Acompanyのプライバシー法務チームの素晴らしさを語りたい

どうも、Acompanyの佐藤です。プライバシーテックカンパニーでCOOをやっています。

この記事は、Acompany５周年アドベントカレンダーの7日目の記事です。

Acompany5周年アドベントカレンダー

今日は、Acompanyのプライバシー法務の素晴らしさについて書きたいと思います。

なぜCOOの私がプライバシー法務について書くのかというと、プライバシー法務の役割がAcompanyの事業展開に直結しており、私が積極的に関わっているからです。
「Acompanyの面白いところの一つは、プライバシー法務チームにある！」と思っていますが、あまりこれまでチームの役割について話してこなかったので、ぜひこの記事で説明したいと思います。

プライバシー法務チームがなぜ必要なのか

スタートアップでプライバシー法務チームを組成していて、複数の弁護士の方に顧問として関与いただいてることを説明すると、大抵は「そこまでやっているんですね」と驚かれます。

お世話になっている顧問弁護士の方々は、こちらに掲載しています↓

COMPANY - Acompany Co., Ltd. | プライバシーテック

Acompanyの場合、プライバシーテックを取り扱っているので、当然処理するデータは個人データが大半です。個人データについては、個人情報保護法をはじめとするプライバシー規制が存在しており、当然ながらこれらに準拠してデータを処理する必要があります。

Acompanyの事業の場合、プライバシーテックという新しい技術を用いていることから、多くの場合は参考になりそうな前例が少なく、慎重かつ適切に法律面の検証をしていことが求められます。

そのため、Acompany社内でしっかり法的な論点やリスクを把握・分析できるようにするのが、プライバシー法務の役割ということです。

プライバシー法務は実際に何をやっているのか

では実際、プライバシー法務は何をやっているのか？というと、主に以下３つのことを業務として行っています。

エンジニア部門と協議する

まず、社内ではエンジニア部門と普段から積極的に議論をしています。

社内では、秘密計算をはじめ様々な技術開発を行っています。これらの技術が、どのようにデータ処理されるかを想定し、プライバシー規制上どのようなリスクや法的論点が生まれるのかを確認・検証しています。

この取り組みは結構な頻度で行われていて、エンジニアが法律上の懸念に対して技術的な解決を図るアイデアを創出したり、プライバシー法務のメンバーも技術理解が進む、という、組織全体で「技術・法律の両方を理解する」副次効果も出ています。

以前、ある方とお話しした時に、「プライバシーテックは技術が難しく、法律論点を把握しようとしても、法律の専門家からすると専門性が異なりすぎて、両方の専門家が議論するのが難しい」と言われたことがあります。

確かにその通りで、今でも社内で議論するときには相当な時間を要する場合があります。ただ、スタートアップという小さな組織であり、かつエンジニアと法務の両方が理解のために歩み寄る、というAcompanyのカルチャーが、この取り組みを強固なものにしていると思っています。

お客様へ説明する

Acompanyと取引いただく方々は、当然のことながらプライバシー規制について確認・検討をされます。そのため、プライバシー法務の立場から、取引先の法務・コンプライアンス部門の方にしっかりと理解いただくために、法的な論点やリスク・対応策を説明しています。

この点も、Acompanyが信頼いただけている大きな要素になってきていると感じています。

これまでの取り組みの中では、プライバシー法務チームがいろんな機会で説明を尽くしてきたこともあり、「理解できないので検討をやめる」と言われたことはないように思います。それぐらい、取引先の方々へのご説明も、プライバシー法務チームとして力を入れている取り組みです。

有識者へ相談する

Acompanyの取り組みは未知なことが多いので、冒頭でご紹介した顧問の方々をはじめ、プライバシー規制に深い見識を持つ有識者の方々から、常日頃意見をもらっています。

プライバシー法務チームとしては、これらの方々から知見をいただけていることは社内での知見の大きな蓄積・財産になっています。

先日も、顧問の先生方のインタビューをまとめた記事をリリースさせていただきましたが、このような深い知見の方々にご相談できる体制になっていることは、Acompanyとしてもとても貴重で有難い状況だと思います。

【ワナタベ先生に聞くシリーズ⑥】個人ブログやオウンドメディアも電気通信事業法の対象となる？事業者向けに「外部通信規律」について解説 - プライバシーテック研究所

プライバシー影響評価（PIA）シリーズ①プライバシー影響評価（PIA）とは何か。その意義と注意ポイントを解説 - プライバシーテック研究所

ここは自慢になりますが、有識者の方々とコミュニケーションできているのは、あらかじめプライバシー法務チームで法的な論点をまとめている点も大きいと思っています。
有識者の方に相談するにしても、法的な論点がどこにあるのかを明確にできないと、的確に議論するのは難しいです。ここをしっかり社内で作成することで、論点をクリアするための見識をいただくことができていると感じています。

これからのチャレンジ

上記の取り組みは、Acompanyの事業展開やプライバシー規制のアップデートに合わせて、今後も継続・強化していきます。

さらに今後のプライバシー法務のチャレンジとして、「Acompanyとしてのプライバシーガバナンス」の確立を進めています。

先日も宇根さんがPIAの記事を書かれていましたが、プライバシーガバナンスは、組織がプライバシーに配慮したデータの取り扱いができているかを行う上で重要な取り組みです。

また、プライバシーガバナンスのホワイトペーパーもリリースしていますので、「プライバシーガバナンスってなんだろう」ということは、ぜひこちらもどうぞ。

プライバシーテックスタートアップAcompany、プライバシー影響評価（PIA）に関するホワイトペーパーを公開 - Acompany Co., Ltd. | プライバシーテック

Acompanyも組織が拡大し、有難いことにお仕事も増えてきました。そのため、Acompanyの様々なメンバーが適切なプライバシー対応を行うことができるように、プライバシー法務チームで「Acompanyに必要なプライバシーガバナンスルール」を設計しています。

この取り組みを進めることによって、より一層様々な方に信頼していただける企業になりたいと思っています。

---

Acompanyはテクノロジーを起点とする企業ではありますが、テクノロジーだけでは社会実装は難しいのも事実です。

プライバシー法務チームの役割は、類まれなエンジニア部門が生み出す技術やプロダクトを、社会で安心して使ってもらうために不可欠です。これからも、社会に必要とされる技術を適切にお届けするために、プライバシー法務チームとして頑張っていきたいと思います！