GoogleやFacebookなど数多くのテック企業を輩出してきているシリコンバレーでもデータプライバシーに関する波は徐々に広がりつつあります。

欧米中心にデータ保護に関する法律が整備されてきている事も、波が広がりつつある理由の一つです。

今回はシリコンバレーで長年データプライバシーと法の分野で活躍されてきたLourdes Turrechaさんに現地の動きと、米国政府の連邦法の変化に関してお伺いしました。

Founder & CEO PIX LLC     　　　　　　　　　　　　　　　　　　　　　Founder and Chief Privacy Tech Evangelist, The Rise of Privacy Tech　Lourdes Turrecha氏　　　　　　　　　　　　　　　　　　　　　　　　　データプライバシ、セキュリティの専門家、法律家としてシリコンバレー中心にパロアルトネットワークス等のテック企業の戦略アドバイザリーを務める。The Rise of Privacy Techではシリコンバレーのプライバシーテクノロジーコミュニティの育成等を行う。

Kohei: 今日はインタビューのお時間を頂きありがとうございます。Lourdesさん。これまでアメリカのデータプライバシー分野でご活躍されていて、このような形でお話しできて光栄です。

では早速インタビューに移りましょう。まずは自己紹介をお願いいたします。

Lourdes: 今回はご招待頂きありがとうございます。私の名前はLourdes Turrechaです。今はシリコンバレーにあるデータプライバシー専門のコンサルティング会社PIXを経営しています。

私自身は弁護士で法律の専門家でもあり、これまでテクノロジー企業のサイバーセキュリティ分野でのコンサルティングなどを行なって来ました。データプライバシーを会社の強みとして描いていく戦略やセキュリティプロダクトのデータプライバシーデザイン設計など100社以上の大手から中小企業までデータプライバシー案件に関わって来ました。

カリフォルニアのデータ保護法が始まって変わったこと

Kohei: ご紹介ありがとうございます。大手からスタートアップまでデータプライバシーに関する意識が高まって来ているという事ですが、カリフォルニアで新しく始まった個人データ保護の法律は実際にどのように影響しているのでしょうか？

Lourdes: カリフォルニアのCCPA（カリフォルニア州 消費者プライバシー法）は欧州のGDPR（EU一般データ保護規則）と比較するとまだ始まったばかりの状況です。カリフォルニアのデータプライバシー専門家の間でも法的な返答を待っている状況で、最終的にどのような法律になり執行されていくのかを現在は注視しています。

テック企業を始め多くの企業がまだ準備ができていない状況で、今後具体的に方向性が決まっていくにつれて徐々に対策が取られていくと考えています。GDPRはデータ保護に関する取り組みの先駆けとして既にスタートしているので、GDPR対応を行なっている企業も現在準備している状況ですね。

Kohei: ありがとうございます。多くのスタートアップがデータプライバシーに対して徐々に注視し始めている気がしていて、特にコロナ対策として開発されるアプリのデータプライバシー対策はその傾向が非常に現れていると思っています。

次に是非お伺いしたいのが、Lourdesさんの前職パロアルトネットワークでのご経験です。ビデオを拝見して非常に興味深かったのですが、その中でも気になったのがセキュリティとプライバシーの違いです。

プライバシーとセキュリティに関して企業目線だとどういった違いがあるのでしょうか？

データプライバシーとセキュリティの違い

Lourdes: プライバシーとセキュリティは双方に保管しあう関係で、役割が異なります。データプライバシーに関してはセキュリティの専門家でもよく理解していない場合もあり、どちらの専門家と話をしていても噛み合わないな感じることもあります。

データと言う視点で分けて考えるとデータプライバシーは特定の個人のデータに関しての考え方で、セキュリティは企業や組織にとって価値のあるデータ全般に対する考え方の違いだと思います。

