法務との連携が成功の鍵！データ取り扱い方針を決めるプロダクト開発の第一歩

概要

AI/LLM製品開発を進める中で、顧客データを活用するには法務部門との連携が必要不可欠と感じた。しかし、何をどう整理すれば良いかもわからない状況に直面。この記事では、私が直面した課題と、その解決プロセスを共有します。

注意
本記事では法律の解釈については取り扱いません。
また、各社の法務部門や弁護士といった専門家に相談をした上で方針を決定をしていきましょう。

ターゲット

業務に顧客データの活用を取り入れようと考えている人、取り組み始めた人

きっかけ

今年度からAI関連する部分のプロダクトマネジメントをすることになった。
データの取り扱いは法律やサービスの規約、また開発する上でシステムのアーキテクチャに直接関連する要素であることは理解していたが、以下記載の事象に見舞われ、何がわかれば法令を遵守し、システムのアーキテクチャに関連する要求における制約を決めることができるのかがわからず、困っていた。

背景：顧客データ活用と法務の重要性

AIやLLMを活用した製品開発では、顧客データの活用がサービスの精度向上や価値創出に不可欠です。一方で、個人情報保護法やGDPRなどの規制により、データの収集・利用には法的な制約があります。これらを遵守しない場合、法的リスクや顧客の信頼低下に直結します。また、適切なデータ管理はシステム設計や運用にも影響を与えます。法務部門との連携を強化し、法令遵守とデータ活用のバランスを取ることが、重要になります。

課題：どこでつまづくのか？

事象

• 顧客データを適切に取り扱った上でデータを活用していくにあたって、考慮すべきことを洗い出すことができず、自分たちが困っていることを整理した上で法務部門に相談することができていなかった
• 相談はしても、法務部門の方の回答が知識不足で理解することができなかった
• 調べても具体的にこの2点（法律やサービスの規約、システムのアーキテクチャへの関連）に関して、どの法律を理解すれば良いかわからなかった

問題

何がわかれば、法令遵守した上で顧客データをとり扱っていることになるのかわからない

あるべき姿

法務部門に法令遵守した上で顧客データをどのように取り扱いたいと考えているか提案できる状態にする

解決すべき課題（あるべき姿を基にしたとき）

• 個人情報に関連する具体的な知識不足で法務部門の方の助言が理解できない
• 何をどこから手をつけて整理をすれば良いかわからない

解決のプロセス

1.まずは現状把握で法務部門の助言を理解できるようにした

• 自社の現状
  • 公表しているプライバシーポリシーや利用規約の確認
• 法律の現状／個人情報の取り扱いで確認した資料
  • 個人情報保護法等ガイドライン一覧
  • 個人情報の保護に関する法律についてのガイドライン（通則編）
  • 個人情報の保護に関する法律についてのガイドライン（仮名加工情報・匿名加工情報編）
  • 個人情報の保護に関する法律についてのガイドライン（第三者提供時の確認・記録義務編）
  • 個人情報の保護に関する法律についてのガイドライン（外国にある第三者への提供編）
  • 「個人情報の保護に関する法律についてのガイドライン」に関するＱ＆Ａ
  • 電気通信事業における個人情報等の保護に関するガイドライン（令和４年個人情報保護委員会・総務省告示第４号（最終改正令和６年個人情報保護委員会・総務省告示第４号））の解説
  • 仮名加工情報・匿名加工情報信頼ある個人情報の利活用に向けて―事例編―

完全に現状の理解不足が一番の原因だった。
これにより、過去に法務部門からの回答の内容や該当する法律をある程度理解することができた。ものごとの解像度を上げることが一番の近道だった。

2.法務部門への提案資料の作成
下記を盛り込んだ

• 現状把握後の自社法令や法律の理解が法務部門と認識が合っているか
  • 資料の内容：用語の定義、自社の現状、個人情報関連の利用時の考えられるハードルなど
• 今後の顧客データの取り扱い方針として、提案内容が現実的か

法務部門とのコミュニケーションのコツ

顧客データを取り扱う上で法務部門と円滑にコミュニケーションを取りたいのであれば、最低限の法令内容は理解することをお勧めします。
法務部門との連携において、法律の知識がコミュニケーションを補完してくれます。数日中のインプットでコミュニケーション力を補完できるのは有効な手段だと思います。

学び

アクションの効果

• 法務部門の方が話している内容は全て理解することができた
• 法務部門の中でも解釈が揺れている部分に関して、鋭い質問をすることができた
• 決められたMTGの時間内で現状の理解があっているか、確認したいことも全て確認でき、顧客データの取り扱いの方針も決めることができた

顧客データを取り扱う上で法務部門と円滑にコミュニケーションを取りたいのであれば、最低限の内容は理解することをお勧めします。

理解した内容

• 個人情報保護法等ガイドライン(上記に記載のもの)
  • NotebookLMなども利用しながら、全部ではなく、読めば読むほど重複している記載があるものは読み飛ばしたりしたので、結果的に６〜7割程度の量である感覚

整理したポイント

• 個人情報の取り扱いに関連する点

  • 個人情報とは、また違反となる行為は何か
  • 個人情報の利用目的
    • 利用目的が変更できるケースとできないケース
    • 仮名加工情報や匿名加工情報とは

• 使うアーキテクトに関連する点

  • 第三者提供、委託とは
  • クラウドサービス等を利用する場合のデータの第三者提供や委託など、公表や個人への許可の必要性の有無

これで整理する内容としては完璧というわけではありませんが、この２点をとっかかりに、製品開発における顧客データ利用の理解を深めていき、法務部門とコミュニケーションをとっていくことで、今回一番得たい成果を得ることができました。
皆様の今後の業務において、一助になれば幸いです。