楠正憲に聞く「ビジネスと倫理観」。企業の考える“正しさ”はなぜ炎上するのか？ 3つの対策

新たに事業を立ち上げる際に、自らの持つ倫理観に照らして、それに反することを犯してまでひと儲けしてやろうと考える人は、そう多くないはず。

にもかかわらず、結果として消費者から「自社の利益だけをひたすら追求する倫理観に欠けた行為」であるかのように捉えられ、そのことがきっかけとなって、事業計画の大幅な軌道修正や、場合によってはサービスの停止にまで追い込まれるケースがあります。

例えば、大手SNSや就職サイトの運営会社がユーザー情報を第三者に提供していたことでネット上での炎上を招いた問題など、まだ記憶に新しい読者もいるのではないでしょうか。

「働く」という営みが、本来的に世の中をより良くするための行為なのだとすれば、良かれと思って考案したビジネスが、時として社会規範に反する結果になってしまうのはなぜでしょうか。また、そうしたリスクを未然に防ぐ手立てはあるのでしょうか。

マイクロソフト、ヤフーなどを経て、現在はフィンテック企業「JDD」のCTOを務める楠正憲さんは、内閣官房補佐官としてマイナンバー制度を支える情報システムの構築にも従事するなど、「情報と戦略」に詳しい人物です。容易には答えを出せない、けれども必ず向き合わなければならないこの難問について、お考えを伺いました。

PROFILE

楠正憲
Japan Digital Design 株式会社 CTO

1977年 熊本県生まれ。マイクロソフト、ヤフーなどを経て2017年10月より Japan Digital Design株式会社 Chief Technology Officer。2011年から内閣官房 社会保障改革担当室 番号制度推進管理補佐官、2012年から政府CIO補佐官に任用、マイナンバー制度を支える情報システムの構築に携わる。2015年 福岡市政策アドバイザー(ICT)、OpenIDファウンデーション・ジャパン代表理事。2016年ISO/TC307 ブロックチェーンと分散台帳技術に係る専門委員会 国内委員会 委員長。2018年 日本仮想通貨交換業協会 理事。

リスクは意識の外側に潜んでいる

―SNSや就職サイトの運営会社がユーザー情報を第三者に提供していたことでネット上での炎上を招くなど、個人情報の扱いをめぐる問題が引き金となって、サービスが停止に追い込まれたり、企業そのものを揺るがすレベルの波紋を呼んだりする事例が続いています。

2017年に、前回の改正個人情報保護法が施行された時の主なテーマは、行動ターゲティング広告でしたよね。プロファイリングに関する議論も出るには出たけれども、時期尚早という話になった。

誤解を恐れずに言うなら、行動ターゲティング広告にはそんなに害がないんです。例えば、Googleでなにかを検索する際に、過去の検索履歴に基づいた広告が上位に表示されたとして、それで人生が変わったりはしない。いや、中には変わってしまった人もいる可能性はあるが、一般的には、自分ごととしてヤバいとは思いにくいじゃないですか。

それに対して、ここ数年のHRテックや、我々が取り組むフィンテックなどは、人生に直結します。ある会社に入れるかどうか、お金を借りられるかどうか、そういうところにAIや広告技術が使われるようになったということは、それだけ事業者の責任が重くなってきているということです。だから、最近になって個人情報に関する問題が目立つ理由の一つには、技術の応用範囲が広がったことによって、社会的影響や責任が大きくなったことが挙げられるだろうと思います。

もう一つの理由は、ヨーロッパにおけるGDPR（一般データ保護規則）の施行や、これまではなんとなくOKだと思われてきたいろいろなものについて、「それはやっぱりダメだろう」とする判例が、欧米を中心として積み重なってきたことです。学者というのは、どうしたって過去の判例や諸外国の動向を踏まえて議論をする人たちなので、そういう事例がたくさん出てきたことも大きいのではないでしょうか。

ただ、先日の就職サイトによる学生ユーザーの情報の取り扱いの問題は、途中から個人情報保護法の問題だけではなくなりましたよね。職業安定法には「職業紹介事業者等は、個人情報を収集する際には、本人から直接収集し、又は本人の同意の下で本人以外の者から収集する等適法かつ公正な手段によらなければならない」とある。こちらにも抵触している可能性があるとして、厚労省から勧告が入ったところから、極端なことを言えば、業務停止もあり得るくらいに一気にリスクが高まったと認識しています。

