「最大の防御は最高の攻撃の起点になる」ブログウォッチャー流プライバシーガバナンスとは！？

今回の事例紹介は、株式会社ブログウォッチャーさま（リクルートと電通のジョイントベンチャー。位置情報データを活用したサービスを開発・提供するマーケティングソリューション企業。）です。

位置情報の利活用は、現在のデジタルマーケティングにおいて重要な役割を果たす一方、プライバシー保護を巡っては様々な議論がなされています。

株式会社ブログウォッチャーさまでは、どのようにプライバシーガバナンス体制を整えているのか、社内ルールや従業員への教育はどうしているのか、など、ざっくばらんに語っていただきました。また、データの利活用に課題や不安を抱えている事業者のみなさまに向けたメッセージもいただきましたので、ご紹介します。

インタビュイー：
新村　生さん　株式会社ブログウォッチャー　代表取締役社長
曽根　尚史さん　株式会社ブログウォッチャー　経営企画室室長
奥井　涼子さん　株式会社ブログウォッチャー　広報担当

位置情報の利活用について

ーー位置情報をどのように利活用されていますか？

新村さん：
お客さまから許諾の取れたデータをお預かりして、分析と広告用途で活用しています。不動産業界、観光領域、都市開発などで、広告をより進化させていくために使っていただくことが多いですね。例えば、観光領域におきましては、2年前にリリースした「おでかけウォッチャー」というサービスがございます。自治体さまから、「ここを見たい」とご依頼いただいた特定のスポットや観光スポットに対して、その日何人来ているのか、どこから来ているのか、そして多く来ている人の属性（年齢と性別）を分析する機能があります。また周遊についても、「◯◯スポットの前にはXXに行っているようだ」といった情報を、直感的に分かりやすく分析ができるダッシュボードを納品させていただくなど、人流に関わる分析サービスを提供しています。

ーー位置情報を取り扱うにあたって、一番気をつけていることや、重要だと考えていることは何ですか？

新村さん：
ユーザーの情報をデータという形で預からせていただいている状況ですので、プライバシーの保護や、ユーザーにとって気持ち悪い使い方をしないようにすることが大前提であると考えています。LBMAの設立、ならびにLPマークという形で、自分たちだけではなく業界に対しても、安心・安全な使い方をしていこう、と注意や広報活動をしております。社内においても、「こういう使い方をするんだよ」という点や、その考え自体が動く可能性があることも含めた内容の勉強会を、定期的に行っています。

プライバシーガバナンス体制について

ーープライバシー保護に関する体制整備を始めたきっかけを教えてください。

曽根さん：
位置情報の活用に注目が集まり、マーケットが大きくなってくると同時に、このデータが持つ特定個人識別性の高さや、危険な使い方ができてしまう側面がある、という部分に目が向きました。先ほど新村が言ったように、ユーザーにとって気持ち悪い使い方をしないようにする必要性を強く認識したことがきっかけで、体制の整備を始めました。

ーー部署やチームはどのように構成されていますか？

曽根さん：
最終判断は、事業責任者も兼ねている新村が、社長として行います。その直下に置かれている案件審議チームでは、経営企画の室長をやっている私が責任を持って判断しています。案件審議において、案件の一次対応や属性ヒアリングはプライバシーテックさんにも手伝っていただいていますよね。現在は、こういった体制を組んでいます。

ーーデータ利活用の社内ルールにはどのようなものがありますか？

曽根さん：
「クリムゾンブック」という名の、社内におけるデータ憲法を制定しています。「ユーザーにとって不利益な使い方をしない」、「個人を特定しないよう配慮して使うべきである」といった思想部分や、個人を特定しないために施す具体的な加工方法が書かれています。新入社員に向けた研修は、このクリムゾンブックの存在と内容を理解してもらうことから始まります。あとは、案件審議会を毎週1回程度と高頻度で行っています。ここでは、例えば特定のセグメントを作ろうとした時に未成年が含まれる場合や、機微度が高い情報が含まれる場合、会社としてどう対応するかなどを判断しています。

