個人情報部門の特徴と今年良かった書籍10冊
Shigeki Yoshidaさんからバトンをいただきました。この記事は、裏 法務系 Advent Calendar 2023の12/10の記事となります。
主催のkanekoさんに感謝🎁 このアドベントカレンダーを初めて書こうと決めたことが、このblog開設のきっかけとなりました。お礼申し上げます!
法務系ACを見る方の多くは、おそらく企業の法務部門の方や、弁護士界隈の方々と思います。
一方、私は法務部門とは別の個人情報・プライバシー部門に所属しており、ぶっちゃけ、何やってるの?飽きないの?と思われていそうな気もします(笑)
そこで、この記事では、比較的新しいこの分野の仕事の特徴を概観した上で、2023年の今年お世話になった本を振り返りながら、ある個人情報担当の視点を紹介してみたいと思います。
🎄個人情報・プライバシー専門部門?
∟背景
その1 DX時代における企業のプライバシーガバナンスガイドブック
企業の価値向上・プライバシーガバナンス向上、社会からの信頼獲得のために、経営者は、プライバシーに関する問題について、能動的に対応し、責任者や責任部署を設置すべき。
そうした考え方が普及したのは、経済産業省・総務省によるDX時代の企業のプライバシーガバナンスガイドブックが2020年8月に公表されたことが大きそうです。
経産省等が提示した意図には諸外国に比べたDXの遅れ、経済付加価値鈍化への危機感も。
そのため、単なる法令遵守目的だけのガバナンスでなく、企業の価値向上に向け、消費者や他ステークホルダーへの十分なコミュニケーションをはかったうえで、DX推進を行うべき。
そのためには、まず、【経営者】が経営戦略上の重要課題として取り組むべきとして、
⚫︎経営者が取り組むべき3要件
⚫︎プライバシーガバナンスの5つの重要項目
が示され、積極的な普及啓発活動が行われました。
その2 データガバナンス (個人データの取扱いに関する責任者・責任部署の設置に関する事例集)
そして、今年2023年11月には、個人情報保護委員会からも個人データの取扱いに関する責任者・責任部署の設置に関する事例集 が公表。
個人情報保護法の義務ではないものの、責任者・責任部署の設置を推奨する流れがあります。
∟組織・役割機能
⚫︎個人情報の責任組織の箱をどこに置くか?
経営者の理解が進み、責任者を任命したとして、責任部署を会社組織のどこに位置付けるか?については、明確な定義や推奨はありません。
従って、現状はさまざまなケースが存在、大別して5パターンある印象です。
・法務部門の中のサブチームとして設置
・IT・セキュリティ部門の中のサブチームとして設置
・経営戦略やマーケの下に設置
・CEO直下に新設
・責任者の下で部門横断のバーチャル組織
いろいろですね!
⚫︎役割・機能の範囲
その役割や機能の範囲は、その組織が社内でどう位置付けられるか?によって大きく異なります。
他社との情報交換や上記の事例などをふまえると、およそ共通するのは、
・責任者を補佐し、社内外に向けガバナンスの方針を明確化すること
・利用者目線で取り扱いの透明性をはかること
・個人情報等の利活用の相談にのること
・個人情報保護法改正などの対応を推進すること
(法令系は法務部門担当の会社もあるもよう)
・社内の利用状況を把握すること
・社員の個人情報やプライバシーの意識やリテラシーを高めること
・社内の他部門機能と連携し、運用ルールやしくみを構築・改善すること
などと思われます。
このあたりに特化した本としては、各省庁の構成員や受託事業もされているNRIのコンサルのみなさんにより、こちらにコンパクトにまとまっています。
∟一般的な企業法務部門との違い
個社の差が大きく、違いの一般化はできませんが、弊社内の法務部門と比較すると、
およそ、以下7点の違いがあるように思います。
①主管する法令は狭いが、(法に明記薄い)プライバシーも含む。また、海外の個人情報保護法も含め法令の動きが早い。
②契約書等チェックの量は少ない。
一方、事業の目的、ビジネスモデル、データフロー確認に時間がかかる。
③ガバナンスと利活用のリスクベース総合判断
④しくみ・ルール志向
⑤社内他部門連携が多い
⑥世情もふまえコミュニケーションが必要(プラポリや事故時の公表、権利対応、苦情対応など)
⑦動きが早いため、官庁や海外等外部情報の収集と自社意見反映の渉外機能を求められることも