記憶に新しいなんとかペイのようなスマホ決済サービスの問題の時もそうだったのですが、コンプライアンスを考える上で最も難しい点は、ここにあると思っていて。

―どういうことでしょうか？

なにか新しい事業を始める際に、あらかじめリスクに対処しようとしたら、外部の専門家に聞くことになると思うのですが、専門家になにかを尋ねる際には、必ず範囲を設定する必要があります。例えば、「個人情報保護法上、どうですか？」というように。そうすると、「こういう前例があります」といった形で答えが返ってきて、その法律に照らせば確かにOKということになるけれども、まったく違うところで別の法律を踏んでしまっている可能性があるということです。

―倫理観の欠如というより、そもそもリスクの存在に気づけていないということですね。

いや、もちろん倫理観の問題がないとは言わないですよ？

私自身、よく「プライバシーに関して線引きが分からないことが多い。最終的にはどう判断すればいい？」という相談を受けるのですが、そんな時に私が言うのは、「友達なり、自分が信頼関係を維持したい人の目を見て、自分がどんなことをやっているのか説明できますか？」ということで。この問いと向き合わずに、「バレないから大丈夫」という姿勢でいると、いざバレた時には、たとえ法律に違反していなくても大問題になるし、新しい法律ができる立法事実にもなりかねない。

今回の就職サイトの問題においても、「自分の子供が同じことをやられたとして、それを歓迎できるのか」「学生に対して胸を張って説明できるか」というのは、一番素朴なところでの論点になり得るだろうと思います。仮に「ちゃんと学生にも説明して、同意を得ています」となったとしても、ほかに選択肢のない、優越的な立場で無理やり同意させていたのであれば、それははたして同意と言えるのか、という議論もある。だから、倫理観の問題ももちろんあるんです。

しかし、そういうことについていろいろと議論を重ね、あるいは歴史的に「ここまでは大丈夫」という積み上げをしてきていたとしても、その前提が実は間違っていたとか、配慮が足りなかったということも、なにかの拍子には起こり得るということです。

分業が進んだ今、多くの人は仕事の全容をあまりよく分かっていないまま、仕事に向かっているじゃないですか。「前任者がこうやっていたから」という理由で、なんとなく分かったふりをして仕事をしている。そんな状態のところに新しいものがパッと出てきたとして、「ちゃんと立ち返って考えてみないとまずいぞ」などとは思えないですよね。

本来は、業務として仕事を分かっているだけでは不十分で、どういう契約の立て付けになっているのかとか、なぜそういうやり方をしているのかといったことまで分かっていないと、潜むリスクに気づくことは難しい。データの利活用や、AIの利用のような新しいものが出てきた時というのは、そういう問題が顕在化しやすいタイミングということです。

対策１：ダイバーシティはリスク回避にも効く

―では、どうすればそうした意識外のリスクにまで対処することができますか？ 個人が意識を高く持つ以外にない？

「意識を高く持つ」と言っても限界があるんじゃないですかね。人間は、自分が良かれと思ってやっていることが間違っているかもしれないと認められるほど、強い生き物ではない気がしますし。内心は「これはどこかおかしいんじゃないか」と思ったとしても、仕事としてやり続けないといけない環境にいると、「いや、これはこれでいいんだ。これまでだってずっとこうやってきたんだから」というように、自分で自分の違和感を殺してしまう。そうでなければ、仕事なんてやっていけない部分もあるから。

では、どうするか。同じような業務をしている人だけだと、どうしても似たような考え方になってしまって、「意識の外側にあるリスク」に気づくことが難しい。だから、ダイバーシティというか、ある程度違う立場から物事を捉えることのできる人たちが集まって、風通しよく議論できる必要があるでしょうね。前職のヤフーで、私が実際に行ったことを例として挙げるなら、広告部門と、例えばIDを見ている部門、プライバシー専門の部隊などでは、やはり考える“正義”に関して感覚の違いがあったので、部門横断で、全社としてなにがOKで、なにがNGなのかを議論できる場を作りました。

