BCRを導入しGDPRに対応、楽天株式会社の挑戦 日本初の承認を得るまでとこれからの課題

EU一般データ保護規則（GDPR）が5月25日に施行され、個人情報保護の体制整備にあらためて注目が集まっています。
楽天株式会社は2016年に拘束的企業準則（Binding Corporate Rules：BCR）の承認を取得。同社のBCRは、世界水準のプライバシー保護基準を満たした内部規程であるとして、日本企業では初めて、EUのデータ保護機関による認証を取得¹し、早くからGDPRへの対応を進めてきました。

BCR導入に至るまでの経緯と課題、今後のビジョンについて、楽天株式会社の情報セキュリティ・プライバシーガバナンス部 グローバルプライバシーオフィス シニアマネージャーの柳池 剛氏にお話を伺いました。

（集合写真は左から、Markus Kirsch氏、Clara Fecke氏、石川 孝之氏、柳池 剛氏、Sandy Chan氏、松浦 隼生氏）

データの保護と活用のサイクルを確保するBCR導入

貴社がBCR導入を決断した経緯を教えてください。

柳池氏
データのデジタル化の急速な発展や、ビッグデータの利活用に伴い、個人情報の移転（transfer）がビジネスにとって必須不可欠となる中で、適法かつ迅速に行うにはどうすればよいかといった問題意識がありました。
EUデータ保護指令やGDPRには、移転を適法に行うためのオプションが定められていますが、コンプライアンス上の効果やビジネス上のメリットを比較して、BCRが一番望ましいという結論に至りました。

データの移転に対する法規制はEUに限った問題ではなく、世界的にも類似の法規制を設ける地域が増えています。そうした国においても、BCRであれば越境移転を適法に行うためのオプションとして有効とみなされていることも、取得を決断した理由のひとつです。

BCRは、GDPRだけでなく国際的にデータ移転を適法に行う法的な根拠にもなるのですね。

柳池氏
当社がBCRの取得を決定した当時は、日本の十分性認定の趨勢は定まっておらず、事実上、選択肢はBCRか標準契約条項（Standard Contractual Clauses：SCC – GDPR上では Standard Data Protection Clauses: SDPC）しかありませんでした。

SCCは会社間で締結される契約ですので、レビューをするメンバーは基本的に法務であり、サインをした後そのまま保管して終わりとなってしまうことが多いのではないでしょうか。一方で、実際にデータを取り扱うのは法務以外の人間になります。SCCは短期的な視点では BCRよりも実施しやすいオプションではありますが、SCC所定の条項をどう遵守するのかという観点で考えると、コンプライアンスを確保するためには、別途内部規程を設ける等の措置が必要となってきます。
この点で、BCRは、取得までに時間を要するため短期的なソリューションとはならないものの、グループ内で統一的なルールを作成し、トレーニングを行なって当該ルールに対する周知徹底を図ることで、ルールが実務から乖離しづらくなる効果をもたらすことも実際上は無視できません。また、BCRの要件にも組み込まれている監査によって、実務がルールに沿って行われていることを確認するプロセスがコンプライアンス確保に大いに資するものと考えています。

契約書での手当という選択肢をとると、社内のリスクがかえって大きくなってしまうことになるのですね。

柳池氏
SCCは契約条項が標準化されており、変更することもできないものの、誰が読んでもわかりやすい内容にはなっていません。たとえば、「パーソナルデータの保護について、適切な組織的かつ技術的な安全保護措置を行うこと」という義務が定められているのですが、何をもって「適切」とするのかは明確に定められていません。BCRでは、具体的に「自社グループのセキュリティポリシーに準じること」という明示が可能ですので、従業員にしてみても具体的にやるべきことが理解しやすいという点に大きなメリットがあると思います。

ビジネスをする上では、パーソナルデータが非常に重要であり、それを守る部分と活かす部分の、両方の側面があると思います。貴社の中で、プライバシー保護はどのように位置付けられているのでしょうか。

柳池氏
日本の個人情報保護法の文脈においても、データ保護と活用のバランスという論点は、よく出てきますよね。バランスという言葉を通じて考えようとすると、どちらかを重んじる結果どちらかが軽んじられるように思われますが、データの保護と活用は、ある意味コインの裏表のような関係にあると個人的には考えています。データを取得するからには保護する義務が生じます。適切な保護を行わずにデータ漏えいなどが起こると、データ主体の方々にも迷惑が及び、ビジネスへの信頼が大きく損なわれます。
どれだけサービスが魅力的であっても、運営主体のデータ保護に対する信頼感がないと、誰もそのサービスを使い続けたくないはずです。そのため、ビジネスのサステナビリティを考えると、データの利活用を継続的に行うためには、今後はこれまで以上にデータ保護に注力し、安心して利用していただけるサービス設計と透明性が重要になるのではないでしょうか。

