データ保護人材の育成〜日本DPO協会プライバシーシンポジウムに参加して

こんにちは！
今朝、ヒヤシンスのつぼみが咲かせはじめました♪

わたしは、寒いのは苦手です。
でも、春がくる楽しみを感じられるのは冬の寒さがあればこそ。そう、感じさせてくれる（辛い時期もがんばろうと励ましてくれる？）球根植物はメンターです（笑）

さて、クリスマス前のことですが、日本DPO協会の「データ保護人材の育成」をテーマとするシンポジウム（個人情報保護委員会も登壇）に参加しました。

その際の登壇者資料がHPに公開されていましたので、どんな話がされていたか、その登壇資料とパネルディスカッションの内容をざっくりご紹介したいと思います。

一般社団法人日本DPO協会主催プライバシーシンポジウムの開催について | 一般社団法人 日本DPO協会

シンポジウムの概要

シンポジウムの概要は以下、11月26日、27日に行われた第62回アジア太平洋プライバシー機関（ＡＰＰＡ）フォーラム及びサイドイベントの前日、同じホテルの会場での開催で、海外からのAPPA関係者もいらして同時通訳がありました。

ーー
イベント名：一般社団法人日本DPO協会主催プライバシーシンポジウム
日時：2024年11月25日（月）15:00～17:00
会場：ザ・リッツカールトン東京 1階 パークビュールーム（東京都港区赤坂9-7-1　東京ミッドタウン）
ーー

Agendaは開会あいさつとセッション２つ、
いずれもテーマはデータ保護人材の確保や育成についてです。

代表理事 堀部政男ご挨拶：　開会の辞

セッション１：「データ保護人材の育成」

　パート１「データ保護人材の育成」について各パネリストからの発表
　パート２　パネル

セッション２：「企業におけるデータ保護人材の育成と諸課題」

パート１「データ保護人材の育成」について各パネリストからの発表
パート２　パネル

それでは、２つのセッションについて、当日印象に残ったことをスライドの一部とともにご紹介します。

---

登壇者の主な論旨とパネルの内容

まず、セッション１「データ保護人材の育成」です。

セッション１：「データ保護人材の育成」

パート１各発表の後に、パート２はあらかじめ用意された問いでパネルをする形式でした。

パート１　パネリスト発表
セッション１のパネリストは4名、登壇資料はリンク先を参照ください。
①個人情報保護委員会 事務局長 佐脇 紀代志
　データ保護人材の育成
②JIPDEC（Pマーク） 松本 常務理事
　個人情報保護マネジメントシステム
③森 亮二 弁護士
　データ保護人材の必要性
④日本DPO協会　柳池 代表理事特別補佐
　セッション1「データ保護人材の育成」

パート２　パネルディスカッション
⚫︎これからの日本経済・社会にデータ保護人材は必要か？
→必要
・データ保護ができないとデータ利活用できない。データ利活用できないと国力がダウンする（佐脇氏、森氏、柳池氏）

①個人情報保護委員会 事務局長 佐脇 紀代志：データ保護人材の育成

⚫︎どのような人材が必要か？
→明確な定義はなく、その会社で求める機能により変わる
・役割として、リーガル・コンプライアンス型、マネジメント型・テクニカル型がある。全ての資質を持っていることが望ましいが、組織として役割分担し、機能を果たせればよい（柳池氏）

④日本DPO協会　柳池 代表理事特別補佐　セッション1「データ保護人材の育成」

・まずは組織内で、データ保護に関し、頼りにされる人材（知識・経験・ノウハウ）その上で、組織の中で、経営層に助言し、あるいはその一員としてリードできる人材。さらには、（長期的に自分の強みとして）社会で認知され、頼られ、尊敬される人材（佐脇氏）

①個人情報保護委員会 事務局長 佐脇 紀代志：データ保護人材の育成

・技術と法が複雑化する中で、中間的な翻訳できる人が必要（法的に詳しくても何も知らない人への説明が苦手な弁護士のようなタイプと何も知らない人の間で）（森氏）
・企画、営業、技術など企業内の機能別に、ある程度のデータ保護の知識を持つ人が必要（森氏）

