個人情報データ取り扱いの勘所を念能力風に書いてみた
プロダクトマネージャーの職務範囲は広く、「データの取り扱い」についてなにかの意思決定を迫られることもあろうと思います。
私はこれまで幸か不幸か、ここに携わることが多かったので…どういうところにどんな勘所があるのか、記憶の限り書いていこうと思います。
なお、このあたりは法律に絡むセンシティブなところです。経験談からの勘所はそれはそれとして、実際の判断は各社の法務部と相談することを忘れないでください。
個人情報データの取り扱い
「取得」「保持」「利用」「破棄」「譲渡」「請求」の6つに分けて書いていきます。(それぞれ少しずつ逸脱していますが)
…と書いたところで
「6つ」「逸脱する=少しずつ隣の領域に」ってのはまさに念能力…!と思ったので、無理やり念能力に置き換えて説明してみます(笑)
取得
個人情報データを取得する能力。
きちんとプライバシーポリシーに書いた上で取得しよう、という話。
ただ、SaaS/B2Bプロダクトでは「誰が保有する個人情報なのか(データオーナーはだれか)」というのをきちんと把握しておこう。
自社の持ち物なのか、利用企業の持ち物なのかによって、プラポリの主語が変わったり、利用/譲渡/請求のときでもだいぶ扱いが変わる。
(B2Cプロダクトでも「利用者数の獲得に課題 → B2B2Cを模索」がよくあるので油断しないように…)
「共同利用」の形をとっているプロダクトも多いですが、共同利用と第三者提供は僅差なので、そのあたりも法務とよく相談しておこう。
ちなみに、病歴とか犯罪歴とかの「要配慮個人情報」が必要な場合は特別ルールがあるのでより注意
保持
個人情報データを安全に管理する能力。データガバナンス。
取得したらきちんと保持をしましょう。
「このようにせよ」という明確な基準がないため、会社によって手法を考える必要がある。
基本的には「データの所在がどこにあるか整理されている」「社内全員ではなく必要な人しか持ち出せない」という状態を目指せば大丈夫だと思う。
- バックアップ手法とか、インテグレーション先とかに注意。2022年4月からは法改正で、6ヶ月以内に消えるようなものも管理の徹底が求められる
- ID管理システムのない小さい企業では退職者のアカウントがおざなりになりがちなので注意。
データガバナンスにはなかなか企業として投資しにくい部分かと思うが、某社では情報流出の際 一人あたり500円を支払う特別損失を出した。=50万人の流出で2億5000万円のリスク、だと考えると投資したくなるかもしれない。
私が携わっていた某大企業では、協力会社社員の出入りが激しかったため、かなり厳しいルールを敷いていた。
個人情報を扱うシステムの利用/開発にはルールがあり、CSIRTチームが厳しく管理。アクセスには専用の手法が必要となる上、持ち出しには必ず承認が…という「たとえ誰が悪意を持っていても一人では大量漏洩ができない」という仕組みを作っていた。
利用
個人情報データを利用する能力。
どのような約束(プラポリ)で取得した情報なのか?に大きく依存する。
ただ、利用者はプラポリなぞ見ない。GDPRなどの話もあり、最近は「わかりやすく伝える」「どの情報は渡してどの情報は渡さない、という指定ができる」という方針に向かっている。
この管理のためにCMP (Consent Management Platform) というものも出だしている。よく下から出てくる「Cookieを使いますよいいですか」というやつだが、高級なものはきちんと利用目的ごとにオプトイン/アウトできたりする。
私がメインで携わっていた数年前は海外製のものばかりだったが、先程調べたところ日本製のものもでている模様。(下記はさっき調べただけのものなので良さはよく知らないです)
私見
プラポリはユーザー見ないし、見たところで利用方法はふわっと書かれていることが多いし、そもそもサービスを使いたければ同意するしか無い。
現状だと「何か問題が合った時、そこにアラがないかチェックする」くらいにしか使われていないのでは…。だから企業側は恐れてふわっと書いちゃう
本来だと「プラポリを見る」→「え!そんな利用をするんだったら使わないよ」となる余地があるべきなんだろうと思う
PPC(個人情報保護委員会)が無料のCMPツールでも作って、これを使わないと罰則!くらいのことをやったらいいんじゃないかなと思う…
破棄
