新型コロナウイルス対応のドタバタに紛れてあまり話題になりませんでしたが、去る6月5日に改正個人情報保護法(以下「改正法」)が成立し12日公布されました。2022年春の施行が予定されています。
(参考:個人情報保護委員会配布資料 https://www.ppc.go.jp/files/pdf/200615_shiryou1.pdf

事業者側の対応義務の詳細は、間もなく提示されるガイドラインやQ&Aを見てみないと分かりません。しかし今回の改正法への対応は「ガイドラインに沿って必要最低限のコンプライアンス対応をする」というスタンスではなく、個人データ収集・活用について自社のあるべき姿やビジョンを明確にし、積極的に表明できるように準備した方が良いのではないかと思います。
DXを推進している企業にとってはその本気度合いを試される試金石になるでしょう。

出典:個人情報保護委員会

きちんと対応するなら明確な方針のもとで仕組み作りを

例えば今回の改正では個人データ利用の停止・消去などの請求をしやすくし、デジタル形式での情報開示も請求できるようにするなど個人の権利がかなり拡充されました。

また、cookieなどを想定した「個人関連情報」という概念が新たに導入され、第三者に提供した個人関連情報が個人情報と紐づけられる場合には事前にユーザーの同意を得る必要があるとされました。

これらの要件に正面から積極的に対応するためには、ある人の全ての個人データを特定できるようにする必要があるので、まずcookieデータなども含めてあらゆる個人データを統合して共通IDで管理する必要があります。新たにCDP(Customer Data Platform)の導入を検討すべきかもしれません。

また、ユーザーの同意を取得して管理する仕組み=CMP(Consent Management Platform)も検討する必要があります。本格的なCMPでは個人データ利用の同意はもちろん、各種コミュニケーションの可否なども一括でユーザー自身が設定・管理することができます。欧米系の企業では「お客様への連絡手段」としてEメール、SMS、電話、DM、さらにはターゲティング広告も含めて可否を一括設定できたり、企業が保持している個人情報の概要をユーザーが自由にPDFでダウンロードできるところもあります。

ただ、そもそもこのような仕組みを作るためには「どんな個人データを、何のために、どう活用するのか」というデータ活用に関する明確な方針が必要です。そしてその方針をユーザーにも明示して同意を得なくてはなりません。

必要最低限の対応でも問題はないけれど…

一方で、法務リスクを最小化して法律に抵触しない最低限の対応で済ませるなら、出来るだけ個人データを取得しないようにしたり、プライバシーポリシーをcookie規制に対応して変更するなどしてガイドラインの求める最低限の対応で済ませる、という考え方もあるでしょう。

もちろんそれでも問題はないと思います。実際2003年に初めて個人情報保護法が施行された時には、個人情報保持のリスクを避けるためにメールマガジンを廃止し、ユーザーのメールアドレスを全削除した企業もありました。個人情報に関する問い合わせ方法をいまだに郵送だけ(!)に限定している企業も多いのですが、ガイドラインでは文書による対応でも可と明記されているので、コンプライアンス上は問題ありません。

今、企業はコンプライアンスよりも倫理観を問われている

しかし当時と今では2つの点で状況が全く異なります。

まず、ビジネス環境のデジタル化が急速に進む中で膨大なデータが収集され、そのデータが企業にとって重要な武器となることが認識されるようになりました。将来を睨んで戦略的なデータ収集を行わなければ競争力を一気に失う可能性もあります。ユーザーから必要なデータを収集できない企業は衰退していくでしょう。

次に欧米や日本のような民主主義国家では、企業が法令を遵守するのは当然として、それを上回る倫理観が求められるようになってきました。

今回の改正法も、EUのGDPRや米カリフォルニア州のCCPAも、要は企業に対する個人の権利を守ることが目的です。それは寡占化した巨大プラットフォーマーのようなIT企業の力が個人に対して強大になり過ぎたことへの反動といえます。今年1月にGoogle Chromeがサードパーティーcookie排除の方針を発表しましたが、Googleはユーザーからの個人情報に関する「透明性」「選択肢」「コントロール」の要求に応えなければならないとしています。Facebookの個人情報漏洩事件は法的というよりも道義的な問題として大きな非難にさらされましたし、日本では「リクナビ」での個人データの取り扱い方が大きな問題になりました。

