目次
ベルフェイスのコーポレートブランディングの一環として始まった、連載企画「ゼロからのバックオフィス構築物語」。
第5話をお送りするのは、コーポレートグループ 法務チームです。
本話では特に、「個人情報保護」や「プライバシー・ガバナンス」について深ぼった内容となっていますので、ぜひ最後までお読みいただければと思います。
皆さん、はじめまして。経営推進ディビジョン執行役員ゼネラルマネージャーの左古です。セキュリティ、情報システム、法務、内部監査などを管掌しています。
2022年9月28日に弊社主催でプライバシーガバナンス・個人情報保護法対応のセミナーを開催しました。
私たちスタートアップにとって、人材もコストも限られるなか、どういった姿勢・考えで取り組むべきか、有識者をお招きしましてお話を聞きました。
セミナーの概要については別記事で共有いたしますが、この記事ではセミナーでご紹介した当社の取組を一部抜粋してご紹介します。
岸田内閣がスタートアップ支援も成長戦略の一つにしている
岸田内閣は成長戦略の一環として「スタートアップ・エコシステムの構築」を掲げており、スタートアップ支援策一覧も経産省のHPに掲載されています。
各支援内容に要件があり、必ずしも自社にフィットするとは限りませんが、創業間もないスタートアップにとっては一助になるのではないでしょうか。
なぜスタートアップもプライバシーを気にするべきなのか??
さて、本題に入っていきますが、私たちスタートアップにとって、サービス展開や改善のスピード感はとても大事です。
しかし、その一方でプライバシー面の考慮をどこまでやらなければならないかに悩まれる方も多いことでしょう。
例えば、以下のようなケースが考えられます。
- 国はスタートアップによる技術革新への挑戦を推奨しているが、AIやIoTなどのデータ活用においてプライバシー問題にぶち当たることを想定している
- 私たちのように顧客が大企業であったり、センシティブな情報を取り扱う業種の企業様であったりすると、サービスの採用において一定以上の基準が求められる
他にも、もしプライバシー問題で炎上してしまうと、その対応に追われ、拡大戦略の前に火消しや対策に多大なリソースと費用が取られ、競争から脱落してしまう恐れさえあります。
この場合、平常時に計画的な対応や改善をするのであれば、10で済むところを、社会の納得を得るために15や20といった過剰なレベルまでコストとリソースを投下しなければならないこともありますので、この面でもしっかりと事前対策しておくことには合理性があるはずです。
しかしながら、プライバシー対策どころか、個人情報保護法対応という法的対応であっても、個別のサービスや会社における事情を理解して、なにがマストなのかベターなのかを判断し対応をする必要があります。それゆえに、紋切り型で「こうしておけば万全である」といえないことが、この判断の難しさだと思います。
(参考)当社サービスについて
当社は営業活動に特化した電話の拡張であるオンライン営業システムを提供しています。
商談の相手の方はアプリケーション等のインストールの必要もなく、当社ホームページで4桁の番号を発行することですぐに映像や画面を共有することが可能です。
接続すると、営業活動に便利な機能を様々利用することができます。
※サービスの詳細についてはこちら
サービスにおける個人情報・プライバシー情報の発生と当社の位置づけ
当社のサービスでは、契約顧客を”ホスト”、顧客のお客様を”ゲスト”と呼んでいますが、オンライン商談における個人情報の関係性は、ゲストの個人情報の利用をホスト企業に許諾いただき、当社は『bellFace』サービスの提供において個人情報の委託を受けているといった形になります。
こちらのページにも記載されていますが、当社サービスは銀行、証券、保険などの金融機関に加え、通信会社、コールセンター、その他多数の業種のホスト企業に利用されています。
ホスト企業とゲスト間の商談において個人情報やプライバシー情報が生じ、サービスのシステム内に蓄積されますが、例えば、商談時の表示資料、議事録となる共有メモ(ゲスト、ホスト双方で編集可能)、録画、録画の音声の文字起こしデータなど、個人情報やプライバシー情報が記録されうる箇所がいくつもあります。(どの機能を有効にするかはホスト企業ごとに異なります)
