リクルートでプライバシーの取り組みに関する変革を推進している『プライバシー3.0プロジェクト』。そのメンバーのひとりであり、法務の担当として「パーソナルデータ指針」の策定やデータガバナンスの仕組みづくりに携わったのが馬場俊介だ。指針策定や仕組みづくりにおいて、どのような議論や逡巡があったのだろうか。一連のプロセスを振り返ってもらった。

プライバシーの取り組みは、新しい価値の創造に必要なもの

―プライバシーの取り組みに関わるようになったきっかけは？

馬場：入社以来ずっと、法務の仕事をしています。事業における法務対応、株主総会、IPO、M＆Aなどを経験し、2016年に欧州のグループ会社のGDPR対応にプロジェクトマネジャーとして関わることになったのが始まりです。GDPRは、EUの一般データ保護規則で、2016年に制定され2年後に施行されました。これを機に、プライバシー保護強化へと世界の潮流が激変。会社のガバナンスのあり方が大きく変わっていくのを目の当たりにして、日本でも早急に対応する必要があると感じました。そういったなかで、データガバナンスを含めたプライバシー保護の対応を加速させるべく、『プライバシー3.0プロジェクト』が発足。私も法務として関わることになりました。

プライバシーの取り組みを開始して感じたことは、新しい価値の創造のためには、プライバシーの取り組みは必要なものであり、決してトレードオフの関係にはないということ。ユーザーが安心してサービスを利用できないことには、新しい技術やプロダクトは広まっていかない。法令順守はもちろんのこと、ユーザーの期待や気持ちに対して、企業としてどう応えるのか？ どんな責務を担っているのか？ 一歩踏み込んでプライバシー保護を通じてユーザーとの信頼関係をどう築いていくべきかを意識し、取り組みを行ってきました。

議論を重ね、パーソナルデータ指針を策定、公開へ

―プライバシーの取り組みにおいて、担当されたお仕事を教えてください。

馬場：プロジェクト発足と同時に法務内にプライバシーとデータ保護のための専門組織を組成し、両方の活動を通じてプライバシーの取り組みを推進しています。そのなかで、まず、パーソナルデータ指針の策定に携わりました。『プライバシー3.0プロジェクト』の責任者の記事にもありましたが、この指針はパーソナルデータを活用する際の憲法のようなもの。プライバシー保護の取り組みにおいては絶対的な正解はなく、人によっても感じ方が異なるテーマだと感じました。正解がないからこそ、まずは企業として何を大切にするかという企業姿勢を言語化し、事業活動で迷った時に立ち戻れる憲法のような拠り所を作る必要があると考えました。

指針を策定するにあたっては、諮問委員会を設置し外部有識者の方々にも加わっていただきました。自社サービスへの思い入れが強いあまり、社内メンバーだけでは、客観的視点が欠けてしまう可能性もありましたし、企業姿勢を考えていくにあたっては社会からの期待を受け止める必要があると考えたからです。

実際、有識者の方々からは率直なご意見や問いかけをいただきました。「就職・転職を支援する事業を行うことの社会的責任と影響力を踏まえて、いかに人権侵害や不当な差別につながる可能性のあるパーソナルデータ活用を防いでいくのか」。「ユーザーと企業との間に立つべきリクルートが、万一双方の利益が相反する場合にどちらを重視した判断を行うのか」。事業の現場の人たちが悩んだり、自分たちだけでは気づきにくかったりする論点を示してくださり、どのような点について企業姿勢を決め、言語化していく必要があるかを考えることができました。

その結果が、第1条にも込められています。「ユーザーの皆さまとクライアント企業の皆さまの間に立つ存在として、企業だけに偏りユーザーの利便性や利益に繋がらないパーソナルデータの活用や、社会の健全な発展に寄与しない活用は行わない」。文字にするとたった一文ですが、この姿勢を言語化できたことで、何を守るためにガバナンスを構築するのか、判断にあたっては何を大事にするのか。全従業員の目線を合わせるための判断の拠り所を作ることができたことは、大きな一歩であったと思っています。

策定した「パーソナルデータ指針」は、プライバシーセンター※を通じて世の中に公開していくことにしました。自社の憲法のような指針を公開するかどうかという悩ましさはありましたが、何よりも大事にしたかったのは、指針を形骸化させないこと。社外からの声をいただき、サービスの企画開発や当社のプライバシーの取り組みの改善に活かしていきたい。従業員の日々の議論の場でも意識してもらうとともに、万一指針とズレそうになった場合に声を上げやすくしたい。そんな思いから公開することを決めました。
※データ活用の考え方や管理方法、プライバシー保護体制強化の取り組みなどを具体的に分かりやすく紹介するWEBページ

