LINEでは、1月28日の国際的な「データプライバシーの日(Data Privacy Day)」^※に合わせ、同日を「LINE プライバシーデー」としています。この「LINE プライバシーデー」では、LINEにおけるプライバシー保護について、改めてお伝えする取り組みを行っています。

※データプライバシーの日：2008年にアメリカとカナダで、EUの"データ保護の日"(Data Protection Day：1981年1月28日に、初めてプライバシーとデータ保護を扱う国際条約である"第108号条約"が調印されたことを記念する日)から派生して誕生。プライバシーの尊重とデータの保護への信頼を確保することをテーマとし、毎年1月28日に行われるデータの守秘と保護に関する意識の向上および議論の喚起のための国際的な取り組み。

LINE プライバシーデー 2022 URL： https://lin.ee/Ylcvze1/xssq/online

今回のOnLINEでは、「LINE プライバシーデー」にちなみ、ユーザーのデータを守る2人のキーパーソンへインタビューしました。一人は、LINEでお預かりするユーザーデータが「法令に準拠し、社会からの期待に応える形で適切に取り扱われているか」について、監督を行うデータ保護責任者「DPO」(Data Protection Officerの略)である梶原へ、もう一人は、サービスの企画、開発の際に、ユーザーのプライバシーに与える影響を事前に検討、評価する「プライバシー影響評価」担当の林へ、その仕事内容の話を聞きました。

――自己紹介をお願いします。

梶原

私は、2016年6月にLINEに入社し、入社以降は、LINE CLOVA(AI事業)、LINE MUSIC(音楽配信事業)といったサービスの法務担当者としての経験を経て、プライバシーの国際資格「CIPP/E」を取得後、2021年3月にデータ保護責任者「DPO」に就任しています。現在、法務部門およびコンプライアンス部門を統括する組織の組織長も兼任しています。DPOについては後ほどお話しますが、法務部門は、LINEが展開する幅広い事業・サービス、そして常に変化していく組織を法的領域から支える役割、そして、コンプライアンス部門は、法令遵守のみならず、それを超えて社会からの期待に応えるべく、会社全体にLINEグループ行動規範や行動指針である「LINE CODE」を浸透させ、根付かせる役割を持つ組織です。

LINEに入社する前は、弁護士資格を取得後、グローバル・ローファームに入所し、キャピタルマーケットやファイナンス分野の金融法務に携わっていました。LINEに入社した当時は日米同時上場の直前でした。LINEは上場前から多事業かつグローバルに事業展開をしていましたが、上場後もプラットフォーマーとして更に新たなチャレンジをしていくフェーズでしたので、これまでのキャリアで得た法務スキルを活かして、多様なサービスで貴重な法務経験を積むことができると考え、入社したという背景です。

林

私は、2018年にLINEに入社し、セキュリティ部署内のサービス関連のセキュリティを取り扱う組織にて組織長をしています。セキュリティ部署では、事業、ユーザー、従業員のデータなど、会社の中の様々なデータを適切に取り扱うための取り組みやルールメイキングなどを行っています。そのひとつとして、ユーザーデータの保護をミッションとする「プライバシー影響評価」という業務があります。

私は、LINEに入社する前は新卒でシステムエンジニアになった後、ITの内部統制やセキュリティ、プライバシーに関するコンサルティング等に従事していました。日々、プライバシーに関わる仕事に向き合う中、2016年頃に個人情報関連の法改正に関する議論が活発化し、事業会社でより自分ごと化ができる環境で挑戦をしたいという想いが生まれました。当時はプライバシーに関するポジションで採用を行っている事業会社があまりなかったのですが、その中でLINEに出会いました。コミュニケーションアプリを提供する会社かつプライバシーに関わる仕事ということは、前例のない事案への対応もあるでしょうし、プライバシー保護という比較的当時では新しい領域において貴重なフェーズを経験できると考え、LINEに入社しました。

――「DPO」、「プライバシー影響評価」の仕事内容について教えてください。

梶原

DPOというのは、「Data Protection Officer」といって、個人データ保護に関連する法令の遵守状況を監視すること、また、社会からの期待に応える形でデータが適切に取り扱われているかを監督することが主な役割です。EUの「GDPR」(General Data Protection Regulation)という個人データ保護の法令に基づき設置が求められたことがきっかけで、LINEでは2018年から設置している役職です。具体的には、プライバシーポリシーの改定や、めまぐるしく変わっていく国内外の法令への対応など、ユーザーのプライバシーにかかわる重要な変更や決定が必要な場合に、「プライバシー影響評価」の担当部門や、サービスの企画・開発のチームから独立した立場で確認、監督しています。データの取り扱い、その保護については、セキュリティ部署がデータの保護の「実行」を担っているとすると、DPOが「監視」の役割であり、異なる立場から客観的に確認しあうことでプライバシー保護の精度を高めています。