とはいえ、自分は法務部門に在籍したことがありませんので、いやいや違うんじゃ?とか、こんなこともあるんじゃ?があれば、ぜひ、教えていただけると嬉しいです😃
🎄2023お世話になった本10冊
さて、そんなこんなを担当している中で、
今年新たに読んだ本、今年読み返すことの多かった本などを、法・リスク/ガバナンス・他キャリア/他の3つに分けてご紹介します。 (🔗はAmazonアフィ付)
📄法関係
①改正個人情報保護法のきほんといえば、
『60分でわかる!改正個人情報保護法 超入門』
令和2年改正後に出て、簡潔見開き絵入りなのに法のツボを押さえられいて評判となった1冊。
簡潔に相談者に説明したい時などに提示したり、自分でまとめる時のヒントに紙とKindleを常備してます。
著者の田中浩之弁護士にとても重宝してます!とお礼を伝えたら、「いやー、コレまでの本と売れ方の桁が違う」と。それだけ、悩んでいる人が多いのでしょうね…
②案件相談実務のお助け本といえば、
『データ利活用とプライバシー・個人情報保護 最新の実務問題に対する解決事例108 第2版』
総務省にご出向経験のある渡邊涼介弁護士の関連書籍3冊目。実務に使いやすいと感じるのは3点、いつもお世話になっております!!
⚫︎個人情報保護法の場面に着目した整理
⚫︎個別事例が豊富(電通法の通信の秘密や利用者情報、プライバシーにも言及)
⚫︎上の2つのあてはめ形式の解説で理解しやすい
③いろいろ炎上しがちな電気通信事業法、識者は何を課題ととらえているのか?
『緊急討論!総務省にIT企業が猛反発、ネットの利用者保護はどうなる?』
電通法を初心者が理解する書籍は現時点で見つかっていないのが現状です。。
そんな中、この動画はDeepですが、何が課題か?を立体的に考えるためには、この記事とともに参考になります。
利用者情報として守るべき範囲など、論点の一部は、個人情報保護法3年見直しでも、議論となりそうです。
なお、総務省公式のコンテンツでは、以下が参考になります。
⚫︎誰に適用されるのか?
「電気通信事業参入マニュアル 追補版」とガイドブック
⚫︎外部送信とは?
外部送信規律
外部送信では、GLの公表遅れから施行後の刊行となったのが惜しまれますが、こちらの本がまとまっていました。
⚫︎特定利用者情報とは?
公式コンテンツ含め、対象事業者の指定状況含め最新状況はこの記事にまとめました
④🇨🇳中国の法令の向き合いに悩んだら、
『中国のデジタル戦略と法-中国情報法の現在地とデジタル社会のゆくえ』
中国個人情報保護法(PIPL)の越境移転標準契約の今年11月30日期限の対応を行う中で悩んだのは、法令の条文だけを表面的な理解ではダメなのではないか?ということ。
中国の国策的なデジタル化は、2019年にアフターデジタルで紹介されたように、日本よりずっと進んでいます。また、データに関しては重要データやサイバーセキュリティなどでの法制化も先に進んでいる。中国当局の意図、目指している国の絵姿を把握する必要があるのでは?
そうした疑問に、中国×デジタル×法の観点で、幅広いテーマの輪講的、つまみ読みしても面白い、中国の野望の大きさを実感する本でした!
💥リスク・ガバナンス系
⑤ビジネスを前に進めるリスクベースアプローチ
『攻めの法務 成長を叶える リーガルリスクマネジメントの教科書』
複数の海外の個人情報保護法対応について、日本法並みの対応が難しい場合、どこまで対応すべきか?何を判断基準にすべきか?悩んでいた時に手に取った本。
実例からリスクのとらえ方、評価の仕方が多様なことに驚くと共に、1人で正解を導こうとするのではなく、リスク評価を意思決定のコミュニケーションツールとして使えばいいんだ!と気づいたら、楽しくなってきました♪
漫画、解説、チェックシートのひな形、と親しみやすさ、実務への適用をとてもよく考えて作っておられる本。
⑥子会社への向き合い方に悩んだら、
『実行的子会社管理のすべて』
自社に加え、グループ会社の実態確認や相談を受けることになり、出資比率や支配状況、自立性、海外など各社の状況がさまざまな中で、どういう会社ににどういうスタンスで向き合うべきか悩んだ時にヒントをいただいた本。
個人情報保護観点の記載はあまりないのですが、
コーポレートガバナンス、内部統制視点でMUSTでやるべきことと、オプションでよいことの考え方の整理に役立ちました。
⑦サイバーセキュリティのもやもや〜技術的過ぎず、完璧過ぎず、実効性がある対策とは?
