プライバシーキャリアの歩み方 - 思い出したいことがある

こうやって細々とブログを続けていることもあって、「プライバシー系のキャリアを歩みたい」という方からご相談いただくことがたまにあります。

今月はたまたま短い期間に同種のご相談が2件重なったので、せっかくなら彼（女）たちにお話ししたことを文字にまとめておこうかな…と思って記事にしてみます。なお、今回はお二人とも法務出身でプライバシー系のキャリアを考えている人だったので、記事もその前提でまとめてみます。

f:id:seko-law:20210523123031p:plain

1.プライバシー領域に特化した法務の市場ニーズ

（※転職サイトに届く情報、ヘッドハンターがくれる情報、社内外の友人の話等々踏まえたN＝1の感想文なのでその点ご容赦下さい。）

(1)内資系事業会社

プライバシー系の組織を構えて複数名体制で運用しているのは、国内企業だと10社くらいですかね？（R社、別のR社、S社、別のS社、M社、L社、F社…）

またプライバシー部門は無くても、法務部 / セキュリティ部門 / リスク管理部門でプライバシー担当者を募集していることはそこそこあります。それに加えて、特段プライバシーに特化していないけど優秀な法務部員を抱えてらっしゃる会社はそれこそ沢山あると思います。

お金の話で言うとどうでしょう。年収で600-1000万円くらいがボリュームゾーンでしょうか。管理職がついたり弁護士資格がついたりすると数百万円プラスがあるかもしれません。

(2)外資系事業会社

外資系事業会社だと、「国内担当としてはほぼ1人だけど、グローバルのプライバシーチームに所属して本国のボスに報告」みたいなケースが多い印象を持っています。

メリットとしては、やはり内資系事業会社の1.5-2.0倍くらいお給料が高いことでしょうか。デメリットとしては、副業がなかなか厳しいことと、本国の影響が大きいことかと思います（もちろん会社によるとは思います）。

(3)コンサルティングファーム

コンサルだと、GDPRバブル以降しっかりプライバシー部隊を持つ会社が増えたと思います。セキュリティ部隊と一緒に運用していると所も多いので、（とりわけ何らかのバブルで案件が溢れているような状況を除けば）プライバシーだけでやると言うのはなかなか難しいかもしれません。スタッフだとお給料は600-1000万、管理職だと1000万-位のざっくりイメージ。

2.どのような会社が面白いと思うか

私はプライバシー専門職としてキャリアを歩むのであれば、

プライバシー感度が高いこと
チームで動けること

を重視するのが良いかなと考えています。

(1)プライバシー感度が高いこと

あえて主語をぼかしてみたのですが、まずは①サービスとしてプライバシー感度が高いサービスであることを重視しています。さらに可能であれば②経営層や③事業側のプライバシー感度が高い企業を選ぶと良いと思います。

①サービスとしてプライバシー感度が高い場合、当然検討すべき事項が増えます。扱う情報の機微度やユーザーの数が増えるにつれて、自分が判断を間違えた時の影響が大きくなっていきます。責任が増えるにつれ、面白みも増していくと思うのでここは譲りたくない所です。

②経営層のプライバシー感度が高い場合、単純にリソース（人員、お金）を付けてもらいやすいです。どの会社も「セキュリティが大事、プライバシーが大事」と言いますが、聞き返してみると「詳細は担当者に」と逃げてしまう場合も多いです。経営層が1度痛い目を見ている場合、ご自身でもしっかり学んでおられるし、こちらの話をきちんと聞いて理解してくれることが多いです。

③事業側のプライバシー感度が高い場合、日々の業務で自分が機能していることを感じ取ることができ、充実感を得られると思います。とはいえこれは0 / 1の話ではなく地続きの話です。企業には本当に本当に色々な人がいて、全員がプライバシーを重視している訳でも、プライバシーを蔑ろにしている訳でもありません。そのような中で、何とか（本当に何とか）やっていくことがプライバシー担当者には求められているのだと思います。

どうしてもプライバシー部門の提案を聞き入れてもらえず、結果として炎上するようなことがあった場合、私も人間なので「ほれみろ」「だから言っただろ」と言う気持ちになることはありますが、こういう時こそ相手の考え方を変えるチャンスだと思っています。火事場でしっかりサポートし切ることで、次回以降のコミュニケーションが違ったものになる経験は1度や2度ではありません。