また、それ以外にも、セキュリティ部署が実施する「プライバシー影響評価」の運用に対する助言やユーザーからお預かりしたデータが適切に管理されているかを確認、監督しています。個人情報保護委員会など個人情報の取り扱いを監視する監督当局との連絡窓口としての役割も担っています。

ちなみに、CPO、「Chief Privacy Officer」という役職もあって、CPOは個人情報保護活動の推進を行うセキュリティ部門の責任者で、個人情報保護に関する方針を決め、それを周知、実行していく役割を担っています。CPOとDPOの役割分担でいうと、CPOが定める個人情報保護の方針が法規制遵守などの観点から問題ないかを意見するのがDPOの役割になります。聞き慣れない用語かもしれませんが、データの取り扱いについて保護、監視という異なる観点で、相互に確認しながら意思決定を行っています。

林

私が担当している「プライバシー影響評価」は、「Privacy Impact Assessment」、通称「PIA」といって、サービスの企画、開発の際に、ユーザーのプライバシーに与える影響を事前に検討、評価するという取り組みです。「プライバシー影響評価」では、サービスがユーザーのプライバシーに及ぼす影響やリスクを確認し、サービスの構築や運用を適正に行うことを促しています。つまり、ユーザーに安心してご利用いただけるサービスを開発、提供するため、適切な評価、確認を実行し、事前にリスクや懸念を排除することがミッションとなります。

重要としているポイントは、1.大前提として法律に則っていること 2.ユーザーとの約束(プライバシーポリシーや利用規約)に基づいていること 3.情報を安全に取り扱っていること、この3点です。LINEでは、サービスの企画の段階から「PIA担当」がサービスを企画、開発するチームに入り、この「プライバシー影響評価」を行っています。例えば、サービスの立ち上げであれば、「どんなデータをユーザーから取得するのか」「どう管理し、活用するのか」といったことを担当チームと確認、検討し、必要に応じてプロセスも整備します。

また、「プライバシー影響評価」とは少し異なりますが、LINEでは、世の中のプライバシーに関する規制や動向などを踏まえ、データの取り扱いについて、ユーザーへの情報発信を検討、実施することもあります。例えば、昨年ですと、ユーザーに向け、プライバシーポリシーの中でも特にユーザーにご理解いただきたい重要な要点をお伝えするため、2021年1月に「LINE Privacy Center」というWEBサイトを開設しています。日本ではまだ珍しい取り組みだと思いますが、ここ数年、国内外のメガプラットフォーマーではユーザーに重要な説明を行うために、プライバシーセンターを設置する企業が増えてきています。

――「プライバシー影響評価」というのは、一般的な取り組みなのでしょうか？

林

昨今は、「プライバシー影響評価」は広く世の中に浸透しつつある状況だと考えています。例えば、日本国内であれば、総務省・経済産業省より昨年公表され、今年更新された「DX時代における企業のプライバシーガバナンスガイドブックver1.1」においても「プライバシー影響評価」や「プライバシー・バイ・デザイン」という考え方が言及されています。昨今、プライバシー保護の機運がより一層高まっていて、この取り組みを広く押し進め、顧客、サービス利用者のプライバシー保護を強化しようという動きがあると捉えています。私が入社した当時すでにLINEではこのプロセスは取り入れられており、現在も社内の重要なプロセスとして位置付けられています。

――「DPO」と「プライバシー影響評価」担当の連携事例について教えてください。

梶原

プライバシーポリシーの改定や、データの取り扱いについてユーザー向けに説明を行う規約が一例になります。例えば、最適化されたコンテンツの提供について説明をしている「属性によるサービスの最適化について」の規約の作成です。プライバシーポリシーの改定の際には、ユーザーにとってわかりやすい表現になっているかの確認を行いますが、特にこのようなユーザー向けの説明については、会社としてより一層力を入れていくべき領域だと強く認識しています。他に、個人情報保護委員会など監督官庁との窓口としての役割も担っていて、監督官庁からの要請事項を受けた際には、DPOとプライバシー影響評価の担当メンバーで連携し、プライバシー施策などを実施していきます。

林

目の前の対応のみではなく、中長期的にユーザーのプライバシー保護に対応していくための取り組みとして、プライバシー保護法制の改正動向について、DPOやプライバシー影響評価の担当メンバーでの情報連携やオープンディスカッションを行い、改正動向に応じた対応も行います。現在では、2022年4月に施行予定の改正個人情報保護法についての最新動向の確認や意見交換を定期的に行っています。また、LINEはグローバルに事業を展開しているので、海外の法令についても検討が必要です。直近では、GDPRの新ガイドラインに関する検討やタイの個人情報保護法の施行への対応を検討しています。