そういう意味で、BCRは一義的にはデータ保護のルールを定めたコンプライアンスのためのものである一方で、BCRによって世界水準のデータ保護を実施していることが安心感につながり、消費者の利便性を高めるための安全なデータの利活用も進むと期待しています。データの利活用を長期的に行うためには、データの保護を避けて通ることはできませんから、保護と活用の関係性は、ぶつかりあうものではなく、相互に協調するものと考えています。

現地の声を聞きながら進めたBCRの導入

BCRの導入を決定されてから保護機関による認証を取得されるまで、どれくらいの期間かかりましたか。

柳池氏
だいたい2年半ぐらいでしたね。

長い時間をかけて準備されていたのですね。プロジェクトはどのように進められたのでしょう。

柳池氏
私の所属するグローバルプライバシーオフィスが中心となり、必要に応じて、グループ会社の法務担当やコンプライアンス担当、本社における開発部門またはマーケティング部門等の協力をあおぎながら進めていきました。

プロジェクトで特に大変だった点を教えてください。

柳池氏
プロジェクト発足当初は、社内でもBCRの重要性が理解されにくい環境でした。しかし、先ほどお伝えしたような他の手段との比較分析やメリットなどを具体的に説明し、理解してもらい、協力を得ることができました。

他の関係部署に協力を仰ぐ際も、BCRがどのようなもので、BCRを取得することで実務にどう影響が生じるのか、どういったメリットがあるのかを説明して理解してもらい協力体制を築くプロセスは、プロジェクトが軌道に乗るまでの大きなハードルでした。

現地のデータ保護機関とは、どのようなコミュニケーションをとって、進めていったのでしょうか。

柳池氏
保護機関宛てに、BCR取得を目指しているので対面で話をしたい旨を依頼したところ、相手方も協力的に会ってくれました。対面の場では、BCRの主たる申請先となる保護機関（リード・オーソリティ）としてルクセンブルクの保護機関がふさわしいと思う理由を話し、認識に差異がないことを確認した上で、申請へ向けさらなる相談をしました。

その際、ガイドラインで明示されている情報の他に、どのような情報が申請時に追加で必要になるか、保護機関と直接確認して準備を進めることが、申請後の差し戻しを最小限に抑えることに繋がり、計画通りのタイムラインで承認を得る大きな役割を果たしたと思います。

BCR導入に向けた社内体制づくり

BCRを導入した当時、貴社のグローバルプライバシーオフィスはどれくらいの規模だったのでしょうか。

柳池氏
BCR導入当時はかなり小規模のチームでしたが、現在は様々な雇用形態を含めて25人ぐらいの規模で、弁護士も所属しています。 GDPRに対するコンプライアンスは、優先順位の高い課題ですが、グローバルにビジネスを展開していく以上、GDPRはあくまでも適用法のひとつです。中国やロシア等、EU以外の地域におけるプライバシーの問題にも対応するため、チームの規模を拡大しています。

たとえばスケジュールの管理、ドキュメントの準備、社内のシステムの改修といった点で、BCR導入プロジェクトの進行中に変更を余儀なくされた部分はありましたか。

柳池氏
それほどないですね。スケジュール管理や情報共有は、少人数のチームだったのが良い方向に働きました。
ドキュメントは、最初の段階からギャップ分析をし、条件を満たしている文書とゼロから作らなくてはならない文書を洗い出しました。
BCRのルールは現行のシステムで対応できる範疇なので、システムの改修も特にありません。

BCRの導入後、社内への周知や教育はどのようにされたのでしょうか。

柳池氏
BCRが承認された後には、それを公開する義務が生じると共に、ルールを自らのグループの中のガバナンスに落とし込むことが必要になります。当社の場合は、楽天グループ共通のグループ規程のひとつとしてBCRを取り入れました。グループ会社での、各現地法の必要性やプラクティス等に応じて、取締役会などで決議をとることもありました。 また、ルールの遵守の取り決めをするため、グループ間契約に対するサインと、グループ規程の導入トレーニングも別途進めている状況です。