新村さん：
こういった取り組みは、より強固に個人のプライバシーを守るという面でリクルートにも影響を与えているので、我々が最先端で顧客のプライバシーを守っていく流れを生み出しているという自信につながりました。

クリムゾンブックについて

ーークリムゾンブックは、どんなものですか？「憲法」と聞くと、文章だらけの難しそうなイメージを持ってしまいますが・・・。

曽根さん：
従業員全員にしっかり理解してもらうことが前提になっているので、全然文章だらけではありません。パワーポイントのスライド形式の形で、ビジュアルをたくさん入れて分かりやすく示したものになっています。例えば、匿名化の考え方についても、「"◯◯年に生まれたXX国の武将"といえば、事実上特定の人間を識別できてしまうよね」といったユーモアを交えた文章にすることで、分かりやすく伝えることを目的として作りました。奥井さんは最近入社されましたが、この辺分かりやすいな、工夫されているな、と感じたポイントはありますか？

奥井さん：
何がダメなのか、何に気をつけなければいけないのか、分かりやすく書かれているなって感じます。私は印刷したものをいつも鞄に入れているのですが、案件審議会で分からない用語が出てきた時にはクリムゾンブックを開いて確認するようにしています。文系の私にも分かりやすい内容で、とても助かっています。

ーー分厚い冊子なのかな、と想像してしまいます。

曽根さん：
実は昨年、50ページくらいの大ボリュームになっていました（笑）。そこで、全員に押さえて欲しい基本理念パートと、それをしっかり補足説明するパートの2つに分けました。プライバシー状況や法律の変化に合わせるため、年に1回改訂しているんです。その時に、ここは見にくいよね、ここはもう少ししっかり伝えるべきだよね、という点もチューニングしてアップデートすることで、分かりやすさを担保できるように努めています。

ーー策定にはどれくらい時間がかかりましたか？

曽根さん：
この部分は、山下さんの方が詳しいのでは（笑）。

山下（プライバシーテック）：
半年くらいですね。事実把握、課題特定、そしてその課題に対する対処策を議論する、そしてそのアウトプットを作っていく、という流れで作りました。アウトプットのところは、最初は文字だけのテキストでした。それを、理系のエンジニアだけでなく営業やその他文系の人にも分かりやすく、日々見てもらうものにするためにどうしたらいいか、と考えた結果、今の形になった、という感じですね。

ーー社内にはどのように浸透させていったのでしょうか？

曽根さん：
地道な草の根活動だったなぁと思います。最初は、営業のみなさんを含めて勉強会を開催することから始まり、その後、入社する社員には必ずこのクリムゾンブックを用いたデータプライバシー関係の研修を受けてもらうようにしました。オフィスに大学の先生をお招きして講演していただいたこともあります。他人事としてではなく、事業を行う上で自分たちが主体者として理解しなくてはいけない、という考えに持っていくことが大事だと思いました。一朝一夕にはいかないものですし、草の根活動をしっかり長く続けましたね。

山下（プライバシーテック）：
データを活用する上で、誰もが自ら率先してリスクに何かしらのエッジを立てて、どう対応しようか、と考えることができる組織を目指していました。行動を変えて習慣づけることが非常に重要だと思ったので、レビュー時に毎回必ず「クリムゾンブックの◯◯を見てね」とか、「クリムゾンブックのXXに書いてあるよ」と繰り返していました。参照先としてクリムゾンブックを定着させ、参照するものが記載されていない場合は改訂を通して追加していきました。今となっては、これを使って答えられないことはほとんどないかな。

ーーまさに「憲法」ですね。社内に浸透させていく際に、課題や障壁はありましたか？

曽根さん：
もちろんありますよ。今でも、ちゃんと見てもらい続けるのって難しいなって思いますし、いろいろなことを試しています。チャットボット形式でやるのがいいかなぁ、とトライしたこともあるし、大学の先生を呼んだらみんな関心持ってくれるかなぁ、と思うこともあるし、試行錯誤を続けています。

