プライバシー対応の重要性
よしむら
データマネジメント・ラジオ、泉です。 吉村です。
今日は早速、ご質問を読んでいきたいと思います。
いずみ
ラジオネーム、カジカジさんです。 私は、コンプライアンス部門にいます。
よしむらさんが書かれた、「データマネージャーになろう」を読みました。
その中で、データマネジメント組織の目的として、4つが紹介されていました。
データガバナンスのため、プライバシー対応のため、データ管理のため、データを用いたビジネス変革のため、
こちらの4つ、とてもすっきりしました。
この中で、プライバシー対応については、どのように情報をアップデートしていったら良いのか、迷っています。
普段、よしむらさんがどのように情報収集しているのか、教えていただけると嬉しいです。
ありがとうございます。
この方は、プライバシー対応について興味があるということですが、
プライバシー対応というのは、法整備や法改正の情報をキャッチアップしていくことになるのですかね?
よしむら
一般的にプライバシー対応というのは、法整備が注目されがちですが、
おそらく、そこだけでは不十分で、その下にベースとなるプライバシーというのがあって、
そこを守る、その2つが重要だと思います。
いずみ
ベースとなるプライバシー。
よしむら
例えば、法令を遵守していたら全て良いのかというと、
変な使い方をすると、例えば目的に書いてあるけど、目的通り使ったら炎上してしまう。
なぜならば、プライバシー的に良くないことをやってしまったからである、
というのがあるじゃないですか。
いずみ
法的には問題ないけど、使い方として間違ってるみたいな、解釈の仕方が間違ったみたいな感じですかね。
よしむら
結構これ、DMBOK的に言うと、2章のデータ取扱い倫理の章にプライバシーって書かれていて、
結構これ好きなんですけど、そこには3つあるんですね。
本質的な概念で定められているのが、人格の尊重と善行と正義なんですね。
で、せっかくなんで一個一個説明していきたいんですけど、興味あります?
いずみ
人格の尊重と善行。善行っていうのは、よい行いっていう。
よしむら
そうですね。よい行い。
いずみ
あともう一つが?
よしむら
正義ですね。
いずみ
正義。なるほど。
よしむら
人格の尊重は、人々を個人として扱い尊厳と自立性を尊重することである。
つまり、データを提供する側、我々一般消費者が、全然プラットフォーマーに想定されないことを使われる。
そういうコントロールできるべきじゃないですか。やっぱり利用者って。
全然知りたくもない情報をずっとアクセスされ続けて拒否もできないとか。
思想に悪影響を及ぼすようなことをプラットフォーマーが意図的にやるって良くないじゃないですか。
そういう人格の尊重できてない行為は良くない。
データ倫理の概念
よしむら
善行ですね。害を与えちゃダメ。
データを使って、データを出している消費者に向けてプラットフォーマーは害を与えちゃいけないよっていう。
だからお金とかですね。無駄にお金を使わせるとかをやっちゃいけないよとか。
もう一個が正義ですね。これは人々に対する生活公平な取り扱いで、
例えばよく話題に出るのがアメリカとかで黒人差別があるじゃないですか。
あえてそういう人種で差別するようなことをやっちゃいけないよっていうのが正義ですね。
それってさっきの最後の例で黒人を差別しちゃいけないってもしかしたら法整備されてるかもしれないんですけれども、
その3つってすごい抽象的な概念ですね。
だからすべて法整備されてるところに収束されるかっていうとそうではない。
それがさっきのベースとしてある考え方ですね。
いずみ
なるほど。モラルに訴えかけるような話なような気がしますね。
よしむら
プライバシー対応なんでね。ベースとなる話が。
その中でよっこどやばいやつは多分プライオリティを各国が決めて法整備しないと本当にやばいものはどんどん上から順に法整備されていっているんですけど、
本当にいろんなケースいろんなパターン、この技術が進歩するたびに生まれてくるじゃないですか。
全部法にのっとってさえいればいいって考え方だとこのプライバシー対応ってできない。
だからさっきの3つですね。人格の尊重、善行、正義を守ってるかって自分のモラルに訴えかけて使うことをやらないと、
法には守ってるけど炎上しちゃうっていうことがある。そこら辺のバランス感覚がすごい重要だな。
いずみ
なるほどなるほど。なので、各国の情報とか動向とかも集めつつも結局返ってくるのは自分の心の中のこのボーダーラインを、これは超えていないかっていうところですかね。
よしむら
そうですそうです。それがめちゃめちゃ重要で、たぶん自分のボーダーさえうまく作れれば法律は後からついてくると思うんですね。
いずみ
自分の中のそのボーダーラインを作るときに、よしむらさんがよりきどころにしているのは、DMBOKの聖典の文字っていうのはあるんですけど、
もうちょっとそれを具体化するときにどういったものを参考にしながら、自分のポリシーというかボーダーみたいに作っていかれました?
