法的観点とユーザー目線の双方からデータ利活用・セキュリティ対応をサポート - TMIプライバシー＆セキュリティコンサルティング

近年、規模の大小を問わず、個人情報の漏えいやデータの不正利用に関して盛んに報道されています。情報通信技術の飛躍的な発展によってビッグデータの収集や分析が容易になる一方、個人情報の扱いに対する消費者の感度は高まっています。企業としては、法令違反によるリーガルリスクはもちろん、個人情報の取り扱い方法に問題があった際のレピュテーションリスクも考慮し、事業活動で得た情報・データの適切な処理について十分な配慮を行う必要があります。

また多種多様かつ膨大な情報は無限の価値を持ち、適切に利活用すれば社会にとって有益なものとなり得ますが、どのように利活用すればよいかわからない、という企業も少なくありません。

そうした企業をサポートすべく、データ・セキュリティ分野に関する法規制に精通し、実務におけるデータの取り扱いに対する知見を持った弁護士たちが設立したのがTMIプライバシー＆セキュリティコンサルティング株式会社です。データ利活用のスキーム構築とサイバーセキュリティの体制づくり、有事対応に特化したコンサルティングファームを立ち上げた大井 哲也弁護士、寺門 峻佑弁護士、戸田 謙太郎弁護士に、データ・セキュリティの領域における法務の実情や課題、それを解決するためのサービスについて伺いました。

法的サポートに加え技術的なアドバイスに対するニーズが増加

TMIプライバシー＆セキュリティコンサルティングを立ち上げられた背景をうかがえますか。

大井弁護士：
TMI総合法律事務所では、データ利活用における法令対応や、各国法に基づくセキュリティ体制の整備、サイバー攻撃のインシデント対応とその原因調査、再発防止策の策定に携わってきましたが、近年、法的サポートだけでなく技術的なアドバイスのニーズが高まってきました。そのため技術面についてのサポートをスピンアウトし、新会社を設立しようと考えたのです。

データの利活用もセキュリティ対応も、拠って立つ基準やスタンダードに解釈がわかれる部分のある概念ですが、そのなかでも私達は法律をバックグラウンドとしており、サービスの適法・違法の最終ラインをしっかりと把握しています。またデータの不正利用やセキュリティ事故の発生時、弁護士は事後対応を行いますので、現場での経験としてデータ利活用やセキュリティ上の落とし穴もよく知っています。インシデントの発生原因や経緯を理解しているからこそ、それを防ぐ方法がわかり、平時のセキュリティ体制にも活かすことができるのです。TMI総合法律事務所でもこうした強みをもとにサービスを提供してきました。

新会社を立ち上げることで新たに提供される価値にはどのようなものがありますか。

大井弁護士：
データ管理や利活用の土台、枠組みを考案する早い段階から弁護士として関与することが、TMIプライバシー＆セキュリティコンサルティングを立ち上げた目的の1つです。多くの顧客データや購買履歴データなどを持ち、デジタル活用に着手しようとする企業に対して、企画の段階からサポートできることが、新会社のサービスの目玉です。

事務所によるベンチャー創業支援の第1号案件として設立

今回の新事業について、着想を得たきっかけなどはあったのでしょうか。

大井弁護士：
かねてから構想はありましたが、2019年の4月にベンチャー創業支援の企画が事務所内で行われたことが、具体的に動き出したきっかけです。所内公募で20ほどのアイデアが出たなかで、第1号案件として選定されました。理由としては、事業の具体性や、弁護士業との相乗効果、またデータ活用とセキュリティというマーケットの広さにあったようです。

立ち上げが決まった際、メンバーはどのように集められたのですか。

大井弁護士：
企業家精神のある方という考えを念頭に声がけしていきました。

寺門弁護士：
ベンチャー創業支援の企画があった際、私も新しいことをやりたい気持ちがあり、事業を提案しようと構想していました。しかし大井から圧倒的に具体的なアイデアがあがってきたので、別々にやる意味はないと考えたのです。大井が考える会社に自分の力を100%寄与して一緒に成功させたいと思い、参画しました。

