Scribble at 2023-09-03 13:36:01 Last modified: 2023-09-03 13:41:49

僕は企業の個人情報保護管理者(Chief Privacy Officer)として、ISMS であろうとプライバシーマークであろうと社内規程は可能な限り簡素なものにしている。認定や認証を受けるための要件というものがあるので、もちろん法律や規格に満たない欠陥があってはいけないが、だからといって認証を受けるためだけの理由で様式美のように役にも立たないルールを策定したり文書に定めるなんてことは、部門長としても個人としても、それから情報セキュリティのプロとしてもまっぴらごめんである。

ありていに言わせてもらえば、情報セキュリティや個人情報のマネジメントというものは、認証や認定がどうであろうと、結局は事故が起きなければ勝ちなのだ

そして、僕は単にプロフィット部門や従業員への妥協だとか、あるいは物分りの良い人を演じるなんてスケベ根性とはかかわりなく、社内ルールは最低限で済ませることが良いという方針でやってきた。もちろん、僕はリバタリアンではないのでルールを完全になくすことが目的だと考えたりはしない。ルールそのものは、企業や集団が全くバラバラな動機や目的や事情をもつ個人の集まりであるからには、ルールがなければ統制などとれないからだ。ひとりでに集団が一致した目的に向かって動くなんていうマネジメント上のファンタジーが成立する会社もあるのだろう。でも、それは事業や業務内容がトイレでウンコするのと同じくらい画一的であり、マントヒヒでもできるような仕事だからだろう。われわれ有能な人間は、年に何百万も給料をもらって会社へウンコしに行くわけではないのだ。

しかし、だからこそ僕は基本や原則が大切だと思っている。はっきり言って、個人情報の取り扱いで事故を起こす会社というのは、だいたい三つのパターンに限られる。(1) 起業した経営者が、東京にはウジ虫と同じくらいいるわけだが、単に他人のプライバシー情報で儲けようとしているキチガイであること、(2) 個人情報や他人のプライバシー情報についての基本的な取り扱いルールを知らないこと、(3) 個人情報を扱うということについて興味も関心もない人間に扱わせること、という三つだ。そして、これらはどれを取ってもマネージャや役員が馬鹿だからこそ起きる問題なのである。従業員の偏差値が70ないからといって問題が起きるわけではないし、逆に従業員が東大の修士をもっているから避けられる問題でもない。そして、僕が重視しているのは (2) だ。実際には、プライバシーマークの使用許諾を得たり維持するために必要なことの大半は、僕ら CPO の仕事である。内部監査をやったり、個人情報の一覧表を整備したり、リスク分析をやったり、経営者にマネジメント・レビューを提出したりするのは、全て僕の仕事であって従業員が特に何かしなければいけないというものは限られている。それは大きく言って、「個人データを適正に扱うこと」と「適正な扱い方についてチェックを受けること」の二つだ。前者は実務でちゃんと扱っていれば問題ないし、後者は内部監査を受けたり研修を受けることで達成できる。どれも、誰かに毎日のようにガミガミと言われるようなことではない。すると、(2) で述べたように、個人情報を適正に扱うための原理・原則を理解して、自分の仕事で注意するようにすれば、たいていの業務や事業は(個人情報の取り扱いという意味では)問題なく進められる。

そして、個人情報の適正な取り扱いとは言っても、そんなの大袈裟で複雑なルールが整備されているわけではない。敢えて言えば、利用目的から逸脱する使い方に流用しないとか、勝手に他社や他のサービスにデータを提供しないということだけだ。それ以外は、たとえば宛名のデータを間違えるなとか、そういった問題は個人情報だけに限った話ではない。データを入力するときに間違えるな、なんてことは個人情報どころか小学生の作文(最近は宿題の作文をタブレットで入力していたりする)でも言える話だ。そして、そういう基本や原則に注意を払って、そこから派生して言えることも説明すれば、意外と応用範囲は広くなるものである。更に、そういう基本や原則を軽視したりないがしろにするような態度や業務や発言をする人物には、部門長であろうと取締役であろうと、CPO は毅然とした態度をとらなくてはいけない。CPO は、会社のステークホルダー全体の利害を代表し保護する役割があるため、もちろん行政というステークホルダーに対してはコンプライアンスという当然の義務があるし、事故を起こして会社の信用を失墜させないよう株主への責任があるし、個人情報を提供してくれた個々人(法律では「本人」)への責任もある。よって、あれやこれやと複雑で膨大な規則を作ることに意味があるとは思わないが、規則を厳格に守らせるということには意味があると思っている。確かに、その影響力が強すぎると、リバタリアンの小僧や経済評論家が口にする「萎縮によるイノベーションのなんたらかんたら」が起きるという予想はできる。しかし、本当にそうなのかという実証ができたリバタリアンなんて一人もいない。たいていは、個人情報のデタラメな取得や運用で一時的に稼いでどこかに買収される出口戦略か、あるいは VC の金で外車を買ったり、ヒルズで総務省や経産省の官僚と乱交パーティを開く資金がもらえたら良いという都内のゴロツキを喜ばせるだけだ。リバタリアンなんて、せいぜい頭から布団をかぶせられて「出せ! 自由にしろ!」ともがいているガキみたいに喚いているだけなのである。

  1. もっと新しいノート <<
  2. >> もっと古いノート

冒頭に戻る

※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Twitter Facebook