よしむら
めちゃめちゃ難しいですねそれは。やっぱ結構その人のボーダーって違うんじゃないですかね。
いずみ
そうそうそこなんですよね。だからちょっと思うのがそのチーム内でも違う可能性はあるし、
会社とか組織のことを考えたらもうそこに何百という人がいるわけだから、そこで何か同じボーダーを持つみたいなのはなかなかちょっと難易度が高いところなのかなと思ったりもして、
よしむらさんだったらどういうふうに形作っていったのかなっていうのを聞いてみちゃったって感じです。
よしむら
難しいですね。たぶんそのボーダーは違うんでしょうね。違うからこそ法令を最低限として追うって話になるんですけど、難しいですね。
それをどう共通認識を持っていくか。あんまり共通認識を持ってうまくいくというよりは、強い一人のコンプライアンスみたいな人がいるのが多い気がしますね。
いずみ
なるほどなるほど。それぞれの組織もしくはチームみたいなもので何かそのくさびになってくれるような人みたいな。
よしむら
そうですね。DPOとか言われる人たちがたぶんその役割になって、CDOって呼ばれる人は一方で攻めの話。そうは言ってもビジネス活用が必要でしょうっていう人がいて、そこがうまいことバランスを保てると、
攻めと守りのバランスが保った組織になっているというのは見たことはありません。
いずみ
なるほど。結局のところやっぱり共通、聖典の中に書かれているそのポリシーというか守らなきゃいけない。まさに聖典っていう感じの聖典に乗ってる言葉みたいな、先ほどおっしゃっていただいたこの3つを掲げつつ、
それぞれどれぐらいの温度感とかどれぐらいの塩梅で進めていくかっていうのは、チームなり組織なりのみんなで話し合っていく。結局だからコミュニケーションはやっぱり欠かせないよね、みたいな感じのような気がしました。
法令と情報収集
よしむら
あとせっかくなんでごめんなさい。さっきのベースのところばっかり話してしまったんですけれども、法令のところでどうやって情報を集めているのかっていうのが質問だと思うんで、そこの回答だけさせていただきますと、
日本だと個人情報保護委員会が結構活発に情報発信をしてくれていて、日本の個人情報保護法って3年に1回改正されるって決まりがあるんですけれども、その3年に1回の真ん中ぐらいに週間見直しの状況報告みたいなのが発表されて、
2024年6月だったかなが一番最新の中間報告っていう感じで、2026年ぐらいにまた個人情報保護法が改正されるってプランなんですけど、つまり何を言ってるかというと、個人情報保護委員会の動きを見ていれば最新の情報をキャッチアップできるって感じですね。
いずみ
議事録も頻繁に更新されてますし、定期的に見ていくっていうのはすごく良い情報収集の始めの一歩かなという気はしますね。
よしむら
そうなんですよ。今まで法令で書いてないこともFAQとかで出ていたりして、なかなかマニアックなんですよね、その読み解き方が。なので一回ちょっと目を通していただければ。
いずみ
はい、カジカジさんいかがでしたでしょうか。参考になれば嬉しいです。では本日のデータマネジメントラジオは以上です。ありがとうございました。
よしむら
さようなら。
