「データをいかに集めるか」から「どう管理するか」へ

――中国だけではなく各国も同様の法規制を取ってくるだろうというお話でしたが、今、日本では、DXが始まって、その先にデータを使って何をするかという話になっていますよね。これから、どういうふうにデータを管理していくべきなのでしょうか?

寺川 データにはさまざまな価値がありますし、データに対して新たな価値を生み出すこともできます。行動ターゲティングマーケティングなどはその一例ですが、データに基づいて新しい問題に対応できるようになれば、価値がなかったデータに新たな価値が生まれます。実際、当社のお客さまのサービスでは、さまざまなデータをもとに人間らしいコミュニケーションを実現しているものもあります。DXを通じて実現したいのは、こういった新たな価値をデータから見いだすことだと思います。

 それと同時に、データにはリスクもあります。プロファイリングが誤った利用をされると、個人が悪質なサービスに誘導されてしまうことや、本来購入する必要がないものを購入し続けることで困窮するということが生じてしまいます。車と同じで、データは安全に利用しなければなりません。

 DX時代といわれますが、組織はデータの適切な保護はもちろん、そのデータの先に個人がいる場合、個人の適切な保護を行わなければなりません。だからこそ、企業はデータプライバシーやデータセキュリティをしっかりと管理する必要があります。どういうふうに管理するかというのは簡単ではありませんが、最も大切なのは管理するための仕組みを作ることです。組織のオペレーションがデータプライバシーやデータセキュリティをby design(バイデザイン)で保護するように文化を醸成し、浸透させることが最も大切な取り組みとなります。

 情報セキュリティ対策やプライバシー対策としてさまざまなツールを用いることになりますが、最も大切なのは、そのツールを使うための組織を成熟させることです。こういった取り組みは「セキュリティガバナンス」あるいは「プライバシーガバナンス」と呼ばれ、少しずつ日本国内でも認知されるようになってきました。

――その際、何が一番重要なポイントになるのでしょうか?

寺川 ガバナンスはリスクベースのアプローチを採りますので、まずは現状を正確に把握することです。今、何ができていて何ができていないのかを把握したら、あるべき姿を確認し、そのギャップを埋めるという活動を行います。自分自身を知らないといけないというのは、人も組織も同じですね。

 この際、大切なのは、ガバナンスに関係する活動がビジネスのリスクにならないことです。コンプライアンス対応であることが多いのですが、コンプライアンス対応として正しいことをしたところで、それによってビジネスが失速するのであれば本末転倒です。つまり、ビジネスが加速することを可能とするようなガバナンスを整備することがポイントとなります。

 よく私はコンプライアンス対応は車のブレーキのようなものだと説明します。ブレーキは車のスピードを緩めますが、同時にブレーキがあるからこそ車は安心して高速で走行できます。ブレーキがあるからこそ、長距離の移動が可能となり、移動が拡大したからこそ街が拡大し、経済的発展も可能となりました。同じように、コンプライアンス対応を行っているからこそビジネスは前に進むことができ、安心してアクセルを踏み込むことが可能となるのです。データセキュリティ対応も、データプライバシー対応も、組織に新たな価値をもたらすことができる活動です。

――それを誰がやれるのかという話になると思いますが、業務として外部に委託する形がよいのか、社内で専門知識を持つ人材を育てていくのか、どちらがよいのでしょうか?

寺川 組織のことは、本来組織でやるのが一番です。ただ、ノウハウは学ばなければなりません。最初は「型」から始めるのが良いでしょう。武道や芸事が「型」から始めるのは、「型」が人を作る部分があるからです。最初は当社のような外部の専門家を交えて正しい「型」を学び、習い、少しずつ自分たちに合わせて変化させ、最終的には各組織オリジナルのガバナンス体制を生み出すことができるといいと思います。

 外部に委託したときに大切なのは、いつかは自分たちで実装するという視点を忘れないことです。外部の人がもたらす専門知識を基礎から学ぶ立ち位置の人を組織の中に複数人、用意するとよいでしょう。我流でもなんとかなるのですが、私は基礎から丁寧に学ぶのが一番早いし自然な形になると思っています。当たり前のことを当たり前にやれる組織がいい組織だなと思います。

――データをいかにうまくマネジメントしていくかが重要になってくるということなのですね。グローバルで見ると、それはもう始まっているのですか?

寺川 はい。プライバシーについていえば、さまざまな国がプライバシーマネジメントプログラムの重要性を強調しています。シンガポールやフィリピンでは2018年ごろから、コンプライアンスからアカウンタビリティへといって、積極的に個人データのマネジメントを推進しています。データセキュリティの分野でも、データガバナンスは以前からずっと重要性が強調されていましたし、一部の企業ではCDO(チーフデータオフィサー)を設置しています。最近では、医療系や金融系を中心にデータ単位で暗号化を導入する企業も増えていると聞いています。

 日本でも先進的な企業ではCDOを設置しています。プライバシーについてもPマークはまさにプライバシーマネジメントを体現したものです。だから、日本が遅れているということは決してありません。ただ形はあるのですが、そこに血が通っていないケースがまだまだ多いように思います。データの管理を組織の中に文化として落とし込み、その価値を組織に属す人に浸透させる努力がもう少し必要なのだろうなと思います。