個人情報保護法改正のアンケート結果から見る「攻め」と「守り」のデータ利活用の実態

2022年4月に、個人情報保護法が改正された。デジタルマーケティング研究機構（DMI：Digital Marketing Institute）では、それに合わせて会員企業に対応状況などのアンケートを行っている。「Web担当者Forumミーティング 2022 秋」では、その結果を見ながら、各社がどのように対応を行ったのか、これからどのようにデータと向き合っていけばよいのか、パネルディスカッションが行われた。

モデレーターはデジタルマーケティング研究機構の小林秀次氏。パネリストはイーデザイン損害保険の友澤大輔氏、ビーアイシーピー・データの渡邉桂子氏、データサイエンティスト協会の佐伯諭氏だ。

改正法への対応は、ゆっくりだが進んでいる

アンケート結果

改正法への対応を主導した部門は、法務部門が一番多い。続いて、宣伝・マーケティング部門、経営層からの指示、システム部門、新設の横断組織（データガバナンス部門）という順で多かった。

対応状況については、対応済みが47％、これから対応するが43％。調査時期が3月から4月なので、現時点では対応済みが増えている可能性もある。

対応内容に関しては、基本的には利用規約やプライバシーポリシーの改訂で、その他、開示請求対応フローや情報漏洩対策対応フローの整備をあげた企業もある。

また、対応のためにどのように情報収集したかも聞いている。外部有識者・弁護士の支援を仰いだ企業が一番多い。

この回答で特徴的だと思うのは、先進企業や同業他社にヒアリングしたという企業がけっこう多かったことだ。他の取り組みでは他社に聞くことは、なかなかできないが、個人情報保護法対応は『隣の会社に聞いてみる』ができるテーマだからだろう（小林氏）

改正法によって考えられる影響としては、ターゲティング広告の減少のようなネガティブなものもあるが、顧客からの信頼向上や問い合わせの増加、企業価値向上といったポジティブな影響をあげた企業もある。

改正法を受けて、施策をどのように変更するかという質問では、CDP（Customer Data Platform）などのデータ基盤を整備し直すという回答が最も多かったが、1st Party Data（ファーストパーティデータ）の取得に投資を増やすという声も多かった。

法改正にポジティブ「信頼性や企業価値向上につながる」

個人情報保護の話は、一般的にはネガティブな話として取り上げられることが多い。しかし、友澤氏が注目したのは、「信頼性の向上や企業価値の向上につながる」といったポジティブな反応が意外と多かったことだ。

また、佐伯氏は、アンケート結果は約半年前のものだが、GoogleのCookie（クッキー）廃止が延期されているように、現時点でもまだ大きな動きになっていないことから、ゆっくり徐々に浸透していくのだろうと語る。

渡邉氏もまた、意識は着実に進んでいるのではないかと話す。

対応済みと答えた企業が47％と微増だったのは、『改正法への対応＝プライバシーポリシーの修正』と考える方が多かったが、もっとやらなければいけないことがたくさんあると気づいて、『わが社は改正法に対応済み』と言い切れないためではないか。意識は着実に進んでいる印象を受けている（渡邉氏）

また渡邉氏は、全体として改正法への対応を考える方向に進んでいると思う理由として、「個人情報保護法対応やポストCookieのようなタイトルのセミナー案内メールがたくさん来る」ことをあげた。確かに、「改正個人情報保護法への対応」というメールタイトルを毎日目にすると、やらなければという気分になるし、これまで興味のなかった経営層もエデュケートされる。

友澤氏も、意識の高まりを感じているという。

以前はCookieの話だけだったが、個人情報の話も増えてきて、今はその2つを組み合わせて、データガバナンスやデータの使い方という話が増えた。現場の温度感は高くなってきている。この現場の温度感と上層部の理解とのギャップが課題だが、セミナーなどによって現場もより理解するようになり、上の人も予算やリソースを割くモードにはなってきた（友澤氏）

まじめに対応している企業が損をせずに「攻めのデータ利活用」ができるのか？

改正法の話になると、まじめにやる企業が損をすると考えている人が多いようだ。ここからは、「攻めのデータ利活用において、まじめにやっている企業が損をしないためにはどうすればよいのか？」について話し合われた。

『データのこういう使い方はダメだ』というのは新聞報道などでもよく目にするが、『データがお客様の価値に貢献できた』というデータ活用の話は目にしないことが、改正法をネガティブに捉える一因かもしれない。そのためにも、適切にデータを利活用しているケースを、いろいろな形で示す必要がある（友澤氏）

では、適切にデータを利活用する例にはどのようなものがあるのか？　佐伯氏は、ある企業で、お客様データと別の会社のデータを、同意を得ながらマージしてプラスアルファのデータ価値が生み出せないかという実証実験を行っている例をあげた。

やってみると、ID認証のプログラムを書くとか、匿名加工するタイミングがいつで、仮名加工するタイミングがいつかなどを本気で考えるプロセスが生まれてくる。そこからが、攻めのデータ利活用の第一歩だ（佐伯氏）

佐伯氏の手がけている実証実験では、「最初はクレームが来るかもしれないとおっかなびっくりだったが、思ったよりすんなりいっている」という。苦労してでも、新しいことをやっていくうちに先駆的なデータ企業になる可能性があるだろう。

