データリテラシー向上を目標としたり、社内でデータサイエンティストを育成したりする企業が増えています。近年は思いもよらない背景からビジネスの状況が大きく変化することが増えているため、過去の経験だけを基にした意思決定では適切な判断を得られないことが少なくありません。顧客動向や社内状況をデータで押さえながら意思決定することが不可欠になっているのです。
そこで本記事では、実務の現場でデータ分析に取り組む際のスキルを基本から解説します。取り上げる内容は、「データ分析実務スキル検定」(CBAS)の出題範囲に沿っています。CBASは、様々な企業のデータ分析の実務家11人が集まって作られた検定試験です。データ分析スキルを測る目的で、企業の社内アセスメント指標などに利用されています。本記事の内容は、CBASの受験対策にもなります。
「データがあるから使ってOK」とは限らない
今回はデータ分析と「個人情報の保護に関する法律」(以下、「個人情報保護法」)の関わりについて見ていきましょう。企業がデータ分析を始める際に重要なのは、「そのデータは本当に使ってよいのか」を検討することです。
今日では多くの企業が積極的にデータを収集し、ビジネスに活用する動きが進んでいます。実際、個々の顧客の情報を活用すると、そのぶんユーザーの手間を省いた便利なサービスを提供できる可能性があることは事実です。例えばEC(電子商取引)サイトで過去の購入履歴・閲覧履歴などを基に、興味のある商品をリコメンドしてくれる機能を活用している人は少なくないでしょう。
とはいえ単純に「自社に顧客データが蓄積されているから使ってよい」とはいきません。法律や自社の個人情報保護方針、プライバシーポリシーに照らし合わせて問題ないかを検討する必要があります。
個人情報の扱いを誤ると、サービスを停止せざるを得なくなることもあります。例えば数年前に、求人応募者の選考離脱率や内定辞退率予測を企業向けに提供していたDMP(データ・マネジメント・プラットフォーム)が話題になりました。このDPMは個人情報保護委員会から個人情報保護法に基づく勧告ならびに指導を受け、最終的にサービスを廃止しています。
このように、データ分析プロジェクトを開始する際は個人情報にまつわる様々なリスクを考えなければいけません。日本の個人情報保護法は原則3年おきに見直されることになっており、2020年6月に公布された改正個人情報保護法は2022年4月1日から全面施行の予定です。ちょうど施行直前の時期でもありますので、データ分析の担当者が知っておきたい改正個人情報保護法のポイント5つを見ていきましょう。今回は前半の【1】【2】【3】を紹介します。
【2】事業者の責務が追加
【3】「仮名加工情報」という枠組みの新設
【4】提供先で個人データになり得る情報を提供する際の確認義務の新設
【5】法令違反による罰則の強化
【1】個人における権利保護の強化
改正個人情報保護法は、個人情報に関する現在のグローバル基準とされている欧州連合(EU)の「一般データ保護規則」(GDPR : General Data Protection Regulation)に近づきつつあります。近年は「自分の個人情報が企業のサービスなどでどう利用されるのか」について、ユーザーの関心が高まっています。こうした傾向を受け、個人の権利保護を尊重するGDPRの方針に、日本の改正個人情報保護法も沿った形です。
今回の改正では、個人情報を提供した本人のデータ請求に関する権利が拡充されました。従来、本人にデータの利用停止・消去の請求権があるのは「データを本人の同意を得ずに目的外利用する」「データを不正に取得する」など法律に違反する場合に限られていました。改正個人情報保護法ではこれに加えて、「個人の権利や正当な利益が害される恐れがある」「重大な個人情報漏洩(ろうえい)などが起こった」「事業者が当該データを使わなくなった」場合にも利用停止や消去を請求できます。
さらに従来は原則として書面に限られていたデータの開示方法について、デジタルデータも含めて本人が開示形式を指定できるようになります。第三者提供記録、つまりどんな個人に付随する情報が事業者間でどのように利用されているか、データの流通状況についても新たに開示請求の対象となりました。
事業者側には、こうした請求に応じる前提でデータを保有する義務があります。例えば事業者間でのデータの開示範囲や、データ利用を許可した日などの記録が必要になるでしょう。デジタル形式での開示請求に備える必要もあります。手書き書類などで個人情報を保持している場合、デジタル化しておかなければなりません。