ただ、こうしたやり方は、どこの会社でも真似できることではないから難しいですよね。仕組みとして実装できるかどうかは、その企業の体力によって変わってくるので。ちゃんとした法律の知識を持ったインハウス・ロイヤーを何人も抱えているという時点で、その組織はかなり恵まれた部類でしょうし、外部の専門家に外注するにしても、どの専門家にどの観点でお願いするかの前さばきをできる、社内のことにも法律のことにも精通した人材が必要になる。だから、あまり実効性のあるアドバイスにはならないかもしれない。

―ただ、どれだけ充実した仕組みにできるかは企業の体力次第でしょうけれど、考え方としては、どの組織にも必要なことなわけですよね。

そうですね。「多様性」はよく、イノベーションにつながるアイデアを生み出すためという文脈で語られがちだけれども、リスクを回避するためにも必要ということです。立場が違えば価値観も違う。ということは、知られたくないことや嫌なことも、やはり違うはずです。だから多様性が大切。そして、そういう人たちが違和感を持った時に、ちゃんと声を上げられる世界であることも必要でしょう。

先ほども触れたように、一人ひとりが「本当にユーザーに説明できるのか」と自分に問い直す気持ちを持つことは、最初の違和感を引っかけるために不可欠なんですが、内心の違和感にどれくらい敏感かは、人によって違う。だから、精神論だけではコンプライアンスは守れないと思うんです。むしろ、そうした違和感を持った人がチーム内にいた時に、「つべこべ言ってないで仕事しろ」と言うのではなくて、アラートとして丁寧に拾っていける仕組みをどうやったら作れるかという方が大事。難しいけれども、組織として考えないといけないことだと思いますね。

対策２：アンテナ高く欧米の動向を追え

―ただ、「すべての状況においてそんなリベラルな姿勢でやっていたら、ビジネスとしてのスピードが出ない」という声が聞こえてきそうです。

その通りです。だから多くの場合、どこかで火傷してから考えることになる。

でも、中にはすごい人たちもいるんですよ。ちょっと次元の違う話になってはしまいますが、ある会社は数年前に個人情報流出事件を起こしたけれども、それよりも前から「いずれ住民票を見てDMを送れる時代は終わる」という見通しを持っていたらしく、たくさんの研究員を専門家のところに送り込んで、個人情報についてものすごく勉強していました。その時点ではまだ、当時の法律に照らして、彼らのビジネスは合法だったわけですが、これから来るだろう時代に向けて先行投資していたということです。

―なぜそんなことができたんでしょうか？

どうしてでしょうね。それは私も知りたいところです（苦笑）。

ただ、OECD（経済協力開発機構）のプライバシーガイドラインができたのは1980年だし、その後のアメリカ・ヨーロッパにおける法整備を詳細に見ていれば、日本でもこれからどんな法律ができるかとか、どんなレギュレーションになりそうかというのは、ある程度分かってもおかしくないことであったとは言えると思います。

もちろん、普通の会社はこの会社ほど社内にたくさんの研究者を抱えることはできないでしょうし、真似をするのは容易ではないですが、特に新しいことをやる場合には、世界の動向がどうなっているのかを勉強していないとつらい、ということでしょう。

日本がいきなりオリジナルのルールを作るケースって、実はほとんどないんですよ。いろいろな制度が、多くの場合なにかの事件をきっかけとして出てきますけども、その際、学者や役人はヨーロッパからコピペしたがるものなので。あるいは、ネット系であればアメリカが進んでいるから、アメリカではどうやっているかというのを必ず調べている。

そう考えれば、企業の法務の人たちも、今の法律をどう読むかではなく、なにをやらかしたらどんな法律ができるかというところまで考えるのが、本来の仕事ではないか、と。そのためには、やはりアンテナを高く張って、欧米の動向を見ておかなければならない。そのための勉強会などは、都内であればいくらでも開かれているわけですし。