小林氏は、「苦しいかもしれないが、今までのやり方をそのままやることが苦しいのであって、きちんと手順を踏めば、新しいことができるだろう」と「攻めのデータ利活用」の大切さについて語った。

守りのデータガバナンスとして、自社の取り組みを顧客に知ってもらうことが必要

攻めがあれば守りもある。「データを活用して価値を生んでいること」が「攻め」なら、「データを正しく活用していることを顧客に伝えること」、データガバナンスが「守り」になる。渡邉氏は、守りで重要なのは「伝えることのコミュニケーションコストをかけることだ」という。

プライバシーポリシーの関連ページとして、パーソナルデータ指針などを作られている企業が増えてきたと感じる。それは、自社のパーパスと照らし合わせて、『私たちはお客様にとってどういう存在でありたいか』ということを『データ文脈だとこうですよ』と宣言することにほかならない。きちんと伝わるように、1つの言葉遣いにも注意しながら作成することが重要になる（渡邉氏）

守りにおいては、自社の姿勢、理念、方針を届けること、誠意をもってお客様と向き合うことが大切になる。そしてそのためには、どのようなデータが自社にあるのか、データの整理が必要になる。

では、各企業でデータを管理する部門が設置されているのだろうか？ 小林氏から、データガバナンス部門の設置状況やCPO（Chief Privacy Officer）の有無についてのアンケート結果が示された。

データガバナンス部門が設置されているかどうかという設問では、「はい」が57％と半数を超えていた。また、どの部門で構成されているかという設問では、「システム部門」「法務部門」など、バランスよく入っている。各社とも、設置していかなくてはいけないと理解しているようだ。

CPOがいるのは、53社のうち9社のみ。どの部門から出ているかは、開発部門、外部からの招聘、宣伝・マーケティング部門というケースもあるが、総務や法務のこともある。いろいろな部門から出てはいるが、まだ少ないのが現状だ。

これらのアンケート結果を受け、各パネリストからはCPOという役職の難しさについて語られた。改正法への対応が前に進むためには、CPOには「役割」とともに「十分な権限」が必要になる。責任だけ負わされて権限がない状態では、CPOがつらくなってしまうからだ。また、CPOにはプライバシー等への知識も求められるので、かなりハードルの高い役職になる。

CPOが守りを強固にするあまり、門番のようになってしまうとデータ活用が進まなくなる。「データを活用する」ことを前提に、何を取得して、どう使っているのかを透明性をもってやっていくことが大切になる。

「データ収集→蓄積→加工→活用」というステップで考えよう

アンケートでは、改正法対応で困っていることや気になることについても尋ねている。中には、次のような悩みが吐露されていた。

• 社内で散財している情報を統合することの難しさを感じています

この悩みに対してパネリストたちからは、データの統合というとすぐにIDで繋げるという話になりがちだが、データを収集して蓄積し、加工して活用するというステップで考えるとよいという。

• 収集：何のデータをとっているのか
• 蓄積：どこに蓄積しているのか
• 加工：IDで繋げるのか、何のキーで繋げるのか
• 活用：何のために（どう）使うのか

提供された情報がどんな価値になるかを、ユーザー側がイメージできるように伝えよう

セッションを視聴している人からは、「ユーザーに対する利便性の提供とプライバシー情報のトレード関係」についての質問があった。欧米ではユーザーリテラシー向上への取り組みが進んでいるが、日本では「データを取得されるなんて気持ち悪い」と捉えているユーザーが多いという悩みだ。

これに対してパネリストからは、何のために（ユーザーにどのような便益を提供するために）、どのようなデータを取得するのか、範囲を狭めてきちんと知らせることが大事になるとの回答があった。その際、情報がどんな価値になるかをユーザー側がイメージできるように伝えることが重要になる。

攻めの利活用を目指すマーケターは、守りの人ともっと話そう

最後に、今回のパネルディスカッションのまとめとして、各パネリストから次のようなポイントが語られた。

攻めと守りは対立構造になりがちだが、徹底的にポジショントークをした方がよい。個人情報保護法改正はマーケターにとって当事者意識のない事案かもしれないが、学んでいただくことで守りの人たちと戦って、良い雰囲気を作ってほしい（友澤氏）

プライバシーポリシーはプライバシー保護対応のほんの一部分でしかないが、企業の根幹に関わる。プライバシー保護に意識を向ける大事な機会なので、法務部、情報システム部、マーケティング部など各部門の人にも積極的に考えてほしい。プライバシーポリシー作成が深く考えるトリガーになればよいと思う（渡邉氏）

攻めと守り、両方ともキーワードは『顧客価値の向上』だ。一歩踏み出すことをしていけば、世の中が少しずつ変わると思う（佐伯氏）

モデレーターの小林氏は、「マーケターがデータを使っていろいろやりたいのであれば、法務の人と話せる共通言語が必要だろう。プライバシーポリシーや規約は法務任せではなく、マーケターが法務と対話を重ねることで互いに歩み寄ることが大切。そこにシステム部門も入るのが健全な形だ。引き続き、各部署で連携して話を進めてほしい」とまとめた。