西日本旅客鉄道株式会社 様

中田氏

JR西日本では、実を言うとこれまでデジタル戦略では出遅れていた部分があると自認しています。しかし、お客様の利便性を高めるサービスの提供という意味でも、私たち従業員の働き方改革の意味でも、デジタル化の取り組みは必要不可欠です。2020年には、社長を本部長としてデジタルソリューション本部が立ち上がりました。社内では、デジタル化の流れがものすごく動き始めたことを実感しています。

中田氏

JR西日本のデジタル改革では、これまで以上にお客様の鉄道の利用状況やショッピングセンターの利用状況などのデータを経営資源として利活用していくことを目指しています。逆に言うと、こうしたデータを有効に活用できるようにしないと、生き残っていけない状況です。
一方で、お客様のデータを利活用するとなると、プライバシー保護が改めて課題として浮かび上がります。JR西日本では、企業倫理・リスク統括部を2009年に設置し、企業倫理の確立とともに個人情報保護への対応を進めてきました。データ利活用の推進が意識されるようになってきた数年前から、プライバシー保護への対応が一段と強く求められるようになり、データ利用の攻めの部分だけでなくプライバシー保護のような守りの部分にも力を入れるようになりました。

中田氏

私が企業倫理・リスク統括部に着任したのはGDPR施行後の2018年7月でした。GDPR対応をしなければならないことは間違いないのですが、何をしたらいいか分からないというのが正直なところでした。特に課題だったのが、GDPRで定められたEU内の現地代理人（EU代理人：EU representative）の選任でした。EU域内のお客様と取り引きする企業は、EU内に個人情報に関する窓口となる代理人を置かなければならないというものです。引き受けてくれる会社や個人も見当たらず、更に万が一の際は日本側に対しては日本語で対応してもらいたいという要望を併せて考えると困った状況でした。
そうした時に、インターネットを検索していると、IIJの「EU代理人/UK代理人サービス」が目に止まりました。IIJとは鉄道部門でのお付き合いがあることもあり、東京に出向いて担当部長に直接お話を伺えました。それが、2019年秋ごろのことです。

中田氏

そうです。欧州各国にいるEU代理人が、データへの侵害などへの問い合わせに対して英語、フランス語、ドイツ語、スペイン語、イタリア語で応対し、私たちに対しては日本語で対応してくれるというサービス内容に納得しました。もし外国語での対応しかなかったら、GDPRで求められるスピード（72時間以内の報告義務）に追いつけません。日本語で連絡してもらえることは、とても助かると感じました。元々、当社がIIJとつながりがあったこともあり、契約条件も含めてスムーズに交渉が進みました。
GDPR対応はゼロからの検討だったので、プライバシーポリシーをGDPR向けにどう構築するのか、社内規定をどう改定するのかといった対応事項についても、IIJにアドバイスをもらいながら処理していきました。2020年7月には正式にサービスの利用を開始し、GDPR対応のスタートを切れました。

中田氏

GDPRでは、Webサイト利用者にクッキー利用に関してポリシーの提示や利用に関する同意を得る必要があります。そこで、まずグループ企業内でクッキーの利用状況を調べました。すると、鉄道部門のマーケティングサイトで営業に利用していることが判明しました。そこで、クッキー規制にも対応する必要があると分かったのです。
当初はグループ内でITソリューションなどを手掛ける会社に相談したのですが、調べていくとグループ内での対応は専門性が高すぎて難しいということになりました。外部でクッキー規制に対応するサービスを探すしかなかったのです。そこで相談したIT系のグループ企業に、利用できるサービスを探してもらったところ、複数の企業のクッキー規制対応のサービスやソリューションが推薦されました。

松村氏

クッキー規制対応のサービスやソリューションのリストを見ていくと、日本語でサポート可能というところは2社しかありませんでした。日本語によるサポートは有事の際に重要なポイントです。そのうちの1社がIIJだったのです。もう1社はこれまでにお付き合いがなかったのですが、IIJはEU代理人サービスでの実績がありました。プライバシー保護は専門性の高い領域で、法規制対応をするにはかなりのコミュニケーションが必要になります。IIJとはEU代理人サービスの導入時点で社内の事情から対応方針まで話をしてコンサルティングしてもらっていましたから、他社に改めて依頼するよりも少ない労力でコミュニケーションを図ることができると考えました。