もっとも、その点で言えば、先ほどの就職サイトの会社はおそらくものすごく勉強熱心だったろうし、風通しの良いカルチャーでもあると思うので。それさえやっていれば、必ずあらゆるリスクを防げるかと言えば、そうではないのが難しいところですが･･･。

対策３：リスクは付きものという前提に立つ

むしろ、リスクはあるものという前提に立つことが重要ではないでしょうか。人は自分の身の回りに近いところだけはゼロリスクにしたがるものですが、ビジネスには必ず、取るべきリスクがあるはずなので。ゼロリスクはあり得ない。青信号を通って渡っていたとしても、歩道を歩いている時よりは車にひかれるリスクが高いじゃないですか。ビジネスもそれと同じ。「法律の中だから」と言って、絶対に守られていて安全という話ではない。

そういうリスクのある中でやっているということを認識していたならば、自分の中の違和感や、ユーザーの声にも敏感に反応できるかもしれない。日本人にはともすると、難しいなにかを通した後には「こんなに難しいものを通したのだから、あとはもう盤石だ」みたいになって、聞く耳を持たなくなってしまうところがあるじゃないですか。

今となってはもう当たり前のサービスになりましたが、「Google ストリートビュー」が出てきた当初、フルボッコにされたのを覚えているでしょうか。あの時に実は、日本国内の事業者がやっていた「ロケーションビュー」という類似サービスがあったんですよね。この両者の動きの対比がとても面白くて。

「ストリートビュー」はローンチ前の手続きが酷くて、ローンチの数日前になって初めて、法務や渉外の担当者に「こんなことを始めることになったから」と連絡がきた。だから、外部の関係各所への挨拶回りもほとんどできなかったんです。その結果、ローンチすると、案の定の大炎上。ところが、その後は表札や車のナンバーにぼかしを入れるとか、カメラ位置を低くするとか、ユーザーの声一つひとつに答えていったことで、1、2年もすると、社会から受け入れられるようになりました。

一方、「ロケーションビュー」の方はというと、「国交省にも総務省にも事前に話を通しているんだから、これでいいんだ」という態度を最後まで崩さず、クレームが来ても、削除請求に応じなかったんです。リスクがあることは分かった上で、フィードバックを大事にしながら、時間をかけて社会と折り合っていく人たちと、「誰かのお墨付きさえ得られれば“真っ白”なんだ」という人たちの振る舞いの違い。これは、かなり根が深いものなんですね。

もちろん、アメリカの企業がそう振る舞うのには、裁判で物事を決めていくというカルチャーがあったり、その裁判で負けた際の賠償金がすごく大きいことなどが関係していたりするので、単純に「日本でもアメリカのようにやったらうまくいく」という話ではありません。重要なのは、まずはビジネスにはリスクは付きものだという前提を認識すること。そして、サービスを作る過程で違和感を持った人の声をどうやって拾い上げるかという「内側のガバナンス」の話と同じく、世に問うてから得られるフィードバックも大事にしていくことではないかと思います。

―どれだけ細心の注意を払っていたとしても、問題は起きる時には起きてしまう。だから、問題が起きた時にどれだけ初期の段階で真摯に受け止めて、世論、規制当局、あるいはメディアときちっと向き合えるかも大事ということですね。

そうですね。ただつらいのは、ほとんどの人にとってそうした炎上は、初めての体験だというところで。しかも、自分としてはプライドを持って正しいことをしたと思って世に出しているわけだから。そんな状況で冷静かつ虚心坦懐に向き合うというのは、とても難しいことだと思います。私自身は幸か不幸か、過去に新聞の1面に載るような炎上を何回か経験していますけども、自分が正しいと信じていたことと社会の反応のギャップが大きい時のつらさというのは、よく分かります。

ただ、たとえ良かれと思ってやった結果だとしても、そことは向き合っていかないといけないのは間違いない。大変なことばかりで、未来に向けて希望を持てるようなことをなかなか言えずに恐縮ですが、ほかの人より多く炎上を経験した身として一つ言えるとすれば、どんなことがあっても死にはしないので。どこかで成長の機会だと思って乗り越えるしかないのではないか、と（苦笑）。いや、どこかには本当に命を狙われちゃうようなこともあるのかもしれないですけど、それはまた別の話なので。