(2)チームで動けること

プライバシーは適法/違法の所よりも、妥当/不当の判断に面白みがあると感じています。とりわけ法務部とは別にプライバシー部門を持っている場合、法解釈に止まらずビジネスジャッジ的な領域まで踏み込んで提案を求められる機会が多いのではないかと思います。

そのような場合、「自分と同レベルの知識を持ちながら、自分とは異なる価値観を持つ人」とディスカッションができることは本当に大きな力になります。

少し昔話をします。私がまだコンサルティングファームに勤務していた頃、GDPRという法律が制定されました。多くの企業はGDPRに対応するために法律事務所やコンサルティングファームにたくさんのプロジェクトを発注しました。初期の頃は公式なガイドラインも、参考になる書籍もなかったから、専門的な知見を求めてのことだと思います。

では受注した法律事務所やコンサルティングファームは、どこかからこっそり入手してきた正解を持っていたのかというと当然そんなことはありません。みなわからないなりに本当に必死に考えていたんです。今考えると「その回答は筋が悪い」「ガイドラインの記載に反している」みたいな回答がまかり通っており中々笑える（笑えない）のですが、それでも当時はそのガイドライン自体がなかったのです。皆本当に一生懸命に考え、ディスカッションをし、ロジックを組み立てていました（もちろんガイドラインが出たらその都度修正をしていました。）。

この時の経験から、私は同等程度の知識水準がある仲間とディスカッションできる環境をとても重視しています。

3.どういった知識を身につけるべきか

ビジネス、セキュリティ、法律の3つが基本になるかなと思っています。

(1)ビジネス

その企業のビジネスを知るという意味ではその通りではあるのですが、あまりに当たり前すぎますよね。ビジネスの場合はベン図の重なり部分が大事かなという印象を持っています。とりわけ以下なんかは独自の規制があり個別の勉強が必要です。

広告系
Webサービス系
金融系
医療系
ゲーム系*1

(2)セキュリティ

(a)資格

セキュリティは資格が充実しているので、とりわけ法務畑から目指すのであれば資格をペースメーカーに勉強するのはアリだと思います。

IPA系（セキュリティマネジメント、情報処理安全確保支援士）
ISACA系（CISA、CISM…）
ISC系（CISSP…）
IAPP系（CIPP、CIPM…）

と色々あります。資格でイキってると大抵ばかにされますが、プライバシーを専門にしていくという自分への決意表明としてキャリアの初期に資格に挑戦してみるのは有意義だと思います。

(b)技術

今日は主に法務畑からプライバシー職を目指す場合を想定して書いています。そのような場合、エンジニアを目指すわけではないので「役割分担」みたいなことをすぐ言いたくなりますが、割り切りが過ぎるとどうしても

ルールはあるけど運用はない
ルールが運用に耐えない
エンジニアからの不信感が高まる

などの理由で機能不全に陥るケースが多いという印象があります。

法務畑出身だとしても、技術や技術者に興味をもてるととても良いと思います。自分の場合、前者のきっかけはCTFだったし、後者のきっかけは勤務先や社外勉強会でつながった尊敬できるエンジニアたちでした。

個人的には「技術もわかる」と喧伝したくはないけど、エンジニアと気持ちよくコミュニケーションが取れるくらいには常に勉強していたいなとは思っています。ダニング＝クルーガー効果の「全然わからん」よりは多少「ちょっとできる」側に寄っていたいという感じ。

（３）法律

当然日本の個人情報保護法は勉強されると思いますが、海外のプライバシー法も追いかけておくと思わぬところで助けになります。

自社に適用されない外国のプライバシー法は、どうしても学習の優先順位を下げてしまいがちです。しかし外国のプライバシー法は、当然その国のプライバシーのプロフェッショナルたちが集まって「このようなルールが必要ではないか」「現状のルールではこのような視点が不足しているのではないか」と議論して出来上がっています。

そうだとすれば、当該外国法特有のルールというのは、ご自身が普段の業務で妥当/不当のリスク判断をする上できっと力になってくれる日が来るはずです。私もこの点に気付いてから、業務上関係しない国やマイナーな州のプライバシー法を勉強するのが非常に楽しくなってきました。