PayPayで働く圧倒的プロフェッショナルに迫るプロフェッショナルズシリーズ。
今回は、プライバシー保護とデータ活用を担うCDO室(CDO:Chief Data Officer)にインタビュー。資金移動業として日本初となるCBPRシステム(APEC越境プライバシールールシステム)の認証取得を成し遂げた4名のメンバーに、プロジェクトの裏話や仕事のモチベーションなどについて伺いました。
寺田 陽亮(てらだ ようすけ)
PayPay株式会社執行役員 CCO 兼 CRO 兼 CDO / 法務・リスク管理本部 本部長
裁判所で事務官、書記官を務めた後、2002年Yahoo! Japan入社。法務1部長、コーポレートガバナンス部長を歴任後、2020年4月PayPay執行役員CCO兼CRO法務・リスク管理本部長就任。
角田 洋祐(つのだ ようすけ)
法務・リスク管理本部 CDO室長
2019年1月にYahoo! JapanからPayPayへエンジニアとして入社。2021年4月より現職。PayPayのデータガバナンスとシステムリスク管理の高度化を目指して活動中。
宇津木 芳博(うつき よしひろ)
法務・リスク管理本部 CDO室
大手通信会社でデータガバナンスに携わり、監査法人系コンサル会社を経て2022年1月にPayPayに入社。同年4月からCBPR認証取得プロジェクトのリーダーに抜擢。
横井 康隆(よこい やすたか)
法務・リスク管理本部 CDO室
メーカーの販社で情報セキュリティチームに在籍し、プライバシーマークやISMS取得などに携わる。2022年4月PayPayに入社。
三島 知子(みしま ともこ)
法務・リスク管理本部 CDO室
外資系IT企業法務を経て2019年10月にPayPayに入社。欧州の情報プライバシー法の専門資格であるCertified Information Privacy Professional/ Europe (CIPP/E)を持つ。
データを守り、そして活かす。
はじめに、CDO室の担当業務をお聞かせください
角田:
私たちが所属する法務・リスク管理本部では、コンプライアンス部や内部統制室、情報セキュリティ対策を行うCISO室などが領域別に守りの体制を固めており、その中でCDO室はデータガバナンスを担当領域としています。データガバナンスには、プライバシー保護とデータ利活用の役割があり、守りと攻めの両面を担っています。
今後はデータの利活用という攻めを強化すべく、設立4年目の会社としては異例のCBPR(Cross-Border Privacy Rules)と呼ばれる越境プライバシールールの認証取得に取り組み、無事取得にこぎつけることができました。
CBPR認証プロジェクトはどういう経緯でスタートしたのですか?
角田:
CDO室では、設立された2021年4月から、ユーザーの個人情報保護を目的に、個人データがどのように使われているのかをトレースできるルールやプロセスの整備に注力してきました。プライバシー保護体制が整ってきた頃に、グループ会社のYahoo! JapanでCBPR認証の取得を目指しているという話を耳にして、三島さんをはじめ周囲の方に「来年、CBPRを取りませんか」とお話させていただいたのがきっかけです。中山社長にも相談したところ、「ぜひやろう。資金移動業者で一番に取ろう」と背中を押していただき、2022年4月から認証プロジェクトをスタートさせました。
Fintech業界におけるプライバシー保護のリーディングカンパニーへ
CBPR認証取得のためにどんなことを行いましたか?
宇津木:
CBPRは越境に関する個人情報保護ルールのシステムですので、個人情報保護に関する社内整備をメインに取り組みました。審査基準に適合するように関連する全ての規定を見直し、足りないガイドラインやマニュアルを作成して、数十個のファイルをエビデンスとして審査依頼をしました。その後、指摘事項に対して追加資料を作成して先方とリモート会議で確認をする作業を繰り返し、合計150を超えるファイルを提出しました。最後は現地審査を経て、CBPRの認証取得に至りました。
角田:
審査基準の中には個人情報保護に関するアセスメントの項目もあるので、内部監査室をはじめ各部門のご協力も得ながら、認証を取得することができました。
取得までにどのくらいの期間がかかりましたか?
宇津木:
2022年4月にプロジェクトがスタートしてから審査準備を3ヵ月で行い、7月に審査を開始して5ヵ月ほどで取得しました。標準審査期間は3ヵ月とされていましたが、当初想定していた以上に審査が厳しく、追加の資料作成や社内の調整に時間がかかりました。それでも部署間の協力体制があるPayPayだからこそ、この期間で取得できたと思っています。
三島:
3ヵ月で審査の申請書を提出するまでが最初のハードルだったのですが、その部分で横井さんに貢献していただきました。横井さんは入社した4月早々にプロジェクトに参加され、「1ヵ月で個人情報保護規定の改訂版ドラフトを作って欲しい」という無茶ぶりにも対応してくださいました。彼の存在がとても大きく、CBPR認証も3ヵ月の準備期間で審査スタートすることができました。
横井:
以前のPayPayにおける個人情報保護規定が約17ページあったのですが、CBPRの認証基準になるように追加したことで、今では2倍くらいのボリュームになりました。足りない部分を埋めていくのはもちろんなのですが、金融分野のガイドラインや、現在の社内運用とも整合性を取らなければいけないところが難しかったですね。
CBPRは取得できればいいというものではなく、マネジメントシステムですので運用できる状態でないと意味がありません。入社直後にそのマネジメントシステムの仕組みを想像しながら、きちんと運用できるかということを意識して進めたことを覚えています。
角田:
宇津木さんも2022年1月にPayPayに来たのですが、入社してCBPR認証プロジェクトのリーダーを「後はよろしく」とお任せした感じでしたよね?(笑)
宇津木:
そうですね!PayPayでの最初の大仕事だったので、やろうと決めていたものの、「CBPRって何?」というところからのスタートでした。なので、審査準備中の4月に横井さんに入っていただけて本当に助かりました。初めは社内の人を知らない状態で関係部署を巻き込んでプロジェクト運営するのは大変でしたが、今となっては良い機会をいただいたと思っています。このプロジェクトを通じて、プロダクトの方から、マーケティング、CS、人事、総務まで、50名近い方と連携を取って、PayPayならではのワンチームを実感できました。
CBPR認証取得がPayPayにもたらすものとは?
