エピソード3 - 消費者にとってのセキュリティとプライバシーの重要性、ローランド・クルティエとともに

文字起こし

イントロ

The Elusive Consumer Podcast へようこそ。今回は、Business Protection Group のプリンシパルである Roland Cloutier に Ellie Tehrani がお話を伺います。Roland Cloutier が TikTok と ByteDance の Global Chief Security Officer を務めた経験、消費者データ保護の重要性、アカウンタブルな AI の実践、そして現在 Business Protection Group で透明性とコンプライアンスを軸に企業の防御を支援している取り組みについて語ります。それでは The Elusive Consumer を始めましょう。

Ellie Tehrani:

こんにちは、Roland。The Elusive Consumer へようこそ。本日は来ていただけて本当にうれしいです。これから詳しく取り上げるこのテーマについて、私自身とてもわくわくしています。最初に、導入としてひと言いただけますか？

Roland Cloutier:

ここに来られてうれしいよ。あなたのポッドキャストが好きな理由の一つは、リスナーそれぞれに“何か”を届けてくれるところなんだ。セキュリティ、リスク、プライバシーは、特にテクノロジーを使う人々にとって、決してやさしい話題じゃない。だからこそ、僕にできる範囲で力になれればと思っている。

Ellie Tehrani:

ありがとうございます。私の仕事――マーケットリサーチでは、データがすべてです。どのように収集し、どう切り分けて分析し、そこからインサイトを得てクライアントに届けるか。ただし、クライアントや周囲と“あまり話さない”テーマがあります。それは、データが意図と誠実さをもって収集されているか、そしてどう守るか。今日は、あなたがこれまでのキャリアで消費者データを守るために何をしてきたのかを伺いたいのですが、その前に――セキュリティとデータプライバシーに情熱を持つようになった経緯から教えてください。

Roland Cloutier:

文字どおり“落ちるように”この世界へ入ったんだ。軍を離れて連邦法執行機関に進み、連邦の医療制度における不正犯罪を担当する部署に配属された。面白いことに、そこで扱っていたのは米国の納税者を狙う不正と、テクノロジーシステムに対する不正が中心だった。そこで、テクノロジーを学び直そうと学校に戻った。軍では地上部隊、政府では捜査官をやってきて、テクノロジーのことは何も知らなかったのに、扱う案件はすべてテクノロジーに接点があったからね。学校を出てこれを生涯の仕事にしようと決めたとき、“助けを必要としているまったく新しい世界”を見つけた。防御の姿勢で、悪用したい連中からデータを守り、複雑で厄介な問題を解く姿勢を持つ人材を求めている世界だ。それがキャリアの出発点で、やがて自分の会社を立ち上げ、他社で Chief Security Officer も務めるようになった。もう20年になるけれど、素晴らしい道のりだよ。

Ellie Tehrani:

あなたはセキュリティに関する著書もあり、受賞歴もあり、世界有数の大企業での経験もある。一方で“父親”として、セキュリティはどんな意味を持ちますか？

Roland Cloutier:

私は二人の娘がいる。今はもう大人だけれど、幼いころから手に Nintendo を持ってるような子たちでね。上の娘は今や起業家で素晴らしい女性だが、彼女が3歳のときにはもう自分でパソコンにログインして、ゲームやオンライン学習をしていた。27～28年前の話だよ。当時から、成長に伴ってスマホが出てきて、管理がどんどん難しくなるのを痛感した。僕は仕事としてやっていたからまだ対応できたけれど、日々仕事や子どもの送迎で手一杯の親たちが、危険な空間になり得るテクノロジーを学んで管理するのは本当に大変だと感じたんだ。

この話題でよく講演もしていた。「8歳の子どもをニューヨークの雑踏の角に置き去りにしますか？」と問いかける。監督も管理も教育もせず子どもをインターネットに放つのは、それと同じだと伝えるためにね。親は、子どもが幼いうちはあらゆることに責任がある。だから、実務家として社会へ還元するなら、この現実を教育し続けることが大切だと思っている。子どもたちから学んだのは、社会全体への責任と説明責任だよ。授かったスキルで人の役に立つ義務がある、とね。

Ellie Tehrani:

米国の状況もあり、サイバーセキュリティは今まさに“熱い”テーマです。私はスウェーデン法を学びましたが、当時はまだ新しく情報も少なかった。今は状況が変わったと思いますか？組織・消費者に向けた規制やガイドラインも増えていますか？

Roland Cloutier:

答えは「イエス」だ。過去2年で、世界各地の主権管轄で17件の新しいプライバシー法が成立している。多国籍企業なら、それぞれに適合しなければならない。しかも“プライバシー法”だけじゃない。サイバー法、消費者データ保護の個別法もある。つまり、法域ごとに大きく異なる要件と規制の集合体が存在していて、企業や政府機関は把握しなければならない。米国だけ見ても、FTC、FCC、州ごとの独自法などがあり、企業は消費者データの保護、プライバシー要件、さらに児童データの法規――これは一般のプライバシー法とはまったく別格だ――に説明責任を負う。非常に複雑な世界だよ。弁護士じゃなくてよかったと思うくらいにね。

Ellie Tehrani:

では、企業が自社と顧客を守るため――セキュリティの重要性を理解し、文化として根づかせるにはどうすべきでしょう？

Roland Cloutier:

まずは「説明責任と責任」の話をしよう。僕が実務家や企業をトレーニングするとき、最初に教える“基本”は「自分のビジネスを知れ」だ。保護の世界では何百年も語られる単純な真理がある――“見えないものは守れない”。守る対象が分からなければ守れない。どんなデータを集め、アプリは何をし、API は何をするのか。技術の細部に踏み込みすぎる必要はないが、バリューチェーン全体――設計・開発・マーケ・販売・サービス・マネタイズ――を見渡し、その下にどんなシステムがありデータがどう流れるのかを理解することだ。これができれば、9割の組織に一歩先んじられる。何を持ち、何を集め、何にアクセスでき、できないのかを把握して初めて、保護プログラムの話ができる。

そしてカルチャーへの埋め込みだが、これはトップダウンが効く。CEO がデータ保護の重要性を語り、ポリシーを整備・執行し、技術的コントロールへ投資する――言葉・教育・行動が一致すると、自然と全社に浸透する。

Ellie Tehrani:

今、特に優れている企業はありますか？

Roland Cloutier:

多くある。Google、Amazon、TikTok――3年在籍した経験から言えば、データ防御やアクセス保証で素晴らしい取り組みをしている。例として Google。昨年は、ブラウザで何が起きているかを消費者が把握し、アプリがデータを使うかどうかを止められる仕組みを提供した。TikTok では、保護者が子どもの閲覧範囲や収集データを管理できる。Amazon も然り。こうした責任ある企業は、次世代のプライバシー標準を公開し、他社が自社製品へ実装するのを後押ししている。金融など消費者直結の領域でも、責任を持つ企業は世界中に多いよ。

Ellie Tehrani:

若年層が使うプラットフォーム――TikTok のような領域に話を戻すと、どこまで管理するかの線引きは難題です。安全で楽しい環境を両立するため、どんなバランスが必要でしょう？

Roland Cloutier:

この業界全般に言えることだが、まずはアプリケーション防御の基本、データ保護を担保するメカニズム。次に高度なコントロールで、個人がプライバシー・セキュリティ設定を選べるようにする。そして三つめは、トラスト＆セーフティの継続的な強化。プラットフォーム上のコンテンツ、コミュニティガイドラインやポリシーを理解し、自動化も駆使して適切に執行する。この三つを高いレベルで統合すれば、選択の自由、預かったデータの保護、そして有害なコンテンツの排除が両立でき、業界全体が前進する。

Ellie Tehrani:

AI、IoT、ブロックチェーンなど新技術の登場でも同じですか？企業は新しいリスクにどう備えるべきでしょう。

Roland Cloutier:

まず学ぶこと。AI を自社や従業員がどう使う（使わない）のかを理解しないと始まらない。AI 企業でなくても社員は使うかもしれない。次に、使う予定があるなら「アカウンタブル AI」の実践を検討する。EU、英国、米国は適正利用の文書を出している。何に使い、どう守り、バイアス検証・テスト・保証をどう行うか。品質とセキュリティの両面で、組織を教育する。テクノロジーは強力な推進力だが、責任ある利用のためのガードレールが必要だ。