これらのことで問題にされているのはコンプライアンスでなく企業倫理です。人種差別や性差別への企業の対応に対する厳しい視線や、今も尾を引いているFacebookへの広告ボイコットの問題も根っこは繋がっているのではないでしょうか。

日本の場合はそこまで強く意識されていませんが、それでも企業を見る目は厳しくなっています。「法律が改正されたので最低限必要な対応をしました」ではなく、「(法令遵守は大前提として)私たちは皆さんからお預かりする個人データをこのように活用して役立てます。だから今後このように対応します。」と自らの言葉で表明できる企業の方がユーザーから支持されるのは当然でしょう。

コンプライアンス対応でなく戦略的なDXの取り組みとして考える

例えばDXを推進していて顧客データの収集と活用が肝になっているような状況であれば(結構多いと思いますが)、今回の改正法への対応を一つの機会と捉えて、ガイドラインに沿った必要な対応は当然として、より踏み込んだ戦略的な取り組みにしていくべきではないかと思います。

自社が個人データ=個人の権利とどう向き合う会社なのか、データの活用によってどんな顧客体験を提供していくのか、というビジョンを企業理念と合わせて内外に示し、ユーザーが喜んでデータを登録したくなるベネフィットや顧客体験を分かりやすい形で積極的に提示し、先進的なデータ管理の仕組みを用意して、一気に認知も拡大してデータ収集と活用を加速する。明確なユーザーベネフィットを提供できるパートナーと組んでデータ連携によるサービスを提供する。

さらに一歩踏み込むと、ユーザーを、製品・サービスを利用しデータを共有することによって企業と共に価値を創り出すパートナーとして定義することもできるのではないでしょうか。

顧客との価値共創を説いた『コ・イノベーション経営』(※)の中で最初に紹介されているのは心臓ペースメーカーの事例でしたが、それは患者が埋め込み機器からのデータを共有することで、医師が心臓の働きをモニタリングして適切なアドバイスや医療サービスを提供するというものでした。ある意味究極の個人データの共有ですね。

IoTがさらに本格化するこれからの時代、ユーザーは製品・サービスそのものやアプリ、webサイトの利用を通じて自身のデータを企業にリアルタイムで共有できます。企業はそのデータを活用して製品・サービスをパーソナライズし、最適化し、改良することができるわけですから、考え方次第で上の事例のような価値共創がいたるところで可能になります。

例えばテスラ社の現在のプライバシーポリシーを見ると収集するデータの内容が細かく記載され、住所・氏名やメールアドレス、cookie、はもちろん、車両から送信される位置情報、ブレーキ動作やアクセル動作などの各種テレマティクスデータ、その他センサーデータが全てテスラ社に送信され、それらのデータが「(1)お客様とのコミュニケーション、(2)当社製品の販売およびサービスの遂行、(3)当社製品およびサービスの開発の改善および強化のため」に利用されると書いてあります。もちろんユーザーはサービスの一部が受けられなくなることを前提にデータの収集を拒否することもできます。

こういったデータ収集・活用の仕組みはごく当たり前になると思いますが、対話が可能なチャネルも設けて工夫すれば、より積極的にユーザーと共に価値を生み出すためのプラットフォームへと進化させることもできるのではないでしょうか。

このように変化する環境の中で、現在のCRMコミュニケーションの一部はデータに基づくサービス提供の一形態として、一部は価値共創プロセスを加速するためのユーザーとの対話のチャネルとして発展していくことになるのではないかと考えていますが、そのことは別の機会に書きたいと思います。

最近、自社の登録プロセスを体験してみたことはありますか?

最後に、個人データの収集と活用について具体的に考える上で、もし最近見直しをかけられていない場合は、まず自社の(ついでに気になる他社の)個人データ登録プロセスを実体験して確認してみることをお勧めします。実際にどんなオファーによってどんなデータとパーミッションを取得しているのか、登録前後でどのようなコミュニケーションが行われるのかを一人のユーザーとしてきちんと経験すると、色々な発見があります(正直愕然とするようなことが結構あります)。ユーザー視点で全体を見直すためにはちょうどいい視点の切り替えになるのではないでしょうか。
(ちなみに登録プロセスではありませんが、私が最近ユーザーとして経験した中ではNTTドコモの「パーソナルデータについて」やユーザー向けダッシュボードがよく出来ていて感心しました。)

※『コ・イノベーション経営: 価値共創の未来に向けて』C.K.プラハラード、ベンカント・ラマスワミ 著、東洋経済新報社