中田氏

私たちから見ると、クッキーを自動検知したり、同意画面を自動で出したりする「クッキー同意管理バナー」のサービスは、理屈も仕組みもなかなか正確な理解が難しいのが実情です。ある種のブラックボックスのようなツールでありながら、それでも厳密に対応しなければなりません。そうしたとき、サービスを依頼する会社の信頼性は重要です。EU代理人サービスでの取引実績を高く評価し、IIJにお願いすることにしました。

中田氏

EU代理人サービスは、JR西日本グループを包括した形で代理人契約を結んでいます。グループ内にはホテルグランヴィアや、日本旅行などの旅行代理店もあります。ヨーロッパのお客様の情報も多く持っていて、これらの企業が個別にEU代理人を選任するとなると非効率ですし、有事の対応にグループ内で差が生じても問題です。全体をまとめてIIJにお願いしているという形です。
一方、クッキーの利用については、グループ企業でもかなりまちまちな状況です。そのため、今回はJR西日本単体でIIJにクッキー同意管理バナーのサービス利用をお願いしました。JR西日本からすれば、EU代理人もクッキー規制も、同じIIJにまとめて依頼できたこともメリットだと考えています。

松村氏

最も感心したのは、スピード感をもって対応してもらえたことです。契約を締結した瞬間にプロジェクトチームを立ち上げてもらい、専属チームとしてスケジュールを引き、プロジェクトをリードしてもらいました。こちらは指示に従って必要な決断をしていくだけで済んだので、とてもスムーズにプロジェクトが進みました。

中田氏

EU代理人サービスは利用中で、クッキー同意管理バナーは2020年内と21年初頭に段階的にカットオーバーします。ここまでスピード感のある対応には満足しています。

松村氏

OneTrustは、世界中で使われているだけあって、システム化されていて非常に使い勝手がいいと思います。バナーの作成では、テンプレートに従っていけばユーザ側の意思決定は少しで済み簡単に作業が進みます。ユーザ側で悩むことがなく、うまく導いてもらっている印象が強いです。
ツールとしての使い勝手の良さだけでなく、IIJのプロジェクトチームのメンバーの専門性の高さにも驚いています。当初はグループ企業でできるかと思ったクッキー規制対応でしたが、実際にIIJに依頼してみてIIJの専門性、回答の速さ、的確さはすごいものがあると感じました。

中田氏

これは海外に対してビジネスを展開する上では必要なコストと捉えるしかありません。高い、安いということではなくて、会社としての信用を保つために十分な機能を持つサービスをきちんと導入する必要があると思います。IIJのサービスを利用して、必要なコストとして納得しているところです。

松村氏

実はJavaScriptとして納品してもらったバナーをJR西日本のWebサイトに埋め込むところで少し苦労しています。マニュアルはもらいましたが、やはり専門性が高い領域であり、システムとの兼ね合いでうまくクッキーが動作しない、表示が思うようにいかないということは起こっています。納品後の導入サポートまでIIJにお願いできればクリアできる苦労でしょう。しかし限られた予算の中ということで、導入サポートまでは利用せずIIJに質問しながら対応を進めています。

松村氏

現在は2ドメインでクッキー同意管理バナーを使っています。今後、新たなマーケティング施策などでWebサイトを立ち上げるときに追加でバナーを出すような場合には、拡充することがあるでしょう。グループ企業でクッキー情報を取りたいという話が出てきたときには、IIJと組んで対応しているということを知らせていきたいと思っています。

中田氏

今回のIIJとのご縁は、GDPRやクッキーの規制対応で始まりました。プライバシー保護への対応は、国内法だけでも分かりにくい世界だと感じています。更に海外で言語の違いも加えて対応するとなると、有事においてはパニックになってしまうと想定します。
そうしたときに、IIJならば高い専門性とグローバルネットワークを持つ知見により、大所高所から導いてもらえると考えています。有事の際には早く火消しができるようなサポートを今後ともお願いしたいと思っています。