『サイバーセキュリティの教科書』
最近、Xで評判がよく、読みかけてる本。
サイバー攻撃が激しくなる中で、日頃、全てに完璧を求めると病む人が出そう…と思うことも。
冒頭から、サイバーセキュリティ戦略の3つの概念は適切さ、バランスの良さ、持続可能性と!
で、ですよね!!
読み進めるのが楽しみです☆
⑧世の中の情報漏えいを無くすために、法は役に立っているのか?
『データセキュリティ法の迷走: 情報漏洩はなぜなくならないのか?』
各国の個人情報保護法の多くには、情報漏えい時の当局報告や、本人への通知がある。
一方、それは、事後の連絡であって、多少の2次被害は防げるかもしれないものの、根本的に情報漏えいをなくすことに役立っていない。そもそも、情報漏えいをなくすためには、もっと多くの当事者に義務を負わせるべきだという、本質的な主張を多くの事例とともに展開する意欲作。
個人情報保護法の3年見直しにも、情報漏えいへの実効的な対策が論点にあがっています。
また、この本の監訳者の小向太郎氏は、前回の3年見直しの中間とりまとめ後、有識者意見を述べておられます。
いきなりドラスティックな法改正は難しいかもですが、ぜひこの本の主張ふまえ、実効的な対策視点での規範に向けて、ソロブ&ハーツォグ氏が描くあるべきグランドデザインを個情委に届けていただきたいなぁと思いました。
✏️共通スキル・キャリア関係
⑨幅広い仕事を知り、自分の現在地と未来を点検
『キャリアデザインのための企業法務入門』
後半の契約関係や紛争等にはあまり実務で担当しないものの、
1章の企業法務とは〜リスク管理の視点から、は、個社の規模や特性を超えて普遍的にコーポレート部門の機能に求められるリスク管理が、平易かつ簡潔にまとまっていて、勉強になりました!
⑩わかりやすさってなんだろう?
『具体と抽象—世界が変わって見える知性のしくみ』
難しい話をしている訳ではないのに会話が通じない… 噛み合わない…と思う場合の多くは、相談者とアドバイス者の目線が合っていない時と感じていました。
相談はたいてい具体で、法やフレームワークは抽象。相談された具体を抽象に変換し、当てはめ、具体で答える。抽象に変換して足りない具体を聞き出す。
この本を読んでから、相手のタイプ(抽象で伝わるタイプか、具体派か)を意識して、応答する回答の具体度を調整するようになりました。
こちらはAudible化もされており、大そうじしながら聴き流すのにオススメ🌟⭐️
おまけ①
相談者は相談したいことがわかっていない可能性がある
IT業界のSEやコンサルの間で古典的な本。
読みにくい面もありますが、相談者や要件を出す人は、実は相談事や要件が完璧にわかっているわけではない。その前提に立つと、アドバイスする前にやるべきことは、本当の問いを聴き出す、整理することなのですよね…
おまけ②
迷った時は、経営理論の本質に帰る
目先の仕事で嫌なことがあったり、元気なくした時に読み返したり、聴き返す本。audibleあり。
分厚いですが、輪講的につまみ食いしやすい構成。ビジネスでの普遍的な理論が網羅されており、真理を見つめ直すと勇気がでてくるように感じます。
「迷った時ほど、遠くを見よ」ですね💫
年末年始
振り返り、志を新たにする季節。
みなさんの読みたい本はありましたか?
年始の静かな時間に改めて読み返し、落ち着いて考えたい気持ちが高まってきました😄
すこしはやいですが
🎄Merry X'mas & 🎍Have a Happy New Year!
裏 法務系 Advent Calendar 2023、次はぼっち法務(Shun Yamashita)_Hubbleさんです!
おまけ:今日のDall-E 3