私たちは日々、スマートフォンを手に取り、メッセージを送り、検索し、買い物をする。その1つひとつの行動が、巨大なデータの流れを生み出している。このデジタル社会において、企業は膨大な個人データを預かり、新たな価値を創造する一方で、その取り扱いの透明性と信頼性が問われている。
2月18日~20日に開催されたウェビナー「TECH+ EXPO 2025 Winter for データ活用 データを知恵へと昇華させるために」で、LINEヤフー Data Protection Officer(DPO)の中山剛志氏は、データ保護の最前線に立つDPOの役割と、日本における独自の課題について語った。
1億9600万人の日常を支えるデータカンパニーの使命
LINEヤフーは、「『WOW』なライフプラットフォームを創り、日常に『!』を届ける。」というミッションの下、検索・ポータル、eコマース、メッセンジャー、広告など、多様な領域において、世界で約1億9600万(2024年3月末時点)のユーザーが日々利用するサービスを展開している。
「めざめてから、眠りにつくその瞬間まで。さらには非日常のひとときや、いざという非常時も。進んでゆくあなたの毎日に、驚きと感動を提供しつづけます。」という同社のステートメントが示すとおり、ユーザーは24時間365日、同社のサービスを通じてデータを提供し続けている。メディアから通信まで網羅する同社の多様な事業ポートフォリオは、世界でも類を見ない規模でユーザーデータを集積している。そして、このデータを活用したパーソナライゼーションによって、顧客満足度の向上と市場での差別化を図っている。
しかし、データを利用する側と利用される側の利益は、必ずしも一致しない。そこで同社は、経営指針として「ユーザープライバシーファースト」を掲げ、それを支える5つの原則を制定。その具体的な取り組みとして、独立した立場でデータの取り扱いを監視するDPOを設置している。
-
LINEヤフーにおける経営指針
DPOの誕生と進化する役割
DPOという役職は、その誕生の背景から理解する必要がある。中山氏は「第二次世界大戦における大規模な人権侵害が、個人データ保護の必要性を強く認識させる契機となった」と説明する。政府による個人情報の管理と人権侵害という歴史的教訓から、1960年代にドイツで独立したデータ保護機関が設置され、データ保護担当者(DSB)が誕生。その後、1990年代のEUデータ保護指令を経て、2010年代にEUの一般データ保護規則(GDPR)が制定され、現在のDPOという役職が明確に定義されることとなった。
「かつては政府と市民の関係に主眼が置かれていましたが、現代では巨大データカンパニー対消費者という構図にフォーカスが移行している」と同氏は指摘する。GDPRでは、データを処理する公的機関・公的組織、データ主体を大規模に定期的かつ系統的に監視している場合、そして人種・宗教・健康情報等や犯罪記録を大規模に処理する場合といった、3つの条件に該当する組織にDPOの設置を義務付けている。
DPOの具体的な役割は多岐にわたる。同氏によれば、主要な機能として監視と評価、助言とサポート、情報提供とトレーニング、問い合わせ対応の4つが挙げられる。
「とくに重要なのが、データの監視役としての機能」だと中山氏は強調する。組織のデータ管理者やデータ処理者が、法律や社内規定を遵守しているかを独立的な立場で監視し、必要な助言を行うことが求められる。
また、DPOはデータ保護監督機関との窓口としても機能する。「ユーザーからのデータ削除要請や、どのようなデータを保持しているかという問い合わせに対する窓口としての役割も担っている」と同氏は説明する。
DPOに求められる揺るぎない独立性
こうした役割を適切に果たすため、DPOの独立性は法律によって厳格に保護されている。「データを利用する側と利用される側にコンフリクトがある場合、利用する側がインシデントを起こしたときに『こんな理由だったんだから、しょうがないでしょ』といった態度では信頼できない」と中山氏は語る。預けている側と扱っている側は利益が一致しない場合があり、その間で適切な監視と助言を行うためには、強固な独立性が不可欠となる。
DPOの独立性を支える具体的要件として、まず「指示・不利益処分の禁止」がある。DPOへの圧力や、不都合な意見表明に対する報復的な処遇を禁止することで、自由な監視・助言活動を保障している。
次に「利益相反の回避」として、DPOと相反する業務との兼務が禁止される。例えば、社長や人事部長など、データ利用に関する重要な意思決定を行う立場との兼務はできない。
さらに、実効的な活動を可能にするための「リソースの提供」も重要な要件だ。「私一人でデータ保護活動を行うのは難しい」と同氏が述べるように、DPOをサポートするチームの設置や、専門性を持つメンバーの配置が必要となる。そして「取締役会での報告権限」も重要で、「データの取り扱いはときとして事業継続に関わる問題となるため、経営層への直接の報告ルートが確保されていることが重要」だと説明した。
LINEヤフーでは、これらの要件を踏まえたDPO体制を構築している。グループ各社16社にDPOを設置し、5つの原則の遵守を監視・助言する体制を整えているという。
「重要なのは、合理的な意思決定を『客観的に説明可能』な体制であること」だと中山氏は強調する。データを扱う側が単独で議論して決定するのではなく、独立した立場からの意見を踏まえて意思決定を行う。そして、その過程が外部から見ても納得できる体制であることが求められる。
日本型DPOモデルの模索と未来
DPOは、GDPRが「アカウンタビリティ体制のコーナーストーン(説明責任を果たすための基盤)」と位置付ける重要な役職だ。しかし、このEU発の概念を日本で機能させることには独自の課題がある。
「日本ではコンセンサスを重視する文化があります。反対意見を言われることに違和感を持たない欧州と異なり、日本では反対意見を表明することへの抵抗感が強いのです。DPOが効果的に機能するためには、この文化的な違いを考慮する必要があります」(中山氏)
そこで、中山氏は2024年から、日本におけるDPOの啓発活動を始めている。「データを利活用しない企業はない。その重要性がますます高まっていくなかで、データを扱う側のアカウンタビリティを果たすことが重要」だと同氏は強調する。そして、そのための1つの手段としてのDPO体制について、「日本のデジタルエコノミーを発展させるうえで、共に考えて推進していきたい」と締めくくった。
中山氏が指摘するように、プライバシーの捉え方は国や文化によって異なる。そのなかで、日本の文化や企業風土に適合したDPO体制をいかに構築していくか。その答えを見出すことが、今後の日本のデジタル社会の発展における重要な鍵となるだろう。