データプライバシーに関しての議論は非常に幅が広く、個人のデータをどのように取得するのか、どのように利用するのか、個人がデータにどのようにアクセスできるようにするのかなど様々な視点でデータを考えることになります。

"個人のデータを安全に取り扱うだけでなく、個人のデータに関連して幅広い視点で考える点がセキュリティとは大きく異なります。一方で、個人以外のデータ全般に対する考え方はセキュリティの方が幅広い視点が求められます。双方がお互いの役割や立ち位置を理解した上で、共同で進めていくことが必要になります。"

私の初期のキャリアを紹介するとデータプライバシーの専門家であり、CISO（最高情報セキュリティ責任者）として活動する際に他のメンバーに共有して説明する必要があったので、そこでサイバーセキュリティや情報セキュリティを学びました。

パロアルトネットワークではボードメンバーにデータプライバシーに精通した人がいて、データプライバシー自体への関心が高かった点が非常に良かったですね。法律事務所で働いていましたが、ボードメンバーにデータプライバシーに理解がある人がいるのは他のクライアントで見ても非常に珍しいですし、理解があるためプログラム立ち上げなど仕事を進めて行きやすかったです。

GDPRなどに関連したデータプライバシープログラムやプライバシー関連の商品設計、フレームワーク作成など開発者も参加して新しい商品開発も進めていました。

開発者チームを巻き込みながらプライバシー分野では様々な取り組みを進め、初期の段階からデータ取得やデータ保存期間、データのアクセス権の付与などデータプライバシーに関する準備を行ってきました。

Kohei: 現場での取り組みは非常に興味深いですね。初期段階からデータプライバシー関連に取り組む動きが現在にも繋がっているのではないかと思います。次に規制に関する質問をお伺いしたいです。

シリコンバレーのテック企業で起きているデータプライバシートレンド

カリフォルニアでCCPAが始まってからもうすぐ5ヶ月近くが経つと思います。これまでSalesforceやZoomなどいくつかのテクノロジー企業が対象になっていると思いますが、テクノロジー企業の今後の取り組みはどのように変化していくのでしょうか？

Lourdes: CCPAでは “Sell” と呼ばれるデータ提供に関して規定を設けているのですが、この解釈が大きなテーマになると考えられます。企業がデータを提供する場合は規制に沿って進めていく必要があります。興味深い点としてはGDPRと比較していくつか異なるポイントがあるんですが、特にデータ提供に関してどの専門家と話をしても見解や解釈が難しいと言うのが話題にながります。

ここで言うデータ提供（Sell）は必ずしも金銭的なものに限らないため解釈が非常に幅広く、テクノロジー企業は対応に非常に苦労しています。ただ、テクノロジー企業に限らずデータ提供に関する定義が明確でない点は大きな課題の一つで、今後規制がアップデートされていく中で具体的になっていくのではないかと考えています。

Kohei: 確かに始まったタイミングでどの企業も対応に苦慮していると言うことですね。

Lourdes: そうですね。データ提供規制に関しては大きなテーマの一つになると思っています。

Kohei: なるほど。少しテーマを変えてみましょう。今コロナの影響もあり家で仕事をする人が増えていると思います。その中でオンラインカンファレンスツールを活用する機会も増えていて、日本でもZoomのようなサービスはとても人気です。

一方で3月の中旬に指摘があったようにZoomのサービスはプライバシーやセキュリティ関連で指摘を受けていて、今後の改善が必要な部分もあるかと思います。

Zoomに関してデータプライバシーの観点から何が一番の問題点になるのでしょうか？カリフォルニアではZoom以外に新しいサービスへの乗り換えなど動きがあれば教えてください。

Lourdes: もしかするとオンライン上でプライバシー専門家が指摘していた内容をLinkedinやTwitterで見ているかもしれないのですが、大きな問題点としてはプロダクト設計においてプライバシーを前提とした全体設計のデザインができていない点が挙げられると思います。