堅ろうで柔軟なデータガバナンスの仕組みを目指す

―パーソナルデータ指針策定の次に、行ったことはありますか？

馬場：指針を実現するためにプライバシーガバナンスの仕組みの構築に着手しました。そのなかでチャレンジした取り組みが大きく2点あります。ひとつは、プロダクト開発の際にプライバシーやFairnessといった新たな観点でのレビューを取り入れたこと。もうひとつは、プライバシーポリシーの管理を一元化する仕組みを構築した点です。

1点目のレビュー観点の追加について。法令順守という適法性確認の観点とは別に、「ユーザーが、サービスを利用する上でその目的に沿ったデータ活用になっているか？」「取得するデータや目的がどのようなものであるかユーザーに伝わるような仕立てになっているか？」「ユーザーが自らのデータの利用可否を選択できる機会を提供できているのか？」といったプライバシー保護に特化したユーザー目線に立ったレビューを開始しました。

当初、事業側からは「なぜ法律目線ではない指摘を法務がするのか？」という不満の声も上がってきました。これまで、ユーザー目線での対応は事業側が検討・判断し、法務は法律に関する指摘をするという役割分担になっていたので、一種の越境に感じる事業の皆さんの気持ちも理解できました。しかし、パーソナルデータ指針で定めたことが実現できているかを、事業の視点だけで考えるのでは「絵に描いた餅」になってしまう可能性もあります。一歩離れた我々が複眼的に確認し、事業と膝を突き合わせて議論することが大切だと考えていました。

このような活動を開始して2年になりますが、その間数千件もの相談を受け事業現場とも議論を重ねました。今では、「このサービスを使うユーザーは自分たちにどのような期待をしていると思うか？」「このようなデータの利用がされることを今の説明でユーザーに理解してもらえると思うか？」といったことを含め、プライバシー観点での相談が事業の皆さんから入ってくるようになりました。当時の葛藤も消え、日々の議論のなかに「プライバシーの観点で」という言葉が当たり前に聞こえ、事業と法務だけでなく部署を超えて議論されるようになってきました。

2点目のプライバシーポリシーの管理の一元化について。これまでサービス毎に最適化・管理してきた約1,800種類近くあったプライバシーポリシーや同意管理の仕組みを一元管理できるようにしました。以前は、プライバシーポリシーを修正する場合、まず、法務がサービス担当者に号令をかけます。そして、各担当者が各サービスのプライバシーポリシーを個別に修正し、各サービスの導線毎にそれを反映していました。法務も事業も相当な労力をかけて都度対応する必要があり、反映の抜け漏れが発生するのを防ぐだけで精一杯な状態でした。

一方で、近年は特に技術の変化や規制の変化が早く、それに伴いユーザーから当社に対する期待も変化します。そのため、事業現場の負荷を減らし日々運用可能な仕組みでありながら、変化することを前提に、変化にも素早く、抜け漏れなく対応できる仕組みをきちんと作り上げる必要性を強く感じていました。ただ、法務だけで実際の仕組みを作り上げるのは難しい。そこで、システム構築や実装に強みを持つデータ推進室に力を借りチームとなって、仕組みを作るという、いわば“ものづくり”まで行っていきました。

しかし、最初の頃は専門性の違いから、お互いに話している用語でイメージするものがズレてしまうことがありました。毎日のように議論し目線を合わせ、試行錯誤していくなかで、最終的には、プライバシーポリシーを中央で管理できるように刷新。全てのサービス導線上に存在するプライバシーポリシーを、中央にあるマスターで反映する仕組みを構築し、全社で実装していきました。

今では、修正が必要になった場合には中央のマスターを修正することで、原則、全サービスの全プライバシーポリシーが抜け漏れなく、即座に更新できるようになり、当社の組織体制の変更やプラットフォーマーのルール変更、法律の改正などに迅速かつ事業負荷なく対応できるようになりました。堅ろうでありながらも柔軟なガバナンスの仕組みづくりの実現に向けあゆみを進められたのではないかと感じています。

ユーザーとの信頼関係づくりを一歩ずつ

―今後、プライバシーに関する取り組みを通じて、世の中とどのような関係性を築いていきたいですか？

馬場：ユーザーとの信頼関係の構築へとつながるような取り組みを行っていきたいと思っています。例えば、ユーザーとの間に、自分の好きなサービスを安心して好きなように使ってもらえるような信頼関係を作りたいです。信頼関係を築くのには多くの時間とパワーが必要ですが、信頼を失うのは一瞬。「このサービス、使ってみたいけど何か不安…」というようなサービスを作ってしまわないような仕組みづくりをしていけるよう、プライバシー保護の取り組みを一歩ずつ進めていますが、社外の方に見ていただき声をいただくことで、自分たちが見落としている点や異なる視点に気づかされることも、まだまだあるのではないかと考えています。

各サービスはもちろん、プライバシーセンターなども通じ、ユーザーの皆さんとコミュニケーションを取りながら、一歩ずつ信頼関係を作っていきたいと思っています。