具体的な取り組みについて

ーー位置情報データの活用において、どのような技術的対策を講じていますか？

曽根さん：
当社のデータを抽象化する加工は、大きく2種類あります。一つは、k-匿名化と言われるのですが、ある地点にいた人を必ず2人または3人以上にすることで、個人を特定されないようにする加工です。もう一つは、行動履歴へのノイズ付与です。その人の移動の経路を、一つのデバイスに識別できないようにする、そういった加工をしています。

ーーとある場所に1人しかいなかった場合、その人のデータは取らない、ということですか？

曽根さん：
そうですね、消してしまいます。消してしまうので、お客さまや他の人の目に触れることがない、という状況を作ります。

ーーユーザーの同意を得る仕組みについて教えてください。どのように透明性を確保していますか？

曽根さん：
「ブログウォッチャーという会社にデータを渡している」、そして「我々がそのデータをこういう風に使っている」、ということを理解してもらう第一歩は、お客さまに書いていただくことだと考えています。私たちは自社のアプリを中心にデータを取っているわけではなく、当社の技術を使ってくださっているパートナーさんからデータをお預かりしています。そのパートナーさんからお客さまに対して、しっかりとコミュニケーションを取っていただいています。Termsと呼んでいる、当社のデータ利用の仕方について書いている資料を、プライバシーポリシーや利用規約に必ず入れてくださいとお願いしています。加えて、アプリ初回起動時のスプラッシュ画面に、「位置情報の利用についての記載」と「ブログウォッチャーが介在していること」を可能な限り書いてくださいね、というお願いもしています。

ーープライバシー保護のために採用している第三者機関の認証はありますか？

曽根さん：
当社では、Pマークを取得しています。更新番号を含め、ホームページに掲載しております。

ーー認証マークがあると安心感を与えることに繋がりますよね。

曽根さん：
そうですね。あとは、従業員にもちゃんと分かることが大事かなと思っています。LPマーク含め、認証を取得するということは、会社としてそういうことを大事にしているんだよ、と伝わると思うので、その観点でも大事かなと思います。

法規制への対応について

ーー法規制にはどのように対応していますか？

曽根さん：
まずは知るところからかなと思います。今こういう議論がされていて、そこではこういった論点があり、ついてはこうなる可能性がある、という流れを大きく捉えることが大事だと考えています。省庁の検討会や勉強会で話されていることについては、プライバシーテックさんの情報提供に助けていただきながらキャッチアップしています。そして、知ったあとは、自社のビジネスにどう影響があるのかを見立てていきます。例えば、位置情報の取扱いが法律上変わります、となった場合、当社のビジネスにどういった影響があるのかを見立てる、ということです。見立てたあとは、準備ですね。すごく影響の大きい話なのであれば、技術的に、そしてお客さまに対してどういった対処策を取って、どのように当社のビジネスを守っていくのかを考えます。そして、順次実行していきます。

従業員の意識と教育について

ーープライバシー関連の研修や教育は、どのように行っていますか？

曽根さん：
繰り返しになりますが、入社した段階で必ず全員データプライバシーの研修を受けます。研修資料の作成や話者はプライバシーテックさんにお願いしています。この研修で、当社が最も大事にしている、「個人の尊重」や、「ユーザーにとって気持ち悪い使い方・アンフェアな使い方はしない」という点、そのためにこういうことをしています、という点を学びます。他にも、Slackで案件審議のチャンネルを作って質問を受け付け、都度しっかり答える体制を作っています。また、チームリーダーやマネージャーなどの組織長に対しては、判断に迷うケースを取り上げた研修を行っています。

ーープライバシーガバナンスに関する全社的な意識改革で、成功した取り組みや事例はありますか？

新村さん：
どんな内容でも案件審議に入れようとする風土や、判断が分からない時にみんなで「本当の安心安全ってなんだろう」と議論しようとする姿勢を一人一人が持てるようになったことは、成功事例かなと思っています。何かを作って終わり、ではなく、次に何が起きるだろうか、その場合はどうなるのか、などと新しい事象に対しても今までの議論が通じるのかを考えることができているのは、データを使うプレイヤーとしては非常に良い点だと思っています。