③森 亮二 弁護士　データ保護人材の必要性

・個人情報のPDCAについて組織で自律的に考えて運用することが重要。コンサル頼みで、理解せず丸投げの場合、一瞬はできたように見えるが、持続性がない。（松本氏）

②JIPDEC（Pマーク） 松本 常務理事　個人情報保護マネジメントシステム

⚫︎データ保護人材の数は十分か？少ない場合、どのように育成していくべきか？
・足りておらず、数を増やす時期。質の高いカリキュラムや評価体系による、知識と技能の習得機会の充実が重要ではないか。（佐脇氏）

①個人情報保護委員会 事務局長 佐脇 紀代志：データ保護人材の育成

・日本でそもそも需要があるのか？という数字は見当たらない。
一方、転職市場におけるリクルーターの話によると、5年間で5倍になっているとのこと。元の規模は小さいとしても伸びているのは確か（柳池氏）

⚫︎データ保護人材の育成のために「公的な制度」を設ける必要はあるか？
・組織において、データ保護人材が必要とされ、それに応えて機能を果たしているイメージを示していくことが重要ではないか。（佐脇氏）

①個人情報保護委員会 事務局長 佐脇 紀代志：データ保護人材の育成

・①プライバシーホワイトの活用や②公的な制度が考えられるのではないか？（ぜひ、日本DPO協会に入会して一緒にしくみを検討してほしい）（柳池氏）

⚫︎個人情報マネジメントシステム（Pマーク）で鍵となるポジション
→リスク・コンプライアンスを担う企画・経営部門と現業の連携
・規程を作る際に現場の声を聞いているか（守ることが難しいルールを作っていないか）（松本氏）

②JIPDEC（Pマーク） 松本 常務理事　個人情報保護マネジメントシステム

・データ保護人材の前に、まずは、保護責任者の指名と人的リソースの投入。一方、データ保護組織作りの相談は、弁護士にはほとんどない（森氏）

③森 亮二 弁護士　データ保護人材の必要性

⚫︎この企業はしっかりしたデータ保護人材がいるいないと感じる場面、いる企業いない企業の違いは？
・相談者の厚さ（いつも同じ人か、複数の人か）（森氏）
・社内で連携がうまくいっているか（佐脇氏）
　例）
　⚪︎「複数部門の検討の結果、相談にきました」→有機的
　△ 「専門部門には内緒で、相談にきました」→疑念を持つパターン（笑）
・（Pマークの場合）責任者と担当者の温度感が揃っているか（松本氏）
（優れた１個人ではなく、組織としての総合力が求められる）

⚫︎（上級編として）プライバシー・データ保護の観点で、判断に一定の幅が想定されるとことに共通了解を得ていくために、有効なことは？
・法遵守は前提として、法律とビジネスのつなぎ、コミュニケーションをはかれるようにすること。

次にセッション２です。

---

セッション２：「企業におけるデータ保護人材の育成と諸課題」

「企業におけるデータ保護人材の育成と諸課題」

パート１　パネリスト発表　
セッション２のパネリストは３名、登壇資料はリンク先を参照ください。
①大門学氏（当協会理事・株式会社日立製作所） 　
　データ保護実務人財育成と活躍について
②小川晋平氏（当協会理事・株式会社インターネットイニシアティブ)
　一般社団法人日本DPO協会の検定試験制度・資格認定制度について
③芝崎章太郎氏（当協会監事・合同会社デジタルワークサポート）
　資料なし

⚫︎企業におけるデータ保護人材の育成と諸課題
・データ保護マネジメントにおいては、
①身につけるべき力、②人材の成熟度、③事業との適合、④育成プログラムの標準化の観点で進めている。最も重要なのは③事業との適合（大門氏）

①大門学氏（当協会理事・株式会社日立製作所） データ保護実務人財育成と活躍について

・OJT教育においては、Pマーク取得・認証維持業務を通じての実務経験の積みあげ。この分野はデータ保護ではなく、むしろ組織マネジメントのテーマかも）（大門氏）

①大門学氏（当協会理事・株式会社日立製作所） データ保護実務人財育成と活躍について

・データ保護でもっとも重要なのは、「事業との適合」なので、その組織が重視することにより、必要なデータ保護人財の定義は変わる。
（データ保護人材の職務は決まったもののチェックリストというより、マネジメントとして何を行うべきか定義する必要がある問題）
・課題は（特に製造業は）データのサプライチェーンが必然な中で、活発化sするサイバー攻撃への対応など含め、下流工程の会社も含めてどうデータ保護をはかっていくか。（大門氏）

