プライバシーに配慮したリスクマネジメントの方法の一つである、PIA(プライバシー影響評価:Privacy Impact Assesment)。
前回の入門編では、PIAに取り組む意義や注意ポイントを紹介した。
実践編となる今回は、LINEなどの事業会社にてPIAの実務経験を持つ法律事務所LEACTの世古修平氏に、具体的なPIAの進め方や考え方をアドバイスしてもらった。
プロフィール
世古修平弁護士
法律事務所LEACT 弁護士。
総合系のコンサルティングファーム(セキュリティコンサルタント職)を経て現職。法律事務所LEACTでは、セキュリティ・プライバシー領域の案件を中心に活動中。LINE株式会社 プライバシーカウンセル。
https://www.seko-law.info/
推進パターンは2通り
ーーPIAの導入方法についてお聞きします。PIAを担う部門は、一体、どこが最適なのでしょうか。
世古氏:これは立上げ期にどこが旗振り役をするのかという意味でも、拡大期にどうやってPIAのリソースを確保するのかという意味でも難しい問題ですよね。
とくに「どの部署がやるべき」という決まりがあるわけではありません。組織設計でもよく言われる話ですが、①各事業部門がリードする場合(分散型)と②中央の専門組織がリードし、事業部門や管理部門などのステークホルダーを巻き込む場合(中央集権型)の2通りかなと思います。
①の場合は、事業部門がリードしながら、法務部門やセキュリティ部門、リスク部門などの管理部門と適宜議論をしながら検討が進むことになると思います。事業部門がリードできるので機動力が高いですが、論点が複数部門を跨いで検討されるため仕事を誰がやるのか曖昧だったり、責任の所在が不明確になりがちなところがデメリットだと思います。
一方②の場合は、そもそもプライバシー専門人材の確保が難しいという点が大きなボトルネックになります。リソースが不足していると、中央の専門組織が事業部門の要求やスピードに追いつかなくなる点もデメリットです。
①と②、どちらのパターンの方がいいのかという話になるのかなと思いますが、私は社内組織やプロダクトの状況に応じて2パターンをミックスさせたり、使い分けたりすることをお勧めします。
ーー人材の確保が進んでいないと、②のパターンを採用することは難しそうですね。
世古氏:そうですね。前回CPO、 DPOの議論がありましたが、トップがいるだけではダメで、その下に業務を回せるだけの組織を構成できていないと②のパターンを採用することは難しいと思います。
なお、①のパターン②のパターン問わず、取り組みを始めるタイミングとしては、やはり個人データの漏えいや炎上を経験したタイミングなど、痛い目を見た直後がおすすめです。
PIAの実施に求められる3つの人材
ーーどのようなバックグラウンドの人材にお願いするのが望ましいでしょうか。
世古氏:前回もお話しましたが、プライバシーの問題を扱うには「事業」「技術」「法務」の3つの知識がバランスよく求められます。
とはいえ、すべてを備えている人材を見つけ出すのは難しいでしょう。そのため、部分的に要求を満たす人材を社内で育てていくか、「事業」「技術」「法務」のそれぞれ専門人材を集めたチームを作るかの2択になりますね。
ーー事業部門や技術部門には、どのようなスキルセット、マインドセットを持っている人材が求められるのでしょうか。
世古氏:まず事業部門には「どこまでリスクを取るか」の最終的な判断ができる、バランス感覚をもった人材が求められると思います。
「専門的なことはわからない」と技術的、法務的な要求事項への理解を諦めてしまったり、あるいは逆に「私たちが食わせてやってるんだぞ」とマウントをとってコミュニケーションを投げてしまったり。ここまで極端なことは少数だと思いますが、やはりバランス感覚が求められると思います。
次に技術部門は、法律の要求事項に対して、事業部門の意向も踏まえた上で、実現可能なリスク低減策を提案・実装することが求められます。
事業部門の意向や法律要件は、技術に比べるとどうしても多義的・抽象的です。エンジニアの方は「要件を明確にしてくれ」とイライラすることも少なくないのではないかと想像します。
しかしながら、データ周りの法律というのはまさに発展途上であり、法律側も技術の発展を追いかけながら、どこまで規制するかを社会の反応を見ながら探っているような部分があるじゃないですか。そのため技術部門は、抽象的な事業部門の意向や法律要件を踏まえた上で、「自社としてどこまでやるか」について議論・相談できるアドバイザーとしての役割を果たしてくれると非常に心強いなと感じます。
ーー世古先生の場合、法務部門の担当者として事業、技術を巻き込んだPIAを実行されてきたかと思います。その中で、法務部門の担当者が意識するべきことはありますか。