CEOが謝罪の中で "プライバシーに関してこれまで検討したことがない" と発言するなど、会社としてこれまで取り組んで来ていないと言う点が一番の問題点だと思います。

GDPRの下ではプライバシーバイデザインと呼ばれるデータプライバシーを前提とした設計が求められますし、プライバシーエンジニアリングやプライバシーコントロールなど全体のシステムデザインにおいてプライバシーを前提とした設計が必要になります。

Zoomの件はCEOの発言からわかるように初期段階からデータプライバシーを前提としたシステム設計を行なっていない点が根本的な問題ですね。

Kohei: そうするとGoogleやFacebook、マイクロソフトを始めとして競合のサービスへの乗り換えなども起こってくるのでしょうか？

Lourdes: 例えば政府機関などは一部懸念を見せ始めていますね。Zoom自体は現時点で対応を進めていることに加えて、セキュリティ専門家を集めたカウンセルを発表しそこにプライバシー専門家も入って議論を行なっている状況です。

個人的には外部からの圧力だけでなく社内の組織としてプライバシープログラムを設計して、戦略まで落としていくことが必要になると思います。

コンプライアンス上の責任はあくまで基本的に守るものとして考えて、プライバシーを前提とした設計はビジネス戦略の基本的なマナーとして機能させていく必要があります。

プライバシーに対する投資効果に関する調査はシスコやEYなどが既に実施していて、B2B営業でデータプライバシー戦略を実施している企業がどれだけ成果を上げているかなどを調べています。

Appleやマイクロソフトはデータプライバシーを競争戦略として導入していますし、社会の変化によってデータプライバシーに対する意識は大きく変化して来ています。

最終的には社内でチームを作った上で取り組むことが重要です。外部専門家を雇って対応するのではなく、社内でデータプライバシーやセキュリティに関して全体設計ができる仕組みを整える必要があると思います。

Kohei: これからオンラインでの活動が増えていくに伴って各企業はデータプライバシー問題に取り組んでいく必要があると思います。ソフトウェアを中心としたモデルも大きく変わっていくと言うことですね。

次の質問は少し大きなグランドデザインの話になるのですが、ブログのMediumでも紹介されていたアメリカの連邦法でのデータ保護の法律に関してお伺いできればと思います。FTC（連邦取引委員会）を始めとして、各州でもデータ保護の議論がされていると思うのですが、今後アメリカではどのように変化していくのでしょうか？

連邦法での個人データ保護法は成立するのか？

Lourdes: 今回のパンデミックの影響で議員の人たちの意識も徐々にデータプライバシーに向かって来ている気がします。これまでも既にいくつかの法案は申請されているのですが、これまでは実際に通過したものはありませんでした。今回のパンデミックが収まったタイミングでいくつか新しい動きがあると予測しています。

これから注目すべきポイントとしては個人や消費者からプライバシーに関する要望や声が上がるのかと言うこと、それと連邦法が各州法に対して先取権を持つかどうかと言うことです。ここで言う先取権の話は連邦法が各州法に取って代わるかどうかと言う議論です。これはケースバイケースで異なります。

例えばHIPPAと呼ばれる医療保険の相互運用性と説明責任に関する法律の場合で説明したいと思います。HIPPAは連邦法で定められていて先取権は各州ごとに異なります。

カリフォルニアでは州レベルでHIPPAのような法律が定められていて、連邦法のHIPPAが基本として機能し、その上位レベルでカリフォルニア州のHIPPAに関する法律の適用がなされることになります。

これは一例で他の州では異なるレベルでの先取権の設計が行われています。そのため複雑な解釈設計が求められるわけですが、各企業は連邦法による先取権を強く推薦しており各州法に個別に対応することなく連邦法のみに対応する方向性を期待しています。

