(株))入社。LINE(株)執行役員CPO/CISOとして、法務・セキュリティ・コンプライアンス・リスクマネジメントを統括、2021年Zホールディングス(株)執行役員プライバシー&セキュリティ統括部長就任。2023年10月より現職。外国法事務弁護士(米国ニューヨーク州・コロンビア統括区法、英・連合王国法)、CISSP、CGRC、FIP、CIPM、CIPP/E

DPOが生まれた背景

中山:
まず、DPOの役割が生まれた背景について少し振り返ってみたいと思います。1960~70年代の情報技術の発展により、個人データの収集と利用が急速に増加しました。その結果、個人のプライバシーが侵害されるリスクも高まりました。ヨーロッパでは、第二次世界大戦中の人権侵害や冷戦時代の監視社会の経験から、政府による個人データの濫用への懸念が強まったといわれています。
そのような背景から、約50年前にドイツのヘッセン州が世界で初めてデータ保護法を制定し、個人のプライバシー保護を目的とした厳格な規制を設けました。この法律の制定に伴い、データ保護を監督するための独立した機関が設置されました。

その後、データの収集と利用の懸念は政府だけでなく、企業にも広がりました。しかし、企業は政府と異なり業態が多様であったため、各企業にデータ保護の責任者を設置することが求められるようになりました。この責任者の役割が進化し、後にデータ・プロテクション・オフィサー(DPO)という役職が正式に導入された。この理解で正しいでしょうか?

石井さん:
そうですね。日本でも、国の行政機関における国民の情報の取扱い、地方公共団体による住民の情報の取扱いを適正に行い、法令遵守(ほうれいじゅんしゅ)を確保するためには、行政機関から独立した監督機関が必要でした。ただ、歴史を振り返ると、その考えを行政機関に理解してもらうのは大変だったと思います。

他方、欧州では、独立した監督機関の制度は当たり前のものとして捉えられてきました。1995年に採択されたEUデータ保護指令は、EU全体で個人データ保護を強化するための枠組みを提供しました。
これにより、各加盟国は国内法を整備し、データ保護のための独立した監督機関の位置づけが強化されました。この指令の中に、DPOの萌芽となる制度についての定めがあります。さらに、2016年にEUで採択され、2018年に各国への適用が開始された一般データ保護規則(GDPR)は、データ保護の基準をさらに強化しました。GDPRでは、大規模なデータ処理を行う企業や公的機関にDPOの設置が義務付けられています。

近年、日本でもプライバシー保護の重要性がさらに高まっています。たとえば、2020年、2021年の個人情報保護法の改正により、より厳格なデータ管理と保護が求められるようになりました。
このような背景から、DPOの役割は、企業がデータ保護を徹底し、ユーザーのプライバシーを守るためにますます重要になっています。さらに、社内のデータ保護に関する教育や研修を実施し、従業員の意識向上を図る役割も担うようになっています。

DPOは単なるアドバイザーではなく、企業のデータ保護文化を構築する役割も担っています。法令遵守だけでなく、顧客からの信頼を獲得するためにも大切な役割を果たしているため、DPOは企業の持続可能な成長と信頼性を支える重要な役割となっているといえます。

二人の人物が向かい合って座り、会話をしている様子。背景には大きな窓が見える。

企業におけるDPOの役割

中山:
ヨーロッパではDPOの役割が非常に重要視されています。しかし、現在のアメリカや日本ではどうでしょうか。特にビッグテック企業に関して言えば、彼らが持つ情報量は膨大で一つの国に匹敵するほどだからこそ、DPOが必要だと思います。
ユーザーの立場でもある私たちとしても、それらの企業が自分たちの情報をどう扱っているのか、独立して監視している立場のDPOがいないと、彼らの言葉をそのまま信頼することは難しいと感じます。そして、特に日本やアジア市場においては、LINEヤフーもそう見られているのだと思っています。

石井さん:
たしかに、独立した立場の専門家が適切な意見を提供する仕組みは必要です。DPOは、データの取扱いについて決定権を持つわけではなく、決める人に助言する役割を担っています。そのため、DPOの意見をきちんと理解した経営が、ユーザーの立場もしっかりと見据えた上でビジネス判断をすることが大切だと思いますし、DPOに期待される機能もその点にあるといえます。
この機能がうまく働くことで、経営判断にも安心感が持てますし、特にプライバシーに関する情報を広く扱うビジネスを展開する企業、すなわちプラットフォーマーではDPOを導入すべきだと思います。

中山:
そうですね。ユーザーの立場で外から見た場合、プラットフォーマーが中でやっていることはとても複雑でわかりにくいです。内部のことをしっかり理解した人が、独立した立場からユーザーのデータ利用をみて、ユーザーの代わりに必要な指摘をすることが必要だと感じています。
また、社内のデータ利用を把握していることに加えて、DPOには実際に会社がどうやってデータを守っているのか監視して、それを具体的に理解した上で助言する役割もあります。そのため、プライバシーに関連した法律の知識や考え方だけではなく、情報セキュリティや技術的な知識も求められます。