もちろん、基本的にはどのような情報が商談において発生し、蓄積されているかは関知していません。しかし、一方で、ホスト企業からお預かりしているデータに関しては安全に管理する義務が生じていますので、国際標準規格であるISO27001に準拠した情報管理体制を整備・運用することで安全性を担保しています。
プライバシーガバナンス体制
当社は情報セキュリティ体制の中に、個人情報保護とプライバシーガバナンスの体制を設置しています。(2016年にISMSを取得したことで情報セキュリティ委員会が先に発足しました。)
また、私が社内セキュリティ責任者を兼務しており、私が管轄する形で、法務マネージャーをリーダーとしたプライバシーワーキンググループ(WG)を設置しています。
通常、プライバシーWGの定例は、法務、セキュリティ中心に課題の議論をしており、必要に応じてビジネスやシステム系との連携を行っており、全社に関わる決定事項は、定期開催している情報セキュリティ委員会へ上程し報告(決議)されます。
ここで工夫していることとしては、個人情報保護法、Q&Aなど法的内容を読み砕いてから、事業部門へ法的要求事項を踏まえて相談するステップを踏むことで、精度の高いコミュニケーションを担保している事が挙げられます。
さらに、次の段階で重要になるのが、法務とシステムの言語の違いを吸収することができる人の存在です。
たとえば、「法的要求はこのようになっていて、システム上ではこのように蓄積・実装されているから、2つの状況を踏まえてこのように対策しよう!」と進めるには両部門の前向きな歩み寄りが必要になりますが、両方の理解がある人材がいれば相当のスピードアップが望めます。
ありがたいことに、当社においてはシステム側に法的な理解のある人が何人も在籍しており、プライバシーWG側としては私自身がシステム開発の出身ということもあり、システム側との会話がスムーズに行きやすい面もあります。
改正個人情報保護法対応の体制
特に、先般の改正個人情報保護法への対応は、顧客とのコミュニケーションや、プロダクト、コーポレートサイト、マーケティングなど対応事項が多岐に渡ることから、プライバシーWGを母体に先般の改正個人情報保護法対応を行いました。
実際には、プロダクトから、コーポレート、マーケティングまで多岐にわたり対応事項がありましたので、領域ごとにワーキンググループ(WG)にわけ、対応を実施しています。
また、すべてのWGを同時に立ち上げたのではなく、まずはお客様対応を優先してサービスとお客様コミュニケーションを先に立ち上げ、次に新規対策点の多かったマーケティング系、最後に自社営業関連と採用関連を組成しました。
サービス提供関連
法的要件を満たすプライバシーポリシー、利用規約へ改定し、商談開始時にポリシー文書を提示するように改修しました。
マーケティング・コーポレートサイト系
マーケティング・コーポレートサイト系はサブドメインごとに異なる仕組みで構築されており、構築の時期・経緯から掲載されているポリシーにもばらつきがあったことから、フッターに標準で掲載すべきポリシーと、サイト特有のポリシーを定義し、各サイトの改修担当に依頼をしていきました。
また、マーケティング関係のクッキーを複数発行していますが、ちょうど過去導入したものの現在は使われていないマーケティングツールのクッキーを整理している最中であったため、同時に進める形で目的別にクッキーを整理・分類し、クッキーを管理するプラットフォームを導入することでサブドメインを横断して同一挙動となるように設定しました。
あわせてポリシーWGでクッキーポリシーを新設・公開しています。
自社営業関連
当社がお客様より個人情報を収集するケースを洗い出し、プライバシーポリシーに同意していただいた上で、資料請求やウェビナーなどに申込していただくよう、各種フォームにもれなく掲示されていることを確認していきました。
加えて、今回の改正で強化された部分の一つである開示等の請求に関して、関連文書を整備し直しています。これにともない、もし請求が来た場合の受領から処理、回答までの業務フローを整えました。
もちろん、これは単に請求文書を用意しただけでなく、実際に請求が来た場合に、該当のデータを開示・変更・削除できるよう、社内でどのようなデータフローとなっているかを確認していき、起点となるデータを変更・削除することで反映されることを確認済みです。
リリース
本記事を執筆しつつ振り返ってみると本当に多岐に渡って関係者を巻き込んで対応してきたと感じましたが、週次でプロジェクトで進捗と課題を管理していたことで、改正個人情報保護法の施行期日よりも余裕をもった上で、予定通り2022年2月29日にすべてのリリースを実施することができました。