戸田弁護士：
私はフォレンジック調査の案件を以前から手がけてきました。フォレンジック調査はシステムに精通した技術者に依頼することが多いですが、海外では法律事務所が主体的に実行することが主流になりつつあります。

日本では内製でフォレンジック調査を行う法律事務所はほとんどないため、TMI総合法律事務所としてやるべきではないかと構想していました。そうしたなか大井のアイデアを知り、構想との親和性の高さを感じて参画しました。フォレンジックの側面からも企業にアドバイスができることは、今後新会社のわかりやすい看板にもなるかと思います。

法的観点とユーザー目線の双方によるコンサルティングを実施

貴社ではデータ利活用支援とセキュリティ体制の構築・有事対応においてサービスを提供すると伺っています。まず前者については主にどのような企業のサポートを行われているのでしょうか。

大井弁護士：
まずはコンシューマー向けのサービス事業者を中心として、クライアントが持つ購買・閲覧履歴を用いたデータ活用の支援を行っています。一方、BtoB領域もクライアントの顧客が個人から企業に変わるだけですので、対企業のサービスを展開する事業者へもサービスを提供していけたらと考えています。

データ利活用を行ううえでは、リスクを恐れ、限られた安全領域でしか事業を行えていない企業もあるように思います。そうした企業に対し、貴社が貢献できるのはどのような点でしょうか。

大井弁護士：
まずは法律に抵触しない範囲を明確化します。それとともに、法律から離れた観点として、消費者目線で同意が得られやすい仕組みや、データ利用に対する消費者の不安を除去する方法などもコンサルティングしています。データを預かってサービスを行う以上、消費者に不安を抱かせるようなサービスは継続できませんので、データを利活用するプロセスの透明性の確保についても支援しています。

セキュリティ体制の構築・有事対応については、どのようなサービスを提供していますか。

大井弁護士：
データの利活用を進めるうえでは、社内にある様々なデータをDMP（Data Management Platform）と呼ばれるシステムなどに集積していきます。すると、その集積したデータに対して攻撃を受けたり、内部者に持ち出されたりすることが企業の不安材料となるでしょう。このようにデータの利活用とセキュリティは、表裏一体です。データの利活用により高まるセキュリティリスクを技術的観点からヘッジするのがセキュリティ面のサービスです。

具体的には、フォレンジックや調査委員会による原因究明といった、これまでのセキュリティインシデントの対応ノウハウをもとに、有事対応や平時のセキュリティ体制構築のコンサルティングを行っています。

インシデントの事後対応において、企業は特にどのような点で課題を感じているでしょうか。

戸田弁護士：
有事の際の対処方法がわからない、またそれを相談すべき先がわからないというのが、クライアントがもっとも困っていることでしょう。特にデータセキュリティの分野においては技術と法律の両方の知識を兼ね備えた専門家は数が限られますし、そのうえ対応は1分1秒を争います。有事の際、すぐに体制を整えられるものではありませんので、平時からインシデントの発生を見据えた対応の仕組み作りが重要です。

一方で、平時から体制構築に取り組めるのは、かなり感度の高い企業に限られており、そこまで手が回らない企業が大多数のようです。実際、普段から体制作りを行っているのは、過去にインシデントを経験した企業か、データの利活用をメインの事業として扱っているプラットフォーマーなどですし、当社のクライアントもデータビジネスを主体としている企業がほとんどです。

大井弁護士：
一言で「データ利活用」「セキュリティ」と言っても、手法や仕組みが非常に細分化されており、データビジネスを主体としているクライアントでさえなかなか最適な選択肢を見出しづらいという問題もあります。当社では最適なベンダーを選択し、案件ごとにチームを組みながらサービスを提供しますので、クライアントには価値を感じていただけると考えています。我々はクライアントに足りないセキュリティ施策を指摘し、ベンダーは解決のためのソリューションを提供する。最上流から実装まで、一気通貫で受任することができることが我々の強みといえます。

データ・セキュリティに関わる案件が、法務部を通らないケースが顕在化

セキュリティ体制の検討から実装まで受任されるということは、クライアントとしては全社をあげての取り組みになるかと思います。サービス提供時に相対する担当者としてはどういった方が多いのでしょうか。

