グローバルの基準に近づく日本の個人情報保護のあり方 - 顧客ID統合の重要性と、その実現のために

前回のコラムでは、EUの一般データ保護規則（GDPR）の影響についてご紹介しましたが、日本の個人情報保護のあり方についても見直しの動きが出始めているようです。

まず1つは、2018年末に個人情報保護委員会が「個人情報の保護に関する法律についてのガイドライン」を改訂したことが挙げられます。

今回の改訂では、個人情報保護法第28条に規定されている、企業などの個人情報取扱事業者が保有する個人データの開示請求に対する対応について条項が加えられました。（※関連記事1）
個人情報保護法では、保有する個人データの開示請求を受けた場合、個人情報取扱事業者は「遅滞なく、当該保有個人データを開示しなければならない」と定めています。ただし、その全部または一部を開示しないことができる事由の一つとして、「当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合」を規定しています。
今回のガイドラインの改訂では、この「著しい支障を及ぼすおそれ」について、『なお、「著しい支障を及ぼすおそれ」に該当する場合とは、個人情報取扱事業者の業務の実施に単なる支障ではなく、より重い支障を及ぼすおそれが存在するような例外的なときに限定され、単に開示すべき保有個人データの量が多いという理由のみでは、一般には、これに該当しない。』という説明を加えています。
この改訂は、以前から指摘されていた、企業が保有する個人データの開示請求への対応が消極的であるとする声に対応するものと考えられます。（※関連記事2）
この改訂により、個人データの開示請求に対してより積極的に対応する必要性が高まったといえるでしょう。

もう1つは、個人情報保護委員会が2020年の個人情報保護法の改正に向けた議論に着手したというニュースです。（※関連記事3）
個人が企業に保有している個人データの削除を求めることができる、いわゆる「忘れられる権利」の拡大が論点の一つになるとみられています。

この2つの動きは、ともに企業が保有する個人データの管理の重要性が高まっている、ということを示しています。現在、多くの企業においては、事業部やサービスといった単位で顧客ID体系を構築し、ばらばらに個人データを保管しているのが現状ではないでしょうか。その結果、ある個人に対して複数のIDと個人データが存在していてどれが「正確な」データなのかわからない、そもそもどの組織が、誰の、どのような個人データを保有しているかわからない、といった状況が起きてしまっているようです。
このような状況において、例えばある組織がデータの開示請求や削除要求を受けたとしたらどうなるでしょうか？その都度、他の組織にもその個人に関するデータが存在するかどうかを把握しなければならないでしょう。その作業には膨大なコストがかかるでしょうし、把握しきれずに開示請求や削除要求に十全に応えられなかったことが後で判明した場合、ペナルティを科される可能性もあります。

このような状況に対処するためには、存在している複数の顧客ID体系を統合し、複数の事業部やサービスが取得している個人データを一人の個人IDに正しく紐付けて管理する、いわゆる「シングル・カスタマー・ビュー」に基づくデータ管理が求められます。「シングル・カスタマー・ビュー」が構築されていれば、個人からの開示請求や削除要求がどのタッチポイントから入ったとしても、企業全体としてスムーズに応えることが出来るでしょう。

SAP Customer Data Cloud from GIGYA は、顧客ID体系の統合と「シングル・カスタマー・ビュー」の構築において優れた機能を有しています。ユーザーの登録・ログインに関する機能をクラウドで提供する RaaS (Registration as a Service) により、複数のWebサイトやアプリで共通のIDを利用することが可能になります。
Webサイトやアプリは、それぞれ提供するサービスに応じてユーザーから取得したいデータも異なっていることが多いでしょう。登録・認証プロセスにおいて、ユーザーからデータ取得に関する同意を得るだけでなく、ソーシャルログイン機能を通じてFacebookなどのSNSからデータを取得したり、認証済みのサイトから取得済みのデータを引き継いで新しいサイトが追加的に必要とするデータのみを収集したり、プログレッシブ・プロファイリング機能を通じてユーザーから興味・関心などに関する追加のデータ提供をお願いすることも可能です。
これらのファーストパーティデータは、すべて SAP Customer Data Cloud from GIGYA のデータベース内に管理され、「シングル・カスタマー・ビュー」を構築します。
SAP Customer Data Cloud from GIGYA は、セルフサービス型のプリファレンス・センター機能も提供します。プリファレンス・センターをWebサイトやアプリに実装することで、ユーザーはいつでも自身のデータを閲覧したり、削除したりすることが出来るようになります。削除については、外部のCRMやマーケティングオートメーションとデータを連係することが可能です。このデータ連係により、ユーザーからの削除要求時にそれを連携システムに伝播し、関連するツール群からも正しくデータを削除することができます。

日本とEUとの間で個人データの移転に関して「十分性認定」が正式に発効する（※関連記事4）など、個人データの流通・利用がグローバル化するにともない、個人情報の保護に関する法制度もグローバルの基準に近づいていくことが考えられます。今回の開示請求に関するガイドラインの改訂や、法改正における「忘れられる権利」に関する議論もそれに沿ったものといえるでしょう。今後の法改正の動きに先取りする形で、GDPRの概要についての理解を深めていただくとともに、GDPR対応において豊富な実績を有する SAP Customer Data Cloud from GIGYA によるID統合・顧客データ管理について関心を深めていただければと存じます。

※関連記事

1. 個人情報の保護に関する法律についてのガイドライン（通則編）（平成28年個人情報保護委員会告示第６号）の一部改正案の新旧対照表
   https://www.ppc.go.jp/files/pdf/181225_guidelines01_shinkyu.pdf
2. 日本経済新聞2018年10月9日付「個人情報の開示請求、言い逃れにノー（日経ビジネス）」
   https://www.nikkei.com/article/DGXMZO36068320T01C18A0000000/
3. 日本経済新聞2019年3月1日付「「忘れられる権利」使いやすく 個人情報保護法、見直し議論に着手」
   https://www.nikkei.com/article/DGXMZO41842250X20C19A2EA2000/
4. ZDNet Japan 2019年1月24日付「日本と欧州間の個人データ移転、枠組みが正式発効に」
   https://japan.zdnet.com/article/35131702/