保持している個人情報を破棄する能力。
退会や削除請求などがあったら破棄しなければならないのだが… システム上、データを物理削除するとどこかが壊れたりする、という厄介さがある。
某社の法務見解では「匿名加工して匿名パーソナルデータ化すればOK」としていたが、各社の法務に相談のこと。
また当然、破棄するには、どこにデータがあるのかを把握している必要がある。DBのバックアップ…は定期的に消えるとしても、どこかにETLする仕組みがあったりすると大変になってくる。(こういう面から考えても、個人情報データは1箇所にまとめたほうが良い)
譲渡
個人情報を第三者に渡す能力。
渡しますよ、ということを明示的に伝えている必要がある。
「データ売り」のビジネスをしない限り、企業としては「業務委託」「共同利用」を使って回避したがるところかと思う。「第三者提供」「業務委託」「共同利用」は、解釈次第、紙一重な感覚があるので良く確認しておこう。
私が明確に「譲渡」に触れたのは「資金調達の条件として、データを提供する必要がある」と言われたタイミング。
なお、海外の企業へのデータ提供は一段階厳格だったと思うのでそのようなことをする場合は要注意。
請求
エンドユーザー側が持つ、企業に対して個人情報の開示請求/削除請求をする能力。ここに興味のある企業はそういないであろう、レア系統。
以前大企業のお手伝いをしていたときでも、年間件数は片手で数えられるほど。携わったことがない人がほとんどだと思うので、どのような勘所があるのかを羅列していく。
書面だと住所しか証明できない
請求は書面で来るのだが、請求者の個人証明というのが難しい。いろいろ書類を取得するのだが「住所、氏名」の証明にしかならず、メールアドレスの証明ができない。
ITプロダクトの場合、住所情報を入力させないものも多い。そういう場合には「請求されても何もできない」となる可能性がある。
最初の請求に限らず、手続きの道中は郵送が多い。個人の証明の確認をしたり、実際のデータを印刷して送ったり。4月からは請求者が望めばデジタルで送ることもできるらしい。
採用データや営業データも対象になる
請求の内容にどう書かれているかにもよるが、「すべてくれ」の場合、プロダクトのDBだけでなく採用データや営業データも対象となる。いざ請求が来たらPdMに白羽の矢が立つだろうが、他のチームも他人事ではないのだ…
その人が採用に応募していないか?過去に営業した人ではないか?
他社のSaaSなどを利用している場合、「そのSaaSシステムのexport機能で出せるもの」を保有しているデータとして扱うことになる。
なお「営業上の秘密」にあたるデータは開示しなくていい。これをどう解釈するかは法務と(ry
出すデータについて
請求が来た時、DBはその意味まで伝える必要はない。例えば下記のような意味不明な状況で良いことになっている。(0.5って何やねん!という気分になると思うが…。なお、教えてはいけないという意味ではない)
あなたの情報が見つかりました!送ります!
kamyu@hogehoge.com 1 2 true 0.5 3 1 0 0 0 1 5 false ありがとう また、行動ログのように、「あなたの情報がほとんどなんだろうけど もしかしたら別の人の情報なのかもしれない」という性質のものについては、どのように扱うのか考える必要がある。
たとえば某社では「開示請求の場合:あなたじゃないかもしれないから開示しない」「削除請求の場合:あなたかもしれないから消す」を基本としていた。
私見
法的な手続きどおりに請求しても、目的の情報が得られるかどうかわからない。現状、誰も幸せになれない制度だと感じている…
そもそも、きちんと管理をしているのか疑わしいから 請求というものをするわけなので、プロダクト側できちんと不安にさせない努力をするべきではなかろうか。
- 「マイページにあなたに関する情報が全てあるのでログインして見てくださいね」
- 「退会したら全て消されるので削除したければ退会してくださいね」
さいごに
あまり念に絡めることができませんでした。
よく考えたら、この能力って どこかに強ければいいってわけじゃなく、全部それなりに持っていないといけないな…。
「絶対時間(エンペラータイム)」を頑張って取得しましょう
重ねてお願いですが、各社の法務判断を忘れずに。
ではでは。
この記事が気に入ったらサポートをしてみませんか?