カリフォルニアやワシントンを始めとしてデータ保護に関する法律は48、49と存在するため企業としては一つにまとめていきたいと言うのがもう一つの大きな理由です。

個人的には懸念している点としては政府レベルのデータプライバシーに関する動きです。これまで申請されている法案を見ると、GDPRと異なり政府レベルまでデータプライバシーの要求が行き届いていないと言う点です。

今の時期のデータプライバシーに関する議論は民間企業以上に政府による監視に対して大きな注目が集まっていると思います。特にコロナのような有事の際には政府による監視が起こりうるので、直ぐに制定されるかと言われると答えは難しいですが公共でのデータプライバシーに関しては考え直す必要があると思います。

Kohei: 日本でも似たような問題はあり、地方の条例が2000以上存在するなど非常に複雑な仕組みになっています。今のコロナの状況では政府は匿名化してデータを利用すると発表していますが、実際にどのように活用されているかなど透明性を欠く点も非常に多いのが懸念されます。

データプライバシーとデータ活用に関しては適切なバランスを考えた上で取り扱うべき問題だと思います。

The Rise of Privacy Techというテックプライバシーコミュニティ

次の質問は ”The Rise of Privacy Tech” コミュニティに関してお伺いしたいのですが、こちらはどういった活動ですか？

Lourdes: 最近始めた取り組みで、同僚と話していてプライバシー関連のテクノロジーを広げていくことと育成していくことが必要ということから立ち上げたコミュニティです。

これまではオンラインでのやりとりが主でしたが、投資家からデータプライバシーに関連する動きやスタートアップ同行などを知りたいとリクエストをもらうことが多くなり、双方を繋ぐようなコミュニティをエバンジェリスト的に広げていきたいと思っています。

近々ウェブサイトも立ち上げる予定で（6月に公開済み）、プライバシーテクノロジーに精通した起業家や技術者、投資家などが集まる場所にしていきたいと思っています。

コミュニティを通じてプライバシーテクノロジーへ資金が集まる流れを作っていくことができればと思っています。

今年の6月にはバーチャルサミットを開催する予定で、The Rise of Privacy Techのウェブサイトで詳細は発表したいと思います。今開催に向けて開発チームと連携して進めています。

Kohei: とてもいい取り組みですね。これからプライバシーテクノロジーへの関心は大手テクノロジー企業含めて高まっていくのでスタートアップとの連携などはより重要になっていくと思います。

Lourdes: これまでシリコンバレーの法に関する動きはテクノロジーに対して遅れを取っていて、世界的にも新たな法律に関連する取り組みは非常にスピードが遅いと思っています。法律の変化を待つよりも技術で解決できる取り組みを進めていきたいというのがコミュニティを立ち上げた背景です。

コミュニティを通じてプライバシーテクノロジーを持つスタートアップが課題解決に取り組める環境を作っていきたいと考えています。

Kohei: 最後に今回インタビューを聞いている皆さんにメッセージをお願います。

Lourdes: ビジネス経営者や弁護士、技術者や個人でデータプライバシーに関心を持っている人は是非この領域に取り組んで欲しいと思っています。Pewリサーチと呼ばれるリサーチ会社が年ごとに発表している内容では、半数以上のアメリカ人がプライバシーに配慮したサービス以外は利用しないと答えるなどプライバシーに対する意識は高まってきています。

ビジネスサイドではプライバシーを競争戦略として活用する動きなども出てきていて、法律が変わることによる影響だけではなく競合対策や消費者意識の変化など徐々に新しい動きが出てきているのでぜひ注目して下さい。

Kohei: 素晴らしいメッセージをありがとうございます。これからは手を取り合って連携することが重要になっていくと思います。素晴らしいインタビューありがとうございました。

Lourdes: こちらこそありがとうございました。

※一部法的な解釈を紹介していますが、個人の意見として書いているため法的なアドバイス、助言ではありません。

データプライバシーに関するトレンドや今後の動きが気になる方は、Facebookに気軽にメッセージ頂ければお答えさせて頂きます！