石井さん:
DPOを設置することで、社員間のプライバシー保護意識が高まり、お互いの信頼関係が築かれ、法令遵守に役立つという効果もあります。DPOは実際に社内で仕事をしている方で、ビジネスのプロセスを理解しつつ、技術的な知識ももって精神的にも独立した立場にある人、そしてぶれない、ということも重要です。

中山:
精神的な独立は大切ですね。LINEヤフーでは、ビジネス部門がプロジェクトを説明し、プライバシーに関連したリスクについて意見を出し合い議論する会議があり、DPOも一緒に参加して意見します。
この場には法律知識や技術的な知識が求められ、必要な場合には、みんなが「イエス」と言っているところでも、「ノー」と言える姿勢がとても重要です。GDPRや当社の社内規程でも、DPOが組織内で十分な自立性をもって意見が言えるようにいくつかの基本的保障が定められています。ただ、日本では、もちろんその会社の文化や雰囲気にもよりますが、反対意見が当たり前のような文化ではないため、一般的には少し高いハードルではないかと感じています。

石井さん:
DPOの活動が日本の文化にはちょっとなじみにくいというのは、おっしゃるとおりだと思います。そのような状況下でも個人情報の取り扱いが適切に行われているかをチェックする機能を果たせるかどうかが重要です。
また、DPOの職務範囲は、個人データに関連した広範囲にわたります。たとえば、委託先から問題が起きる可能性もあるため、DPOはどの範囲まで面倒をみることができるのか、というのも現実的な課題ですよね。
GDPRでは、DPOが職務を遂行し、専門知識を発揮するために必要となるリソースを会社がDPOに提供し支援する義務を定めていて、DPOに関するガイドラインではより具体的に説明されています。LINEヤフーではDPOの活動の実効性を高めるためにどのようにしていますか?

中山:
LINEヤフーでは、CDO(チーフ・データ・オフィサー)やCPGO(チーフ・プライバシー・ガバナンス・オフィサー)、そしてCISO(チーフ・インフォメーション・セキュリティ・オフィサー)を任命しグローバルデータガバナンス体制を構築(※2)しています。

※2

多数の専門家から構成された管理部門が存在し、DPOはそのガバナンスやリスク管理体制に大きく依存して活動しています。そのため、DPOが独立した視点でどこまでみているのか、または、みることができるのか、そこに実効性があるのか、そしてDPOはどんな活動をしたのか。それらをユーザーや社会に対して透明性高く情報発信することがとても大切だと思います。

男性がソファに座り、横を向いて話をしている。背景には窓があり、都市の景色が見える。

社会の複雑化とリテラシーの課題

石井さん:
DPOを設置したことをユーザーや社会に伝え、その反応を見ることも重要です。ユーザーが「よかった、(この企業が提供するサービスを)信頼できる」と評価してくれるか、それとも関心が薄いのか。

いろいろな取り組みを真摯(しんし)に行ったとしても、ユーザーの積極的な評価に直結していないと感じることがあります。
仕事柄、ITに関心の高い学生と接することが多いのですが、そのような学生でも、複雑なcookieの仕組みを理解できているか、設定を十分に確認し、説明を正しく把握できているのか、承諾をすることでどのような結果が生じるかを理解し、適切な選択を行っているかと問われると、やや心許ないところがあるかもしれません。
そもそも世代を問わず、cookieについての説明を見ずに承諾するネットユーザーも多いでしょうから、通知と同意を得るというスキーム自体にも問題があるのではないかと思っています。

肌感覚ですが、幼少期からネットに触れてきた若い世代はプライバシーに無頓着なことが多いのではないかと思います。また、最近のある統計では、ネットニュースを見る人のうち、20~30代の若い世代はSNSからアクセスする人が6割以上いるようですが、ニュースの出所を気にする人よりも気にしない人の方が上回っているようです。
これは、ユーザーのリテラシーが低いこともですが、社会が複雑過ぎてわからなくなっていることも一因だと感じます。

たとえば、クラウドがどのような仕組みで、クラウド上にどのような情報があるのか、どの事業者がどのように扱っているのか、視認できない情報の流通が日常的に起きています。そもそもクラウドが使われていることすら気付かない場合もあると思います。
技術開発も進んでおり、最新技術や生成AIで生活が便利になっている一方で、ユーザーの理解が追いつかないことも多いです。その一方で、このような状況でDPOがどこまでチェックできるかというリソースの問題もありますね。

女性がソファに座り、微笑んでいる。背景には大きな窓があり、都会的な景色が広がっている。

中山:
DPOに関するガイドラインによると、会社は、DPOが個人データ保護に関するあらゆる問題に適切かつタイムリーに関与することを確実にする義務があります。ただ、DPO一人ではその活動に限界があります。そこで、会社はDPOに対して必要なリソース(予算、インフラ、人員など)を提供する義務も負っています。