Ellie Tehrani:

セキュリティ教育は“楽しくない”と思われがちです。どうすればより惹きつけられるでしょう？

Roland Cloutier:

僕は PowerPoint が大嫌いだ（笑）。大人数に一斉配信して既読チェック、というやり方は必要な場面もあるが、より良い手はゲーミフィケーションだ。選択式のゲームで、遊んでいるうちに学べるようにする。ワークフォースの年齢層も見るべきだ。ハンドヘルドで見たいのか、ゲームがいいのか、ポッドキャストや動画がいいのか。文化に合わせて設計すること。対外的にも、責任ある企業は一般向けに学習コンテンツを提供すべきだ。さらに、同じ内容の“叩き込み”は効率が悪い。職種ごとに出題や学習を最適化し、できる人はテストで免除するなど、オンデマンドで関連性を高めるのがいい。

Ellie Tehrani:

エンドユーザー側――消費者が自分のデータ価値を理解し、より良い対価を得るには？保護のあり方も含め、今後をどう見ますか。

Roland Cloutier:

まず消費者が自分でコントロールできる範囲の選択をすること。使うアプリのデータ利用の説明を数分でいいから確認する。分からなければ使わない、でいい。次に、プライバシー設定を自分で管理する。Facebook の設定は良くできていて、公開範囲や収集可否を選べるし、チュートリアルもある。政策面は投票による委任の領域だ。透明性――選択の透明性、統制の透明性、利用目的の透明性――が法に組み込まれるほど、企業の実装は楽になり、消費者の選択もしやすくなる。僕は、調べている分野に関連情報が出てくるのは好きだけど、家族の雑談メールまで解析してレシピを出すのはごめんだ。要は“選べること”。それが関係性を健全にする。

Ellie Tehrani:

“良いデータ利用”の側面は語られにくいですね。大手テックの貢献でテクノロジーが大衆化し、私たち調査業界にも大きなデータがもたらされた点を強調したいです。

Roland Cloutier:

COVID を見ればいい。10年前ならワクチン開発にどれだけ時間がかかったか。今はデータで電光石火だ。農業でも、ドローン映像や土壌・家畜のリモート監視データを統合し、食の生態系の健全性を読み解き、干ばつと豊作を予測して世界で融通する――15～20年前にはなかったことが起きている。もちろん極めてセンシティブなデータは厳正な管理が必要だが、適切に守られたデータ活用で、人々はより良く健康に生きられる。

Ellie Tehrani:

一方で、規制強化がイノベーションを阻む懸念もあります。バランスは取れるでしょうか？

Roland Cloutier:

僕は“楽観的現実主義者”だ。世界は過剰反応しては戻り、また過剰反応して戻る。厳しい措置は来るだろうが、公共と民間が共通目標――社会の進歩と市民・消費者の保護――で教育し合えば、適用・検証・見直しのサイクルで前に進める。金融セクターでもそうして情報資産とインフラを守る体制を築いてきた。

Ellie Tehrani:

Business Protection Group での現在の役割を教えてください。

Roland Cloutier:

30年ぶりに“日々のオペレーション”から一歩引き、他の CISO や企業のプログラム構築を支援している。同時にリサーチも。ここ3年はデータ防御とアクセス保証に注力し、透明性と保護を両立しつつ規制適合を実現する実装方法を探求してきた。エンタープライズからクラウド、API、マイクロサービス／サービスメッシュへと進化するたびに、コントロールの在りかも変わる。業界全体がその変化を理解し、防御の資金や技術が適切に向かうように働きかけている。教育や講義も多いよ。これまでの20～30年の経験を、次世代に渡す段階に入ったという感覚だ。

Ellie Tehrani:

空軍出身で、退役軍人でもあります。その経験はキャリアにどう影響しましたか？

Roland Cloutier:

僕の基盤そのものだ。父にならって空軍のセキュリティポリスを志し、軍は“共同の使命”を教えてくれた。規律、チームワーク、リーダーシップに加え、“命を守る”ための正しいやり方を、平時も有事も膨大な訓練で叩き込まれる。国防総省や連邦法執行での経験も含め、学び続ける姿勢と実行のライフサイクルが身についた。今は法執行権限こそないが、企業や社会を守るという点で同じ使命に向き合っている。

