見出し画像

リスクマネージメントとして迫るプライバシー影響評価

Privacy by Design Lab(プライバシーバイデザインラボ)

データ活用を推進していくため、データのメリットとデータのリスクを事前に評価する必要があります。

今回はTrilateral Researchでシニアプラクティスマネージャーを務め、データ保護影響評価を推進しているレイチェルさんに、全3回に分けてお話を伺います。今回は前編としてデータ保護影響評価の現状と今後に関して、お伺いしていきたいと思います。

画像1

Kohei: 皆様こんにちは。本日のプライバシートークはレイチェルさんにおこしいただきました。レイチェルさんはプライバシー専門家として、プライバシー影響評価に関する事業を運営しています。レイチェルさん、本日はお時間を頂きありがとうございます。

Rachel: インタビューに招待頂きありがとうございます。とても楽しみです。

Kohei:はじめに 、彼女のプロフィールを紹介したいと思います。

レイチェルさんはTrilateral Researchでデータ保護及びサイバーリスク、リサーチイノベーションチームのメンバーとして活動する研究者です。これまでに、データ保護コンプライアンスや新領域の技術分野に関するプライバシー、データ保護、社会インパクト研究に関する数多くのプロジェクトに参画。主に公共分野や、エネルギー分野、セキュリティ分野のデータマネジメントやデータガバナンス、データセキュリティがご専門です。

技術開発者と連携して、数多くのソリューション評価等を実施してきました。レイチェルさんは、欧州を始めとして、新領域の技術分野に関して、国の機関や政策立案のアドバイスも行っています。国際プライバシー専門家協会(IAPP)を始め、オープンデータインスティチュートやSurveillance Studies Networkにも参加しています。

改めまして、本日は貴重なお時間を頂きありがとうございます。レイチェルさん。

Rachel: ありがとうございます。

テクノロジーが引き起こす弊害と保護。両立する方法とは

Kohei: では質問に入っていきたいと思います。

私はTrilateral Researchで取り組まれているプロジェクトに大変関心を持っています。プライバシー分野でのリスク評価を実践的な研究から取り組まれていると拝見しています。最初の質問は、Trilateral Researchでお仕事をしようと思った理由についてです。教えていただけますか?

Rachel: 勿論です。Trilateral Researchに関わり始めたのは最近ではなく、もう11年近く前のことです。。きっかけは、博士課程の研究プロジェクトを別の英国大学で実施した際、テクノロジーがもたらすプライバシーとデータ保護に興味を持ち始めたことです。

特に私が興味を持ったポイントは、テクノロジーによって引き起こされる弊害がどのような影響を及ぼすことになるのかということです。新しいテクノロジーと最適なプライバシー保護をどう両立するのかというテーマですね。

そういった背景から、プライバシーバイデザインエシックス(倫理)バイデザインに関心を持ち始めることになりました。丁度そのタイミングで、Trilateral ResearchはSAPIENTプロジェクトの研究アナリストを募集していたんです。SAPIENTプロジェクトとはプライバシーやデータ保護問題へ倫理的な視点から、どのように解決策を検討すべきか考える欧州の大規模なプロジェクトです。

このプロジェクトを通して、私はプライバシーバイデザインを実現するためにはプライバシー影響評価がとても重要だと確信したんです。

プライバシー影響評価をプロダクト開発前に行うことで、事前にリスクを把握しサービス展開ができるというポジティブな側面があることを理解しました。

図:プライバシー影響評価を行い事前にリスクを把握する

画像2

このプロジェクトに関わった経験から、テクノロジーによって引き起こされる弊害は、テクノロジーの開発前に検討される必要があると考えるようになりました。

Kohei: なるほど。今、お伺いした内容はとても重要ですね。プライバシーバイデザインを実現するためには、サービスを開発する前段階から取り組むべきだと私も考えています。

データ保護責任者の課題を面で解決するハブへ

Kohei: 初めて半年前にTrilateral Researchのサイトを拝見した際に、今までにないとてもユニークな事業を展開されていると思いました。

Trilateral Researchでは大学や政府機関等へデータ保護責任者のサービスを提供されていると思います。このサービスではどういった価値を提供するのでしょうか?