梶原

「法律への対応」という言葉だけを取ると会社都合に聞こえてしまいますが、大前提として、法律はサービス利用者を保護するために施行、改定などが行われるため、会社として法律に則った対応を行うことは結果的にユーザーのプライバシー保護につながります。ですので、法令遵守を大前提としつつ、ユーザーの利便性を損なわずにプライバシー保護を担保していくことが私たちの務めだと考えています。

林

そうですね。大事なことはお互いの立場で確認しあい、プライバシー保護の精度を高め、追求していくことです。ユーザーに様々なサービスを提供する上で、客観性、公正性を保つところに重要な意味があると考えています。

――ユーザーのプライバシーを守る上で大切にしていることを教えてください。

梶原

プライバシーというのは、私を含めユーザー一人ひとりによって捉え方が異なります。そのため、プライバシーについては自分ごととして考えながら、様々な観点、捉え方があることを念頭において取り組むことが非常に重要だと考えています。

先程も申し上げたように、「ユーザーにとってわかりやすい説明であるか」という視点に加え、「ユーザーが気持ち悪いと感じるデータの取り扱いになっていないか」といった視点も重要です。ここはLINEとして今後一層強化していく部分で、セキュリティ部署のメンバーと、そこから独立したDPOとして、視点とポジションを変えて、複数の立場から二重三重のチェックをすることで、プライバシー保護の精度を上げていくというプロセスをより強固なものにしていきたいと思います。

林

「プライバシー影響評価」というのは、サービスの企画者や開発者と相対して行う仕事です。私個人の考えですが、事業をよく理解することが大前提としてありつつ、その先のユーザーの目線とともに「客観的にその事業がどう見えるのか」という視点を踏まえた上で、評価を行うことが求められます。そのため、サービスの企画者や開発者の事情を理解しつつも、その客観性を保つことがとても重要で、こちらも非常に難しくありつつ、とても重要な役割だと考えています。

「事業として合理的である」ことと「ユーザーにきちんと説明がされているか、受け入れられるか」というところをすり合わせていく、とてもバランスが求められる立場です。あとは、ユーザー向けの説明文書のライティングを行うこともあるので、ユーザーにとってわかりやすく、なおかつ必要な説明を行う、という視点と文章力も非常に大事です。伝えたつもりであっても、伝わっていなくては意味がありませんし、梶原さんに同じくとなりますが、ここもLINEとして一層強化していくべき部分です。

――ご自身の役割を達成するために、大切にしていることを教えてください。

梶原

私は、行動指針である「LINE CODE」の核となる「PRIDE」を大事にしています。「PRIDE」には、「私たちがチャレンジを続け、絶えず新しい価値を開発・創造していくためには、社会におけるルールを守り、周囲の人を尊重し、謙虚な姿勢で、透明性をもった行動を取らなければなりません。」という文章があります。判断に迷う際には、自分の両親、子ども、友人、同僚など、自分を信頼する大切な人たちが、安心してLINEのサービスを利用できるようなデータの取り扱いができているか、データの管理体制がとれているか、という観点に立ち返り、LINEにおけるデータ取り扱いについて公平性を保ち、助言、意見をしていくことがDPOとしての役割だと考えています。

林

プライバシーやデータ保護というのは、世の中のトレンドの変化が比較的早いものだと思いますし、関連するテクノロジーも変化がめまぐるしい分野です。その上で、私は「LINE CODE」における「Fairness：公平で健全、正直な行動をとり、透明性をもって誠実に向き合う」と、LINEのミッションを達成するための価値観である「LINE STYLE 2.0」の「Work Intensely and Be Focused：目的なき「一生懸命」は、いちばん危険」、仕事をする時にはこの2つを念頭においています。目先の先入観や過去の経験に囚われ、自分の中にバイアスや制限をかけないこと、目的を見失わないことは、とても大切です。その時々で最善の判断をするために、そんなことを心に置いていて、これからもその視点を失わずに業務にあたっていくことが重要だと思っています。

――それぞれの役割における今後の展望を教えてください。

梶原

今のLINEでは、これまで以上に一人ひとりの社員が「ユーザーからお預かりしたデータはとても大事なもの」という認識をもって業務にあたり、ユーザーが安心して利用できるサービスを提供していくことが最重要事項です。全社員がそういった認識を持って目の前の業務に取り組む、という状態を目指すべきフェーズなので、そういった状態を目指し、情報発信や意見・助言を強化していきます。

林

梶原さんもコメントされていますが、全従業員が「ユーザーからお預かりしたデータは大事なもの」と、より一層強く認識することが非常に重要です。そして、私が所属する部門からは、安心してご利用いただけるサービスを提供していくためには、リスクは何か、注意すべきことは何かといったことを、サービスを運営する企画や開発部門に向け、これまで以上に発信・表明していく責任があると捉えています。これを徹底し、プライバシー保護のためのより良い環境づくりに力を入れていきます。