オルタナティブデータ時代におけるコンプライアンス

自社の紹介記事である 'If You Think Data is the Wild West, You're Doing it Wrong'では、データ戦略の成功でコンプライアンスプログラムが果たす重要性を強調しました。特にその影響が顕著に見られるのは、投資機会に対するタイムリーかつ適切なインサイトを提供するためにオルタナティブデータセットの利用を拡大させた銀行や投資会社です。オルタナティブデータの需要が増えるに従い、ここ十年間で「オルタナティブデータ業界」という新しい概念が誕生しました。これは従来の伝統的ではないデータソースを利用して先に言及したインサイトを生成し、金融会社のより良い投資決定のために活用されました。一般化したオルタナティブデータ戦略としては、衛星写真を活用した店舗駐車場の空き状況確認、自動車生産会社の生産および販売台数の追跡、そしてトランザクションデータを活用した消費者向けサービスのパフォーマンスを予測することが挙げられます。

投資のような重大決定を行うために四半期報告書やその他の公式声明にのみ依存することはもはや時代遅れであり、現在は従来のデータソースと無数のオルタナティブデータソースを組み合わせて活用する複雑なデータモデルが主流になっています。

ただし、こうしたオルタナティブデータソースは厳重なセキュリティで管理され個人情報保護法に準拠している必要があり、非公開の重要データ（またはMNPI）を使用することは厳重に禁じられています。これはMNPIを使用して公共企業の株式や類似証券を取引する行為が証券法で禁止されているため、このような違法行為は民事および刑事上で厳しく処罰されます。ゆえにオルタナティブデータを提供するプロバイダーの利用にあたってSECは、具体的な法律を有しています。これは金融会社が連邦のセキュリティ法を遵守しているか各プロバイダーのコンプライアンスプログラムを検討することを求めており、企業の各ポリシーとそれを遵守しているのかも確認しています。

Sensor Towerではこのような金融会社へオルタナティブデータを提供することの難しさを熟知しており、このためのデータソースおよびデータ法律論に関する重要事項をまとめました。下記は、モバイルアプリの範囲で金融会社が関連業務を遂行するにあたり関連プロバイダーに確認する必要のある事項です。

データソース

モバイルデータベンダーは、主にファーストパーティのデータソースとサードパーティのデータソースからデータを受け取ります。ファーストパーティデータソースはベンダーそのものが直接収集した情報を指し、サードパーティデータソースは提供者が第三者より入手した情報を意味します。またファーストおよびサードパーティーデータソースの点検方法は、それぞれ異なる場合があります。  

データを直接収集するファーストパーティのデータソースであるベンダーのコンプライアンスプログラムは、次の検証事項が必要です：

1. どのようなデータが収集されてるのかをはじめ、そのデータに個人や財務情報、また機密や健康関連の情報が含まれているのか確認が必要です。

2. 収集されたデータが、関連の個人情報保護法に規定されている個人識別情報を含んでいるかを確認する必要があります。もし含まれている場合は、その情報がユーザーの同意および個人情報保護法に抵触していないかを確認する必要があります。また個人識別情報は、いかなる部分もデータベンダーのサービスに含まれてはいけません。

3. 収集されたデータに潜在的なMNPIのような機密情報が含まれていないか、含まれている場合はその機密情報の収集の性質と目的を、具体的にはベンダーを通じて機密情報が提供されていないかどうかを把握する必要があります。

4. 収集されたデータに異なるタイプの機密情報が含まれているか、含まれている場合はデータベンダーがその情報に関連する全ての法律を遵守しているか、これらも検討する必要があります。

さらにファーストパーティデータの収集方法も評価しなければいけません。例えばベンダーが他のサイトで情報をスクレイピングする場合、主にWebやデータベースなどからデータを探し抽出する手法であり、違法とされるものもある、コンプライアンスプログラム企業はそのベンダーのスクレイピング行為が関連法律に抵触していないか注意する必要があります。一方、ベンダーが独自のアプリベースのユーザーパネルを所有していれば、ユーザーパネルを構成しているアプリをはじめ、ベンダーのデータ保護の慣行を点検する必要があります。 