三島:
セキュリティや個人情報の取り扱いの不安は、アプリを使わない理由としてよく挙げられるものの一つです。目に見えないからこそ、セキュリティや個人情報の取り扱いがどのように扱われているかがわからないと思います。そこできちんとした外部機関からのCBPR認証を取得したことで、PayPayが安心安全なセキュリティ、個人情報の取り扱いの元で運用されていることを、ユーザーにお伝えできたのではないかと思っています。
実は、日本国内でCBPRの認証を取得している企業は現時点でわずか5社で、資金移動業では初の認証取得事業者になりました。それだけPayPayでは、プライバシー保護を経営の重要課題として捉えています。私たちはキャッシュレス決済のリーディングカンパニーであると同時に、プライバシー保護についてもリーディングカンパニーだと認知されるようになるとうれしいですね。
ユーザーファーストに向かって走るプロ集団
みなさんが働く上で大切にしているPayPay 5 sensesはなんですか?
角田:
個人的には、4つ目の「Be Sincire To be Professional」を一番大切にしています。我々の部署は煙たがられることも多い役割にもかかわらず、PayPayで仕事がしやすいのは、プロダクトや営業などの1線の皆さんがユーザーファーストの姿勢でプロフェッショナルとして対峙してくれるからだと思っています。なので、自分も常にプロフェッショナルでいたいと思っています。
三島:
「Work for LIFE or Work for Rice」にある「チャレンジを繰り返す」ことが、私らしくPayPayらしく働くことにつながっています。新しい価値をスピーディーに生み出すベンチャーで、法務やデータに携わる醍醐味って、新しいことにチャレンジするワクワク感ではないかと思うんです。CBPR認証の取得も新たなチャレンジであり、私にとって大きなワクワクの一つでした。
宇津木:
今回のCBPR認証プロジェクトでも日常的にも共通するのですが、「Be Sincire To be Professional」を意識したことで、審査合格に全力で臨んで最後までやり抜くことができたと思います。また、プロジェクトを通じて多くの方にご協力いただき、3つ目の「ワンチームで取り組む」文化を実感しました。1線部門と2線部門が衝突するのではなく、2線部門は1線部門が対応しやすい形で守りを固めようと思っているし、1線部門も守りを考えたサービスを意識して作られている。お互いを補完しながらいいベクトルで動いている会社だなと感じます。
横井:
私も「ワンチームで取り組む」というのが大事かなと思っています。前職でもプライバシーマークやISMSの取得に携わる中で、各部門の協力を得ながら進める難しさは目の当たりにしてきました。PayPayでは1線も2線もスピーディーに対応してくれて、会社全体がワンチームになって取り組めたことが、CBPRのスピード取得にもつながったと感じます。
今後、CDO室としてやり遂げたいことを教えてください。
角田:
CDO室は、先ほどお話したように、プライバシー保護とデータの活用の2つの役割を担っています。プライバシー保護に関しては、いかにユーザーに安心してデータを預けてもらえる環境を作るかが一つの使命だと思っています。プロダクト開発においても、プライバシーファーストで考える文化を築かなければいけません。ここはゴールのない世界なので引き続き取り組んでいきます。
もう一方で、これだけユーザーがいて日々大量のトランザクションが発生している中で、データから新たな価値を生み出すことも我々の使命です。守り一辺倒ではなく、バランスを取りながらデータを活用できる環境を整えていきます。
それに、情報を発信することもすごく大切ですよね。セキュリティやプライバシーに関してどういう取り組みをしているのか、それをきちんと公開していく取り組みも進めていきたいと思っています。
皆さんにとってPayPayはどんなところですか?
三島:
ずばり、ワクワクするところです!
宇津木:
チャレンジができる会社!そしてワンチームで仕事ができる会社だなと実感しています。
横井:
上下関係なくフラットな関係で、新しいことに一丸となって挑戦できる場所だと感じています。PayPayはまだ若い会社ですので、CBPRを取得する過程で仕組みや体制を整えていくこと自体にも大きな意味がありました。それがユーザーの安心感や信頼感につながっていくことが僕のモチベーションになっています。
最後に、どのような方と一緒に働きたいと思いますか?
角田:
ユーザー視点で仕事をする方にぜひ来てほしいです。部署ごとに役割は違えど、最終的に「ユーザーに良いサービスを届ける」という方向に向かっていれば、みんな協力してくれますし、同じゴールを見て走ってくれる仲間が集まっています。私自身もそういう方と一緒に働きたいですし、そういう方にこそ活躍してもらえる環境だと思います。
スキル面だと、コミュニケーション能力は重要です。我々の部署だけで完結する仕事はなく、常にさまざまな部署の方と相談・調整しながら進める形になるので、周囲と円滑にコミュニケーションを取れる方に来てほしい。その上でシステムや法律、データの知識があるといいですね。
※募集状況は取材当時のものです。
協力:Yosuke Terada / Yosuke Tsunoda, Yoshihiro Utsuki, Yasutaka Yokoi, Tomoko Mishima / 企画:Danata / 編集:PayPay Inside-Out編集部 / 撮影:Keizo
※社員の所属等は、取材当時のものです。