ホスト企業の商談開始の業務プロセスに影響のある改修であり、間に合わなければホスト企業が個人情報保護法に違反してしまうため、早め早めに準備し、事前に予備日も設定して、想定外の事態があっても法律の施行日に間に合うように進めてきましたが、社内の関係者が協力的に対応してくれたことが最も大きなポイントだったと感じています。
サービスの安全安心を維持する
サービスは常に改善していきますので、プライバシーWGとしては、問題のある機能がリリースされてしまうことは事前に回避しなければなりません。
幸い当社の開発陣は個人情報保護やプライバシーにも理解のあるメンバーがいるので、即座におかしい機能がリリースされてしまうことはないのですが、開発プロセス上においても法務・プライバシー相談を組み込みたいものです。
当社は、Open Product Management Workflow(OPMW)というフローに基づいて開発を行っており、特にOPMWのストラテジーフェーズにおいて気軽に相談してもらえるように働きかけをしています。
しかしながら、すべての案件においてフルスペックのフローが回るわけではないので、気になったら気軽に相談してもらえる関係を構築することも大事だと考えています。
プライバシー配慮をサービスに活かす
当社のサービスにおいては上述の通り、ホスト企業とそのお客様(ゲスト)の商談において様々なプライバシー情報が発生します。
例えば、ホスト企業が生命保険の顧客であれば病歴や加入保険の情報、通信系の顧客であれば申込情報、コールセンターの顧客では顔や部屋の映り込みなど、顧客によって様々なプライバシー情報が生じます。
当社でもプライバシー配慮は検討していますが、顧客からの声を吸い上げ、それをサービス改善に活かしています。
例えば、ホスト企業がゲストに画面の一部操作を委譲する「リモコン」という機能がありますが、パスワードなどホスト企業側に見せたくない情報を入力することがあります。このようなケースに対応するために、ゲストが入力した情報をホスト企業側の画面には表示しない機能をリリースしています。
また、ホスト企業、ゲストのみなさんに安心してサービスをご利用いただくために、ISO27017(CLS)を今年新たに取得しました。これによって、これまでのISMSによる企業の情報セキュリティマネジメントシステムの認証に加えて、サービスについても直接国際標準規格に準拠していることが認められました。
プライバシーガバナンスの4ステップ
当社もまだまだ試行錯誤しながらガバナンスレベルを高めようとしていますが、4つのステップを意識していくことが良いのではないかと考えています。
自社、及びサービスにおいて、どのような個人情報や個人データを扱っているかを理解する
- まずは、単体で個人情報になるもの、容易照合性によりなるもの、より厳格な管理が必要な要配慮個人情報、特定個人情報など、サービスや社内で取り扱っている情報を特定する。
- 業務及びシステム内で発生から、蓄積、廃棄までのライフサイクルを把握し、個人情報と個人データの違いを理解する。
- 可能であればプライバシー情報についても洗い出しする。
全社体制を構築し、社内での個人情報保護・プライバシー保護の理解を広げる
- 当社は改正個人情報保護法の取り組みも活用して常設のプライバシーWGを拡大し、全社的なプロジェクト体制とすることで、主要担当者の理解の深化、全社への研修を通じて意識の向上を推進しました。
- サービスの特性上、個人情報の海外移転に関する許諾は受けていません。このため、保有個人データを海外に蓄積すること、また海外からこれらのデータに触れうる業務については実施できないため社内でも禁止事項として周知を行っています。
サービス・システム開発において法務等のチェックプロセスを組み込む
- 開発プロセスにルールで組み込むことと、気軽に相談できる関係性の構築の両輪が必要だと考えます。
個人情報保護、プライバシー保護によりサービスの価値を高める
- プライバシー保護はブレーキではなく、サービスの安心安全を提供するドライブとして前向きに取り組む。
今後も当社サービスを安心・安全にご利用いただけるよう、サービスの進化と並走できるプライバシーWGを担保し続けたい考えています。
※ベルフェイスでは、現在採用を積極的に行っています。少しでも興味をお持ちの方は、ぜひ以下の情報も参考にしてみてください。