WirelessWire News The Technology and Ecosystem of the IoT.

by Category

GDPR施行にあたりピープルアナリティクスで気をつけるべき3つのこと

People Analytics and GDPR

2018.06.04

Updated by 特集:採用と活躍の技術 on 6月 4, 2018, 17:28 pm JST

個人情報保護を目的とした「EU 一般データ保護規則(General Data Protection Regulation:GDPR)」が、2018年5月25日から施行された。日本の改正個人情報保護法との際立った違いはその罰則規定の厳しさにある。

日本の改正個人情報保護法に違反した場合、「6ヶ月以下の懲役または30万以下の罰則」であるのに対し、GDPRに違反した場合、「企業の全世界年間売上高の4%以下、または2000万ユーロ(約26億円)以下のいずれか高いほう」となっている。これは、考え方としてはタイで実際にあった懲役14万1078年(※1)に匹敵する。GDPRに違反するような企業は事実上の終身刑、というわけだ。

これは残念ながら、EUという遠い異国における私たち日本人には無関係な話、とはならない。欧州経済領域(EEA)域内で取得した氏名、メールアドレス、クレジットカード番号などの個人データをEEA 域外に移転することが事実上できなくなると同時に、現地に進出した日系企業に勤務する現地従業員は当然のこと、日本から派遣された駐在員も対象になる。そこに“住んでいる”と判断されればGDPRの規制範囲なのだ。ピープルアナリティクスは「ヒト」に関するデータを扱うということもあり、企業規模とは無関係に、グローバル企業であれば、少なからず影響を受けると考えるべきだろう。

2017年にInsight222(※2)が行った独自調査によると、HRや人事の関係者の81%もが、現在抱えているピープルアナリティクスプロジェクトが倫理やプライバシーに関する規制の影響を受けると回答している。

▼倫理とプライバシーに関する規制はピープルアナリティクスに影響がありますか?
倫理とプライバシーに関する規制はピープルアナリティクスに影響がありますか?

このような流れを受け、ピープルアナリティクスはデータの扱い方をどのように変化させる必要があるのだろう。ここでHumanaize社のCEOであるベン・ウェーバー氏が提唱している「ピープルアナリティクス三大法則」を紹介したい。以下の三つである。

1. オプトイン原則
2. データ集合
3. コンテンツの削除

1. オプトイン原則
オプトイン(opt in)とは、データを収集する前にその対象に関する個人情報をとることについて本人の同意を得ることをいう。ピープルアナリティクスにおいては、企業がすでに持っている生年月日や氏名、人事関連データ(業績や評価データなど)以外でデータを取得する場合は、対象の従業員全員に対し、その収集目的をきちんと説明し、同意を得る必要がある。当然、同意が得られなかった場合、データを取得することは一切できない。個人情報への危機意識が高まる中で、データを取られること自体に不快感を持つ人が増えていることもあり、いかにしてその気持ち悪さをなくし、必要なデータを取得するかがピープルアナリティクスにとっては一つの重要な課題だ。

2. データ集合
ピープルアナリティクスは人事分析と異なり、個人を特定する必要がない。全従業員あるいは特定の部署の全体をデータ集合として捉え、そこからデータの傾向や特徴を見出す分析を行うため、氏名などの個人情報は事前に削除しても支障はない。また、従業員番号などのIDを使う場合は、ハッシュ化して処理するのが望ましい。

3. コンテンツの削除
会話やメールの内容といったものをデータとして集めるのは、1のオプトイン原則で触れた「データを取られることの気持ち悪さ」の度合いが最も高いデータの一つであり、オプトインなしのデータ取得は盗聴に値する。また、テキスト解析において、評価コメントなどのある特定の目的を持った言葉の分析であれば有意な発見も想定できるが、会話やメールといった幅広い内容を扱う場合、膨大なノイズが溢れることになり、大変な労力に見合う意味のある分析結果をもたらすことは極めて少ない。会話の内容ではなく、誰と誰が会話したかという社内コミュニケーションのネットワーク分析の方がはるかに有意義なのだ。したがって、会話やメールといったコンテンツはピープルアナリティクスにおいては不要、と考えておこう。

以上、GDPRの施行に伴ってピープルアナリティクスの実施時に気をつけるべき3つの原則を紹介したが、さらには、情報漏えいしないようシステムセキュリティの強化を行うことや、個人情報をいつでも削除できるデザインなども同時に求められることはいうまでもない。個人情報対策は、エンジニアや法務、UI/UXデザイナーなど総出で対策すべき事項でもある。アナリストだけに対応させるのは無理がある。いずれにしても、ピープルアナリストとしては常に上記3つを意識しておくことが基本中の基本であることを胆に銘じておこう。
---
※1:懲役14万1078年はギネス記録にも認定されている最長懲役年数。1989年にタイで起きた2億4000万ドルの巨額詐欺容疑に対する禁固刑。

※2:Insight222は、イギリスとアメリカに拠点を置くピープルアナリティクスに関する情報発信やワークショップなどを提供する会社。2017年設立。
https://www.insight222.com/

WirelessWire Weekly

おすすめ記事と編集部のお知らせをお送りします。(毎週月曜日配信)

登録はこちら

特集:採用と活躍の技術

社員の行動データを収集・分析し、業務効率化・業績向上、人事に生かす手法として注目されているピーブルアナリティクス(People Analytics)に代表される人事関連技術(Human Resource Technology)は人工知能関連のアルゴリズムが導入され始めることで本当に効果があるのかどうかが試され始めた。一方で“働き方改革”による労働生産性向上は国を挙げての喫緊の課題として設定されている。この特集では全ての人たちに満足のいく労働環境はどのように実現できるか、そのために人事関連技術はどこまで貢献できるのかを考えていく。データサイエンティスト/ピープルアナリストの大成弘子(おおなり・ひろこ)とアナリストの緒方直美(おがた・なおみ)を主たる執筆者として展開。

RELATED TAG