先に述べたパネルを構成しているアプリを評価することは非常に重要です。これはGoogle PlayやApp Storeのような主要アプリによって提供されている可能性があるためです。これらアプリの機能性とそのアプリを通して収集されたデータが、開発者ガイドラインおよびそれらのストア条項に準拠しているのかという確認も必須です。  

収集される個人データがそのアプリの機能性と関連しているのかの確認も重要です。これは個人データが収集されるベースがGDPR第５条のような個人情報保護法内のデータ最小化に関連する条項に準拠しているのかを確認し、その情報が関連手続きにのみ限定的に使用されているのか検討する必要があるためです。これと似た文脈で、データベンダーの非識別化技術を使用することも非常に重要です。これはユーザーの追跡を困難にすることでユーザーを保護し、個人データの保有リスクを減少させてデータベンダーを保護します。さらにGDPR第６条(4)(e)に明示されているように、データベンダーによる柔軟なデータの活用を許容することにもなります。

Sensor Towerは全てのモバイル分析企業のために基準を高く設定し、事業運営に必須な情報を提供していくプロセスで自社のパネルユーザーの個人データ保護に専念しています。次にSensor Tower独自のユーザーパネルと、独自パネルについてより詳しく説明いたします。

データ方法論

コンプライアンスプログラムはプロバイダーが使用するデータソースをベースに、モバイルアプリの側面からデータの使用方法を評価する必要があります。データソースの信頼性を保証してそのデータソースからインサイトを提供するためのデータ準備、使用中のデータモデルの特性、そしてデータベンダーが実施したコントロールが含まれます。

主な内容は次の通りです：

• 第三者のPIIを含まないようなPIIの匿名集計方式は、データベンダーのインサイトにて言及しました。

• データサイエンスモデルが使用されているか、どのように機能するのか、統計的であるか、集計属性であるか。

• ベンダーに提供されたデータのうちデータモデルによって生成されたインサイトを構成するものは何か、またデータソースからミラーリングされたデータは何か。

• ベンダーのインサイトまたはその他の情報形式を含め、いかなる方法でも第三者の機密情報またはMNPIも提供してはいけません。

• ベンダーは二つのデータアクセスを厳重にコントロールしモニタリングを行い、どちらも変調しないことによって第三者の機密情報、MNPI、PII、そしてその他の関連情報を提供できないよう保証します。

先に言及したベンダーが提供する情報だけではなく、ビジネスの継続性および災害復旧を含むベンダーのデータ慣行やセキュリティ対策といった重要な質問が複数ありました。このような情報を活用しデータベンダーの信用度を確かめることができます。この点は特に旧App Annie (現在はData.ai)の世界で大きく注目されていますが、過去にdata.aiのデータ慣行と機密情報の使用を故意に偽って顧客を誘導したケースをSECが明らかにしています。  

Sensor Towerはオルタナティブデータスペースを含め全ての分野においてセキュリティ認識製品を提供できるように努力しています。これらに関するご質問は、sales@sensortower.com までお送りください。いつでもご回答いたします。 

Sensor Towerのようにオルタナティブデータスペースにおける多くのデータベンダーは、自社の製品が金融会社を含む様々な顧客に安全に信頼されるように長い間コンプライアンスに注力してきました。規制強化が行われるたびに、オルタナティブデータスペースへのデータ提供を通して幅広い顧客層に対し、モバイルアプリデータベンダーとしてパートナーの役割を果たしてきたのです。金融会社の顧客は会社の慣行と品質および有用性を考慮した最高レベルの精密データを提供しています。このようにSensor Towerは、ユーザーとパートナーの皆様からのご支援により日々良い方向へ進化しております。皆様には心より感謝いたします。

オルタナティブデータスペースを通して数々の素晴らしいプロバイダーと協業することができました。デジタルインサイト企業から幅広い業種に至るまで、この市場のデータミックスに参加しながら良質のサービスを提供している企業と交流をさせていただき、日々事業への使命を強く感じています。データベンダーのうちの一部が重大なエラーで話題に上がることもありましたが、Sensor Towerは今までに培われたノウハウにより、またこの分野での大半は真摯なプロバイダーとバイヤーで構成されるように注力しています。彼らは全てのポリシーを遵守しており、健全な法制度内での作業優越性を追求しています。