①大門学氏（当協会理事・株式会社日立製作所） データ保護実務人財育成と活躍について

パート２　パネルディスカッション

⚫︎大企業と中小企業の人材育成の在り方の違いは？
・中小企業の場合、データ保護は経営者のトップダウン
・法的理解は難しいことを前提に、鼻が効くこと、何か問題がありそうな時に相談できる場所を作っておくことが大切。
・M&Aや株式公開、委託元からの依頼で認証を取りたいなどの相談が多い
・個人事業主に個人データを委託する時のデータ保護は課題（整備されていない傾向）（芝崎氏）

⚫︎データ保護人材の育成に必要な企業環境とは？（多くの企業にデータガバナンスをアドバイスされた経験をふまえて）
・プライバシーガバナンスが軌道に乗るために、2点ある。
①経営者のコミット（プライバシーが重要、誠実な対応が必要）
②事務局のリーダーシップ（情熱があるか？）

---

あとがき

日本DPO協会の検定制度のプロモーションかもな？と思いつつ、参加したのですが、企業の個人データ保護体制・人材というテーマでのパネルは初めてで、驚き、気づきが多くありました。

いちばんは、驚くほど多くのパネリストが、
「法的事項」より、「事業」「会社」への貢献を重視、マネジメント視点重視が強かったこと
です。

会社の中でデータ保護を機能させるしくみを、３つの輪（リーガル＆コンプライアンス、マネジメント、テクニカル）をふまえてかたちづくり、維持・改善していくために、社内の関係者を巻き込んでいく人材という絵姿です。

・そのためには、個々の人材育成の前に、
まずは会社の中でデータ保護・プライバシーを大切な事項と認識し、責任者を任命、リソース（人的・予算的）を確保する、いわば会社の中でパトロンを得て、お墨付きの活動として継続していくことが必要と、
まさに、DX時代のプライバシーガバナンスガイドブックの３つの基本をみなさん前提としておられるようでした。

年末のアドベントカレンダーnoteは、このイベントでの気づきもふまえて、プライバシー・データ保護のしくみを社内に建てつける際の必要機能という考え方で整理したものでした。

（この日のパネルにったように）各社が重視することの違いによって必要機能は違うことは確かでも、MUSTな機能、優先すべき事項はあるのではないか？　それらを可視化しないと、初めて取り組む人にはわかりにくいのではないか？という疑問がきっかけでまとめてみたもです。

一方、これは私の実務経験がある数千万件以上の個人データを保有する大企業の場合です。そうでない企業や、データ活用そのものがビジネスになっている企業では、違うカット（例えば、データマネジメント戦略そのものがビジネス戦略になるような）もあるのでしょうね！

法務に近いけれど、従来の法務とはちょっと違う面もある「データ保護・プライバシー分野」。

でも、個人情報保護委員会佐脇事務局長がおっしゃっていた人材像の「データ保護に関し、頼りにされる人材」というラベリングは、バックオフィス部門全般に使えるフレーズなのかもしれませんね。

・まずは組織内で、データ保護に関し、頼りにされる人材（知識・経験・ノウハウ）
その上で、組織の中で、経営層に助言し、あるいはその一員としてリードできる人材。
さらには、（長期的に自分の強みとして）社会で認知され、頼られ、尊敬される人材（佐脇氏）

例えば、法務分野なら、（ガーディアン（守り）度・パートナー（攻め）度は各社で差異はあるとしても）「法務に関し、頼りにされる人材」というように。

参考）国際競争力強化に向けた日本企業の法務機能の在り方研究会 報告書～令和時代に必要な法務機能・法務人材とは～　経済産業省

引き続き、データ保護に関し、頼りにされるように日々地道に経験を積みつつ、いろいろな方のご意見もお聞きして、学び、ノウハウを可視化していきたいな、と思います。

それでは、また！

---

今日のAI絵

データ保護人材についてディスカッションする🐩たち