大井弁護士：
情報セキュリティの責任者であるCISO（Chief Information Security Officer）やCDO（Chief Digital Officer）といった、DX（デジタルトランスフォーメーション）を進める責任者の方とお話するケースが多いです。

法務の担当者がそうしたプロジェクトに関わる場面もあるのでしょうか。

大井弁護士：
デジタルマーケティング部門、情報セキュリティ部門の担当者がフロントに立たれることが多く、法務がデータ利活用・セキュリティの領域に絡めなくなっているように感じています。

一因としては、デジタルマーケティングの担当者から個人情報の扱いに関する課題感を相談されても、法務部が「それは我々の対象外です」と回答したり、セキュリティに関する相談に「情報セキュリティ部門の範疇です」と答えたりするなど、法務部自ら対応領域を狭めてしまうことがあるようです。

また当社に相談を寄せられたデジタルマーケティング部門の方に「法務部の意見はどうですか」と確認した際、「うちの法務部では対処できないと思ったため社外に相談した」と返ってくることもありました。

これが何度も積み重なると、法務部が関われる領域がどんどん狭まってしまいます。そのため事業部の方から案件を受ける際は、必ず「法務の方も参加してくださいね」とお声がけしています。当社としては「法務+デジタルマーケティング部門」「法務+情報セキュリティ部門」がクライアントだと考えてサービスを提供しています。

データ利用やセキュリティに関する案件が法務を通らなくなってしまうケースがあるのですね。

大井弁護士：
案件が素通りしてしまうと、法務には知見が溜まっていきません。そうすると、知見が溜まらないから相談されない、相談されないから知見が溜まらない……という悪循環に陥ってしまいます。弁護士業も同様ですが、法務部門は依頼されてなんぼだと思います。わからない領域にも食いついていかないと、果たせる役割がなくなっていってしまうかもしれません。

寺門弁護士：
自社が使うツールやサービスの中身について、法務部の方にもより知ってもらえればと思います。たとえばセキュリティサービスの利用可否について相談された場合に、法律問題を調査するだけでなく、サービスの種類や同業の利用状況、サイバー攻撃の傾向といった時事情報などについて興味をベースに調べることも、知見を広げるために大切だと思います。私たちも文系のバックボーンながら、案件を通して知識を深めてきました。法務部の方々にもぜひ進んで情報を取りにいっていただきたいですね。

大井弁護士：
2019年に『起業の法務――新規ビジネス設計のケースメソッド』 ¹ を刊行し、デジタルマーケティングの概要や法的留意点についても解説させていただきました。同書をお読みいただくことも、法務が社内のデジタル化に関わっていくためのきっかけとなるのではないかと思います。

データ利活用の仕組みやセキュリティ体制の整備により、「思ってもみなかった」サービスの創出へ貢献

今後の活動の展望をお聞かせください。

大井弁護士：
活動領域を広げていくのではなく、データ利活用・セキュリティ対応という専門性を深掘りしていくことが大切だと考えています。セキュリティサービスを扱う各社とのアライアンスを進めることで、予防法務的に案件の上流から参画し、実装まで携わる。クライアントの社内に入り込む形で、サービスを提供したいと考えています。

寺門弁護士：
有益なビッグデータを保有している企業は日本にもたくさんあり、そのデータを活用した新規事業を考えている方も少なくない印象ですが、経営層まで納得させることができる方はなかなかいないようです。当社ではそうした方々をサポートし、安全なデータ利活用に必要な仕組みやセキュリティ体制を整えることで社内での説得を実現し、「思ってもみなかった」サービスを生み出すきっかけを作ることができれば、と考えています。ビジネスリスクの払拭に加え、事業の透明化や成長へも貢献することは、コンサルティング会社となったからこそできる領域だと思います。

戸田弁護士：
これまで法務部に対しては、ビジネスにブレーキをかけるイメージを持つ方が少なくなかったと思います。法務部が、ビジネスを進めるための法的アドバイスのできる組織に発展していくためのサポートを、従来、弁護士が立ち入ることの少なかったビジネスに近い領域から行っていきたいと考えています。

（写真：弘田 充、取材・文・編集：BUSINESS LAWYERS 編集部）