0.背景
先日、某社法務部の方達と「プライバシー組織の作り方、プライバシーキャリアの歩み方」について議論する機会がありました。自分の考えを整理する機会にもなり、また議論の後にも色々と考えたので文章にしておこうと思います。
1.プライバシー組織の作り方
まずテーマの1つ目、プライバシー組織の作り方です。
プライバシー組織が無くてもビジネスは回ります。とはいえ、ビジネスが拡大していくに連れて、いつかきっと大きな出来事が起こり、反省し、しっかり対応しなきゃとなるのだと思います。そこで以下プライバシー組織の作り方について
- リソースを確保する
- 組織を作る
- 運用する
の3段階的に分けて考えてみます。
(1)リソースを確保する
分析
まずは、プライバシーに対してヒトとカネを付けるにはどうしたら良いですかと言う話です。先日の議論の場でもまずはここが話題に上がりました。
これはセキュリティにも共通する部分だと思うのですが、痛い思いをしたことがある経営者は、予算を割り当てる・人を貼り付けることに対して積極的です。「炎上した時の新聞記事を額に入れて社長室に置いている」「インシデントが起こった日に毎年全社で振り返りをしている」みたいな類の話は、大きくなった複数の会社で聞いたことがあります。
提案_1
では、現状幸いにもプライバシー的に無傷できている会社において、リソースを確保するにはどうすれば良いかを考えてみます。まず1つ目の提案として、めちゃくちゃボトムアップではあるのですが
- 日頃のインシデントを現場が細かく拾うこと
- それを都度、正式に上に報告すること
- 合わせてユーザー等に必要十分な形で通知・報告すること
が第1歩なのではないかなと思います。
海外のカンファレンス等で話を聞いていると、(規模はともかく)そもそもインシデントが全く無いと言うことがあり得ない、ということがよく言われています。「1や2 がそもそもできていない→よって経営層がプライバシー保護の必要性を認識できていない」と言うことはありそうです。
3については、最近個人情報保護法の改正でも話題になりました。今回の改正では通知・報告義務が発生する条件が定められていますが、基準に満たないインシデントをユーザーに通知することを阻むものでは当然ありません。
- 規模的に報告・通知義務が発生しない程度のインシデントを
- いたずらに不安を煽らない形で
- けれども誠実に
ユーザーに通知する文化を作ることで、「隠すことで会社を守る」のでは無く「あえて公開することで会社を守る」ようにありたいものだなと思います。*1
提案_2
第2の提案として、個人情報保護法の改正に合わせてきちんと体制を構築すると言うのもあると思います。
- 今回の法改正ではA,B,C...をする必要がある
- A,B,C...をするためには、自社としてこう言う体制を整備する必要がある
- なので、これだけの予算と人員が必要
と言う整理をすることですね。こっちの方はブログで別途シリーズ化して書いているのでご興味あればどうぞ。
(2)組織
分析
個人情報保護法と言う文脈で、プライバシー領域を法務部が見ている所も多いと思います。他方、私の勤務先は法務部とは別にプライバシー部門を置いているので、そこで感じたことを2つ書いてみます。
・対応すべきリスクの種類の違い
全てが全てと言う訳では無いのですが、「法務は法務リスク以上のことは言わない」と言うことに何がしかの美学を持っている法務の人、及びそれを期待しているようにも見える事業部の人が一定数居るのかな…と言う印象を持っています。*2
一方プライバシー領域の場合、適法/違法の判断と言うよりはむしろ妥当/不当の判断に重点的に踏み込めないとあまり役割が果たせないと思っています。ここの判断を誤って炎上した企業の事例は、皆さんも複数思い浮かぶのでは。
・会社としての意識
法務部門とプライバシー部門が別れていることにより、事業側の皆さんに「法務チェックとセキュリティチェック(含むプライバシー)を通す」と言う文化が根付いている気がします。結果、「プライバシーを守ることは、法律を守ることと同じくらい重要」と言う意識の形成に貢献している気がします。
提案
(組織の規模は大小あり得ると思いますが)法務部門とは別にプライバシー部門を組織するのは結構良い判断なんじゃないかな、と最近考えています。
(3)運用
分析
「(2)組織」で述べたとおり、妥当/不当の判断(ビジネスリスク)にも踏み込んだ運用を回していくために必要な条件は何かを考えてみます。これはプライバシー担当側の観点と事業側の観点両方から考える必要があると思っていて、
- プライバシー担当者側が事業を理解している
- 事業側が「プライバシー担当者は事業を理解している」と認識してくれている
と言う2つをクリアする必要があると考えています。「戦略法務」「ビジネス視点」なんて言いますが、両方達成できていないとただの独り相撲かも知れません。
提案
ここは明確な答えがあるわけでは無いのですが、今私が実践していることで言うと、
- 事業側とプライバシーについて議論する定例のミーティングをもつ
- 事業側のslackに参加してコミュニケーションとる
- 可能な範囲で「事業側の」ミーティングに参加する
あたりは効果を得られている手応えがあります。3つ目なんかは「法務イシュー」「プライバシーイシュー」と認識される前の段階から議論に参加できるので、早めに手当をすることができて良いです。
2.プライバシーキャリアの歩み方
すいません、思ったより「1.プライバシー組織の作り方」が長くなってしまったのでここからは記事を分けて後日書きます。