Ellie Tehrani:

“共同の使命”という観点で、今の大企業にそれは根づいていると思いますか？

Roland Cloutier:

中にいない組織について断言はしないが、多くのリーダーと話すと、時に僕ら自身もその使命を“忘れかける”ことがある。セキュリティ・リスク・プライバシーの仕事は過酷で、状況も常に変わる。だからこそ、人は「なぜそれをするのか」を知りたい。ADP にいた頃は「街の6人に1人の給料がこのシステムで支払われ、世界の10枚に1枚の給与明細が我々のインフラで処理される」と話していた。TikTok では「Protecting the world one TikTok at a time」という合言葉で、データの聖域性やクリーンなプラットフォームを守る使命を徹底した。優れたリーダーは、使命を毎日の目的にする。

Ellie Tehrani:

使命を前面に出す企業は、消費者にも伝わり、成功につながると思いますか？

Roland Cloutier:

そう思う。人々は“言行一致”を見る。たとえば State Farm。災害時に誰よりも早く現地に入り顧客を支える姿勢を、僕は現場で何度も見てきた。そういう企業に人は共感し、ブランドに寄り添う。

Ellie Tehrani:

ADP、TikTok、そして今――消費者と“本当に”つながるため、どんな取り組みが効果的でしたか？

Roland Cloutier:

ツールやトレーニングを提供して“生活をよくする”実感を届けること。地域社会で継続的に活動すること。競合と連携して人身売買と戦うような共同体制もそうだ。一貫性が鍵だね。

Ellie Tehrani:

セキュリティで難しい意思決定の例と、その決め方を教えてください。

Roland Cloutier:

日々の優先順位づけが最難関だ。限られた予算で、顧客・会社・株主を最も守る投資は何か。どれを“線の下”に置くか。毎年の計画で最も重い決断だよ。

Ellie Tehrani:

もし予算が限られているなら、絶対に外せない投資は？

Roland Cloutier:

三つ挙げよう。①最低限の防御（いわゆるアンチマルウェアの現代版＝EDR 等）。②モニタリング（見ていなければ守れないし、対応も遅れる）。③アイデンティティ管理（アクセス・データ移動・保護の基盤）。この三つは規模を問わず必須だ。

Ellie Tehrani:

スタートアップにも当てはまりますか？

Roland Cloutier:

もちろん。小規模事業でも、回線事業者が提供する保護機能を使い、パスワードを徹底し、年に数回の外部点検を入れる。入社時にポリシーを説明して署名させ、運用で徹底する。多くは無料でできる。できない言い訳は成り立たない。

Ellie Tehrani:

セキュリティプログラムで、あなたならではの創造的な工夫は？

Roland Cloutier:

“コンバージド・セキュリティ”だ。サイバー、物理、リスク、プライバシーをサイロ化せず、上位で統合運用する。共通のリスク機能、監視・対応機能を共有サービス化し、効果・協働・コスト効率を高める。軍の統合任務部隊のように、共通の“脅威面”を見ながら一体で指揮する発想だ。

Ellie Tehrani:

保護者や介護者など“守る側”に向けた、今日・明日できるトップティップは？

Roland Cloutier:

まず家族に“選択肢”を理解させ、設定を一緒に整える。高齢の家族や近所の方にも手を差し伸べよう。子どもには年齢・成熟度に応じたルールと合意、親による関与、そして各社のファミリー機能の活用。数時間の学習が、将来の大問題を防ぐ。

Ellie Tehrani:

企業に向けた、今日からの要諦は？

Roland Cloutier:

プライバシーは専門家の助けを得て責任を理解すること。セキュリティは規模に応じた“基本”を毎年測り直し、外部評価も入れて継続的に改善することだ。

Ellie Tehrani:

最後に、リスナーへのメッセージをお願いします。

Roland Cloutier:

この領域は“責任”が伴う。でも不可能ではない。努力次第で、公共と消費者の信頼を高め、より良い情報とテクノロジーで世界を前に進められる。

Ellie Tehrani:

Roland、今日は本当にありがとうございました。