世古氏:究極的には、「事業部門・技術部門と関係性を構築することだ」と表現することができると思います。では、関係性を構築する上で重要なことは何かという話に分解してみると、法務担当者も事業や技術に関する知識を学ぶことなのではないでしょうか。以上を踏まえると私は、事業部門・技術部門とコミュニケーションが成り立つくらいの知識量は取得しておくと良いと考えています。
一般的に人は自分のことを分かってくれる相手には積極的に話をしますが、自分のことをあまり分かってくれない相手には、遠慮をして本音を言いません。同じような話で、仕事において通訳を挟むより、多少下手でも英語で話した方が上手くコミュニケーションが取れる経験をしたことがある人も多いのではないでしょうか。
つまり、相手にリスクや懸念点を正直に話してもらえるような深い信頼関係を築くには、一定程度は相手の領域にまで踏み込んだ知識が必要になってくるということです。具体的には、相手の会話を途中で止めないくらいのボキャブラリーや理解力があると良いでしょう。相手がさらっと言ったことも受け止められ、「それってこういう理解で良いですか?」「そうだとすると、この点も問題になりませんか」といった形で、議論を深められると理想的ですよね。事業に関しては個別性が強いので一般的なことは言いにくいですが、技術に関しては「ITパスポート」や「基本情報技術者」「応用情報技術者」などITやセキュリティなど資格試験もたくさんあるので、非専門家としてはそれらを活用してみるのも、とっかかりとしては非常に良いと思います。
自分本位にならないよう注意
ーーとはいえ、3つの部門がぶつかりあうと意見の調整が難しそうです。そのような状況において、どのようなことを優先し、どのような姿勢でPIAに臨むのが適切でしょうか。
世古氏:姿勢という意味では、「事業部門がPIAの有効性を実感できること」という点に尽きると考えています。
PIAに取り組むそもそもの目的は、「プライバシーを保護した上で事業を前進させるため」であって、「プライバシーを保護するために事業を止めるため」ではないと考えています。結果的には両者は近似する場合もあると考えていますが、スタンスとしては全く異なるものです。
もう少し深掘りしてみましょうか。
PIAを実施していると、どうしても事業の軌道修正を迫られる場面が来ます。その時「法務から言われたから」ではなく、事業側が「当初の企画を修正する価値があるから」と感じてもらえるかどうかがPIAが健全に機能しているかの指標になると感じます。
当初の事業を修正しないという判断をするのだとしても、「あえてリスクを取るのだ」と事業側が認識し、それに法務や技術が賛同できることが大切ですね。
ーー最終的には事業部門の判断に委ねるべきということでしょうか。
世古氏:「委ねる」という表現が適切かどうかは難しいですが、「妥当不当」なら事業部門が、「適法違法」なら法務部門がリスクオーナーになることは前提で、その上でグレーな部分における判断が迫られた場合、最終的には事業部門の判断にならざるを得ないでしょう。
事業部門がしっかり検討できるところまで「情報を出し切る」ということが、PIAを行う組織が果たすべき役割だと考えています。
スモールステップから始めよう
ーーPIAの最初のステップとして、お勧めの始め方はありますか。
世古氏:まずは小規模に、パイロットケースとしてやってみることですね。個人情報保護委員会の「PIAの取組の促進について(PIAレポート)」の通りにやってみて、合わないところや、抜け落ちている部分があれば自社でアレンジしてみてみるのが良いと思います。
パイロットケースの対象事業の選定においては、事業・技術・法務間の相互理解度が高く、コミュニケーションが取りやすい事業を選ぶことをお勧めします。
PIAの最終ゴールは「事業部門側にPIAのメリットを感じてもらえるかどうか」だと考えています。実際にPIAを行う上では、自部門(私の場合は法務)の自己満足に陥らないように気をつけています。
ーー自己満足に陥らないための、具体的なアドバイスはありますか。
世古氏:そうですね。「情報の受け取り方」と「情報の出し方」という大きく2つの観点から説明させてください。
まずは情報の受け取り方です。私はファーストリアクションを可能な限り素早くすることを意識しています。また、可能であれば「(修正する可能性はあるけれど)このように検討しようと考えています」といった青写真というか検討プロセスも、ファーストリアクションの際に共有しています。
事業部門は、相手が社内の人だったとしてもかなりシビアに「(事業を進める上での)中の人」と「外の人」を区別しているように感じます。ここで「中の人」と認識してもらえると、柔い段階でのリスクも拾い上げることができます。
読者の方の中には、事業部門から「ちょっと法律は関係ないかもしれないのですが」といったニュアンスで相談を受けたら、まさに法律ど真ん中の問題になりうる話で肝を冷やしたという経験がある方もおられるのではないでしょうか?