取り扱うデータが複雑でセンシティブになればなるほど、そのリソースを増やす必要があります。会社の規模によっては、DPOを支援するチームを設置することも検討する必要があります。例えば、LINEヤフーでは、DPOをサポートするための専門チームを設置しています。

LINEヤフーのDPOとしてユーザーや社会の期待に応えるために、しっかり活動をしていきたいと考えていますが、その一方で、DPOがどの範囲まで業務を広げ、どの程度深く関与できるかについては、DPOを支援する人員や予算などのリソースが大きく影響します。そのため、それらの内容についても透明性を高め、DPOの活動が現実的にどこまで可能かをユーザーや社会が正しく把握し判断できるようにしていくことも大切だと思います。

企業がアカウンタビリティーを果たすためには、独立したDPOからデータ保護に関するアドバイスを受けた上で判断することが重要です。「アカウンタビリティーの原則(※3)」についても先生のご意見をお聞きしたかったのですが、企業がビジネスジャッジを行い、その結果として責任を取るという形が成立していれば、それで良いのでしょうか。

たとえば、GDPRでは、DPOが反対しても企業はDPOの意見を受け入れない理由とともに決定事項を記録に残せば良いとされています。その辺りについて、先生はどうお考えですか?

※3 アカウンタビリティーの原則:
企業がその業務や活動に対して説明責任を果たすこと。具体的には、企業が法令や規制を遵守し、社会的責任を全うすること。

男性がソファに座り、手を使って話をしている。対面の人物と活発に会話をしている様子。

石井さん:
アカウンタビリティーという言葉の意味についても触れておきたいです。以前は「説明責任」と訳される例が多かったという認識ですが、最近では「アカウンタビリティー」や単純に「責任」と表記される例も増えていると思います。私の理解では、企業が法令を遵守していることを説明できるだけのエビデンスを持っていることを指しています。

もし、DPOが反対意見を持っているのにもかかわらず企業がデータ利用を決定したのであれば、その理由をユーザーに説明できるようにしておくべきです。ビジネス判断に至った過程で、DPOがどのような意見を出したか、意思決定者とどのような議論があったのか、一連の記録を残す必要があると思います。

透明性と信頼の構築を目指して

中山:
日本では、サービスを利用した際に真っ向から意見を言うユーザーは限られていますが、みんな「あれ?」と思うところがあるはずです。その疑問に対して企業として、きちんと説明していかなければなりません。日本文化では、みんなが手を挙げて意見を言うわけではありませんから、その点も考慮する必要がありますよね。

先ほどのお話のように、ユーザーはそもそも無関心だったり、何をやっているのか複雑でよくわからないことはスルーしてしまったりしがちです。DPOとして、そのようなユーザーに関心を持ってもらうことは難しいかもしれませんが、何か問題が起きたときに、それがどういう問題なのかを翻訳してわかりやすく伝えた上で啓発する役割が日本では必要だと思います。

石井さん:
そうですね。そのためには、たとえばDPOとして何をやっているかを、ユーザーに向けて定期的に発信するのも良いかもしれません。DPOの存在とその活動状況を見せることで、ユーザーからの信頼を得ることにつなげられるのではないかと思います。

DPOは、それこそユーザーがどれくらいプライバシーを守ることに無頓着であるのかも知る必要があります。専門家とばかり話していてはだめですね。DPOはユーザー目線で意見を述べる立場なので、地に足のついた活動を行うためには、今の日本のユーザーのプライバシー意識がどうであるのかを直接知ることが重要です。若い世代だけでなく、従来型のメディアに依存しがちな上の世代も含めてです。

そのためには、いろいろな形での情報発信が必要です。情報が大量に流通している現代社会では、ウェブサイトに載せるだけでは自己満足に過ぎません。情報の伝え方も工夫が必要です。たとえば数十秒の動画でもいいので、DPOの日常や仕事の様子などを見せるなど、何をしているのかを知ってもらい透明性を高めていくことなども、普及啓発の観点から良い取り組みになると思います。

女性がソファに座り、真剣な表情で話を聞いている。背景には窓があり、都会の景色が見える。

中山:
確かに、そのような面も含めて、ユーザーのみなさまにもっとDPOについて知ってもらえるよう努力していきたいと思います。今日はありがとうございました。

私たちが「LINEヤフーにはDPOを設置しています」と宣言しても、それだけでは安心してもらえません。実際にDPOが何をしているのか、どこに注力しているのかを伝えることで、活動の透明性が上がり、実際の行動とイメージが一致することで信頼が得られるのだと思います。LINEヤフーのサービスを安心してご利用いただくために、私たちDPOの活動を広くお伝えしていきます。

関連リンク

取材日:2024年7月25日
※本記事の内容は取材日時点のものです

「LINEヤフー ストーリー」のロゴ
LINEヤフーストーリーについて
みなさんの日常を、もっと便利でワクワクするものに。
コーポレートブログ「LINEヤフーストーリー」では、WOWや!を生み出すためのたくさんの挑戦と、その背景にある想いを届けていきます。
一覧に戻る
Page top