Rachel:そうですね、クライアントにはデータ保護責任者のアウトソーシングサービスを提供しています。このサービスは私たちTrilateral Researchがデータ保護の外部専門家として、大きく6つの事業を行っています。事業支援活動、クライアント職員の法務業務支援、知識研修、影響評価審査、実装支援、コンプライアンス運用支援です。具体的には、クライアントの職員が法律に沿って運用ができるように、必要なリソースや専門的な知見の提供を行うこと。

研修を実施し、データ保護を推進するために必要な “How To” アドバイスも提供すること。または今紹介したデータ保護責任者サービスに加えて、データ保護影響評価の実施や、社内で実施したデータ保護影響評価結果を審査するサービスです。

ここまで紹介したサービスを実施することで、新しいプログラムやシステム、技術の導入が行われた際に、データ保護が実装された状態で運用できるような支援も行っています。

私たちはデータ提供者やアイルランドのデータ保護監察機関、英国の個人情報保護監督機関とも連絡を取りながら活動しています。コンプライアンスが適切に機能しているかモニタリングを実施し、継続的な改善も行っています。

私たちが提供するデータ保護の専門家としてのサポートによって、クライアントは事業に集中することができます。

加えて、複数のクライアントの支援を行い、クライアント同士で学び合う機会も提供しています。私たちが情報のハブとして機能することによって、他のクライアントが同様の課題を抱えた際に、情報を共有して課題解決に取り組むことができるようになります。

図:クライアントの情報ハブとして活躍

画像3


日々クライアントのフェーズに合わせて支援スタイルを改善するからこそ、データ保護に必要な仕組みを整えていくことができるのです。

Kohei: 素晴らしいですね。データ保護責任者のサービスを考える際に、英国が欧州から離脱したブレクジットの影響が少なからずあるのではないかと想像しています。

欧州でデータ保護責任者に求める範囲と、英国で求める範囲とでは違いがあるのでしょうか?

欧州と英国におけるGDPRの重み

Rachel: いくつかの違いがあります。英国は欧州から離脱をしましたが、それ以来、特段大きな変化があったわけではありません。それでもいくつか変化は生まれていて、1つ目の違いは、欧州のGDPRに類似した、英国版のGDPRが施行された点が挙げられます。現在英国は欧州と十分性認定を締結しているため、制度自体の大きな違いはありません。

2つ目は、実務上でデータ提供者への要求に対する対応の違いが考えられます。データ保護責任者は、データ提供者からの要求に対して対応を行う責任があります。 とても小さな違いですが、英国と欧州でニュアンスの違いを理解して対応することがとても重要です。

Kohei: なるほど。ありがとうございます。とても興味深いお話ですね。英国や欧州は地理的には近いと思いますが、考え方はとても違うことがわかりました。両国政府はそれぞれ違う考え方を持っていることも、とても興味深いと思います。

Rachel: そうですね。今起きていることは、国同士でお互いに違いがあるということです。勿論、英国政府はデータ保護に関するロードマップのコンサルティングを実施していて、ここ最近作成したアウトラインを公開しています。公開されたアウトライン通りに、国内で求められる対応が変わると、データ保護責任者へ求められることも大きく変化すると考えられます。

リスクマネージメントとして迫るプライバシー影響評価

Rachel: アウトラインの内容には、各組織に社内にデータ保護責任者を設置するか、もしくは独立したデータ保護責任者を一人は設置する必要があると明記されています。特に小規模事業者にとっては、これまでデータ保護責任者を設置していない事業者が多く、今後大きな課題になりそうです。

これ以外にも、対応が必要なものがいくつかあります。内容によっては小規模事業者に対して、難しい対応を迫るものもあると思います。変化に気づいた際に、事の重大性に気付くことになるのです。

Kohei: ありがとうございます。次の質問はプライバシー影響評価に関してお伺いしたいと思います。消費者の権利を保護できているか確認するためにプロダクトやサービスを開始する際に、プライバシー影響評価を実施することはとても重要だと思います。

欧州や英国で、GDPRが施行された後にプライバシー影響評価は必然になり、事業者の中でも大きな存在になりつつあるのではないかと想像しています。事業者は現在プライバシー影響評価に対して、どのように対応しているのでしょうか?
〈最後までご覧いただき、ありがとうございました。続きの中編は、次回お届けします。〉

データプライバシーに関するトレンドや今後の動きが気になる方は、Facebookで気軽にメッセージ頂ければお答えさせて頂きます!
プライバシーについて語るコミュニティを運営しています。
ご興味ある方はぜひご参加ください。

Interviewer, Translation and Edit 栗原宏平
Headline Image template author  山下夏姫
Editing support  坂上真美

この記事が気に入ったらサポートをしてみませんか?