やはり法律の専門家でない事業部門や技術部門が、法律の問題か否かを初期の段階で判断しきるのは難しいのだと思います。ではどう解決するかというと、もうこの柔い段階でも相談しようと思ってもらう。もう少し踏み込むと、柔い段階でも相談することが事業部門にとってメリットであると考えてもらう以外ないと思っています。
とはいえ全ての問題を拾い続けていると法務部門はパンクしてしまいますよね。この解決方法は後述します。
ーーなるほど、では2つ目の「情報の出し方」についてはいかがでしょうか。
情報の出し方としては、先ほどの話と重なるのですが、押し付けがましくならないようには注意しつつ、自分の指摘がなぜ事業部門にとってメリットになるのかを極力理解してもらえるように心を砕いています。
やはり自分も相手も人間ですから、自分の考えを否定されると多少は嫌な気持ちになるはずです。そこを少しでも受け入れやすくしてもらうために、相談を受けた段階の案で行った場合に生じうるリスクや取りうる代替案、類似の炎上例なんかも可能な範囲で紹介するようにしています。
このようなコミュニケーションを積み重ねていくと、事業部門や技術部門の法的なリテラシーも高まってきて、こちらがどのような点を気にしているかや、どのようなな情報を欲しているか、NGと言われそうな場合に添えておくと良いリスク軽減策なんかを学んでくれます。
我々法務部門だけでなく、事業部門や技術部門もお互いの領域のことを理解し受け入れるようになってくると、コミュニケーションコストが劇的に下がっていきます。こうなれば、細かいリスクを拾いに行ってもパンクすることを回避できます。
もしかすると、この状態はプライバシーバイデザインの文化が社内に浸透した状態と表現できるのかもしれないですね。
PIAはこれからのマスト条件
ーー今までのお話を聞いていると、PIAを通じてプライバシー・バイ・デザインを実現するには、つくづくコミュニケーションが大事だということ分かります。
世古氏:同感です。セキュリティにおけるWeakest Link(攻撃者はセキュリティ対策の一番弱い所をついてくることの例え)についての議論でも、結局は人的なセキュリティが一番弱いよね、ということが取り上げられたりします。
プライバシーついても同じことが言えるのかもしれないですね。扱うものがデータだとしても、それを取り扱っているのは人間ですし。
ーー最後に、世界的に個人情報保護の規制が強化される中、PIA担当者へ一言お願いします。
世古氏:数年前から、国際的にプライバシー・データプロテクションに関する法制度の整備が進んでいます。私は色々な所で喧伝されるほど、日本の企業や日本の法制度が遅れているとは思いませんが、それでも欧米を中心とした先進的な法制度から学ぶべき点は多いと考えています。長期的に見れば、日本でも欧米の法制度で課されているような義務が課される可能性もあるでしょう。
現行の日本法における法的義務の有無に関わらず、ある種のベストプラクティスとして、そういった先進的な法制度を学んでみることは非常に有意義だと考えています。
前半で述べたとおり炎上は期待値のズレから生じると私は考えているのですが、ユーザーにとっては理解可能な言語で提供されていれば、日本のサービスも欧米のサービスも違いはないわけです。
インターネットにおいては国境がない以上、欧米の企業で当然に提供される水準のプライバシー・データプロテクションをユーザーが日本企業に期待しても不思議はありません。
他人から言われてやるよりも、主体的にやる方が楽しいことは(私も含めて)皆さん子供の頃から実体験としてご存知だと思います。まだ先行して取り組んでいる企業が少ないからこそ、失敗も成功も含めて経験を積んでおくことが、きっとこの先の会社の成長に役立つことでしょう。
(終)