奥井さん：
案件審議の場が週に1回あることや、Slackでとりあえず聞いてみよう、と思える環境があるのは良いことだなと感じています。気軽に質問ができるツールがあることは、風土醸成に良い影響を与えているんじゃないかなと思っています。

新村さん：
あとは、ルールを守るというよりも、一人一人が、倫理観を高めていこう、という姿勢でいることが重要だと思います。データを活用したビジネスが、プライバシー保護とのトレードオフの関係性にある中で、それを共存させてやっていこうという思いを一人一人が持っているのは、自覚が進んでいると言えるかなと。あとは、議論を進めやすいように適宜フローを改善させていることを含め、人数が増えるなど組織の変化にも対応できるような仕組みづくりを継続的に行っているのもポジティブなことだと思います。

ーー御社では非常に良い風土が形成されているんだなぁと伝わってきました。

奥井さん：
私は、「ガバナンスが大事ですよ」と言う立場にいるので、ユーザーのプライバシーを守るべきであって、それがあってのビジネスである、という点に共感してくれる人が多いことに助けられています。そういう人たちをこれからも増やしていきたいと思っています。

今後の課題や展望について

ーー現在のプライバシーガバナンス体制において、さらに強化したい部分はありますか？

曽根さん：
人が増えてきたこともあり、ちょっと相談しづらいよね、とか、もっと早く進めたいんだけど、という側面が出てきているのかなとは感じています。もっと伝わるといいな、と思うのは、うまい具合に乗りこなす方法ですね。何を基準に判断するのか、それをしっかり理解した上で、ハックするような人がもっと出てくると、ビジネスにおけるフェアウェイの広さがだいぶ変わるんだろうなと思います。そのため、まずは過去に起きた問題等を含めしっかり伝えていき、「これは大事なことなんだ」と理解してもらう活動を引き続き行っていきます。その結果、ビジネスとプライバシーが折り合う場所はどこなのだろう、と従業員一人一人が考えるようになってほしいなと思っています。

新村さん：
「攻撃は最大の防御」という言葉がありますが、逆も真なりで、最大の防御は最高の攻撃の起点になると思っています。もちろんレベルを上げ続けることが前提ですが、ここまでやっているからこそ、冒頭に挙げたような分析や広告をしっかりとやれるんだ、ということがみなさんの価値発揮になると信じています。そういった意味では、まだまだやれることがあると考えています。

ーー最後に、プライバシー保護の取り組みを進める他の事業者さんへ向けて、アドバイスがあれば教えていただけますか？

曽根さん：
ガバナンスすることが、事業ややりたいことを萎縮させるようであってはならないと思っています。体制を作るのであれば、事業側のことを理解して寄り添いながら、大事にするべきところは大事にする、ということが大切かなと。その観点では、「ガバナンスだから全部守りなんだ」という考えではなく、事業をどう成し遂げるかという視点から一緒に考えてくれるプライバシーテックさんはとても頼りになるパートナーだと思っています。

新村さん：
データを価値に変えるということと、ユーザーを守ることは切り離せません。ここを軽んずると、事業全体ができなくなります。ユーザーのためとは何か、という観点は経営アジェンダとして取り上げるべきだと思います。ただ、やり方が結構難しいので、そこはもうプライバシーテックさんにやってもらうといいと思っています。内部だけで取り組むと、どうしても甘えが出てきてしまうので、外部の方々と一緒にやることによって、それを許さない構造にする。そういった意味でも、協業関係を結ぶことが良いと思っています。

ーー弊社のアピールもしていただき、ありがとうございます（笑）。

新村さん：
任せてください（笑）。実際、価値を発揮していただいていると思っていますし、データを扱うプレイヤーとして一緒に広げていきたいなと思っています。

ーー今後とも、よろしくお願いいたします。本日は、貴重なお時間をいただきありがとうございました！

===

株式会社ブログウォッチャー
https://www.blogwatcher.co.jp/

===

◆ 関連記事
[Vol.1]「AIに興味はあるけど、何をどうしたらいいのか分からない」方へお勧め！プライバシーテックのAI開発実践研修とは！？