各部門に対して研修のような機会を設けることはありますか。

柳池氏
今も研修を実施してはいますが、全グループ会社を対象とした一般的な内容となっていることが多いので、もう少しポジションごとの文脈等も踏まえた、特別なプログラムを作りたいと思っています。BCRやデータ保護に関して各部門・ポジションごとの研修は、今後、随時拡大という感じですね。

また、プライバシーチームの中の人材育成・開発のトレーニングについては、IAPPによる、認証プログラムを必須としています。当社の場合、社内公用語が英語なので、日本人以外であってもプライバシーに関する知見を蓄えた人材を採用し、活躍してもらえる点は大きなメリットのひとつです。

GDPRに対する正確な理解を共通化していく

GDPRが発効されましたが、貴社のBCRもそれに連動し変えていくといった対応は考えていますか。

柳池氏
BCRの承認を得た際は、旧法のEUデータ保護指令に基づいていたのですが、昨年12月、BCRに含めるべき内容に関するガイダンスがアップデートされたので、その内容に即して改訂しました。改訂版の BCRはすでに当局に提出をし、内容に問題ない旨確認しています。

なお、GDPRの発効の時期を迎えると、どれくらいの企業が対応に間に合うのか気になるところでしょう。GDPRの法文は、かなり高度な書き方になっているので、その要件を満たそうとさまざまな対応をやればやるほど、やるべきことが芋づる式に出てきます。そういう意味では、GDPRは継続的な取り組みをすべきことであって、必ずしも法文上で明確なゴールが設定されているものではないため、組織が所有するデータの機微性やボリューム、利用方法やそれに伴うリスクを鑑みた上でそれぞれの組織が決定すべきだと思います。

今後、より一層データの利活用と保護が求められてくると思いますが、ビジネスとしてどう取り組んでいきたいか、教えてください。

柳池氏
私はデータとプライバシーを守る立場なので、データ活用の意向を汲んだうえで、お客様に対してどんなリスクがあるのかといった点を洗い出し、リスクに応じた安全管理措置をビジネス側と密に連携をとりながら実施することで、信頼性と安全性の高い利活用を進めるコンプライアンス基盤の強化に取り組みたいと考えています。
GDPR対応についても、違反時の制裁金を避けることが唯一の理由ではなく、最も根底にあるのは、データ活用と保護に対する信頼の構築と継続的な改善です。そのため、ビジネス側の意向と、サービスを利用される方々の利便性・安全性をきちんと考えたうえで、データを活用していくことが一番望ましいと思っています。

我々ユーザーからしても、特に意識しなくても安心・安全が守られているサービスが望ましい気がします。

柳池氏
技術の発展につれて、どのようなデータがどのように取得され、どう利用されるのかが見えづらくなっています。法的に説明すべき項目が多々ある一方で、それをわかりやすい文言で説明することが求められるため、GDPRの要件の中にも含まれている「透明性」との関係でどのように対応していくべきかを継続的に考えていく必要があります。

提示されているプライバシーポリシーの内容を利用者に理解してもらうためには、法律の専門家の力だけでは十分でなく、専門的な用語をわかりやすく伝えられるスタイルや UX デザインも考えられる人材が必要です。こうした人材の発掘・育成などの取り組みについても力を入れてやっていきたいです。

あとは、日本でもデータ保護オフィサー（Data Protection Officer：DPO）は1,700人程必要というリサーチ結果が出ていますが、日本の人材市場でDPOを担える人材はまだまだ不測しているという印象が強いです。DPO 人材の開発方法を今後どのように実施すべきかについては非常に興味のあるところですね。

最後にGDPRへの対応を進めている企業の担当者に向けて、コメントをお願いします。

柳池氏
BCRの承認を得たことを公表してから、導入を考えているという複数の日本企業から相談を受ける機会がありました。
日本初のBCR認証取得は、嬉しいことですが、DPOを務められる人材を長期的に育てていかないと、GDPRへの対応に真摯に取り組む一部の企業間のみでの人材の行き来となりかねません。GDPRに対しては企業の枠を越えた取り組みが必要であり、人材開発の面でも例外ではありません。必要とされる限り、BCRに関する申請・承認により得られた私たちの経験を広く共有したいと思っています。
GDPR対応を進める企業間で、GDPRに対する共通の理解を持ち、対策についてお互いに学べるような関係性を築けるのが望ましいと考えています。

（取材・文・編集・写真撮影：村上 未萌、取材・構成：BUSINESS LAWYERS編集部）