個人情報データ取り扱いの勘所を念能力風に書いてみた
プロダクトマネージャーの職務範囲は広く、「データの取り扱い」についてなにかの意思決定を迫られることもあろうと思います。
私はこれまで幸か不幸か、ここに携わることが多かったので…どういうところにどんな勘所があるのか、記憶の限り書いていこうと思います。
なお、このあたりは法律に絡むセンシティブなところです。経験談からの勘所はそれはそれとして、実際の判断は各社の法務部と相談することを忘れないでください。
個人情報データの取り扱い
「取得」「保持」「利用」「破棄」「譲渡」「請求」の6つに分けて書いていきます。(それぞれ少しずつ逸脱していますが)
…と書いたところで
「6つ」「逸脱する=少しずつ隣の領域に」ってのはまさに念能力…!と思ったので、無理やり念能力に置き換えて説明してみます(笑)
取得
個人情報データを取得する能力。
きちんとプライバシーポリシーに書いた上で取得しよう、という話。
ただ、SaaS/B2Bプロダクトでは「誰が保有する個人情報なのか(データオーナーはだれか)」というのをきちんと把握しておこう。
自社の持ち物なのか、利用企業の持ち物なのかによって、プラポリの主語が変わったり、利用/譲渡/請求のときでもだいぶ扱いが変わる。
(B2Cプロダクトでも「利用者数の獲得に課題 → B2B2Cを模索」がよくあるので油断しないように…)
「共同利用」の形をとっているプロダクトも多いですが、共同利用と第三者提供は僅差なので、そのあたりも法務とよく相談しておこう。
保持
個人情報データを安全に管理する能力。データガバナンス。
取得したらきちんと保持をしましょう。
「このようにせよ」という明確な基準がないため、会社によって手法を考える必要がある。
基本的には「データの所在がどこにあるか整理されている」「社内全員ではなく必要な人しか持ち出せない」という状態を目指せば大丈夫だと思う。
データガバナンスにはなかなか企業として投資しにくい部分かと思うが、某社では情報流出の際 一人あたり500円を支払う特別損失を出した。=50万人の流出で2億5000万円のリスク、だと考えると投資したくなるかもしれない。
私が携わっていた某大企業では、協力会社社員の出入りが激しかったため、かなり厳しいルールを敷いていた。
個人情報を扱うシステムの利用/開発にはルールがあり、CSIRTチームが厳しく管理。アクセスには専用の手法が必要となる上、持ち出しには必ず承認が…という「たとえ誰が悪意を持っていても一人では大量漏洩ができない」という仕組みを作っていた。
利用
個人情報データを利用する能力。
どのような約束(プラポリ)で取得した情報なのか?に大きく依存する。
ただ、利用者はプラポリなぞ見ない。GDPRなどの話もあり、最近は「わかりやすく伝える」「どの情報は渡してどの情報は渡さない、という指定ができる」という方針に向かっている。
この管理のためにCMP (Consent Management Platform) というものも出だしている。よく下から出てくる「Cookieを使いますよいいですか」というやつだが、高級なものはきちんと利用目的ごとにオプトイン/アウトできたりする。
私がメインで携わっていた数年前は海外製のものばかりだったが、先程調べたところ日本製のものもでている模様。(下記はさっき調べただけのものなので良さはよく知らないです)
破棄
保持している個人情報を破棄する能力。
退会や削除請求などがあったら破棄しなければならないのだが… システム上、データを物理削除するとどこかが壊れたりする、という厄介さがある。
某社の法務見解では「匿名加工して匿名パーソナルデータ化すればOK」としていたが、各社の法務に相談のこと。
また当然、破棄するには、どこにデータがあるのかを把握している必要がある。DBのバックアップ…は定期的に消えるとしても、どこかにETLする仕組みがあったりすると大変になってくる。(こういう面から考えても、個人情報データは1箇所にまとめたほうが良い)
譲渡
個人情報を第三者に渡す能力。
渡しますよ、ということを明示的に伝えている必要がある。
「データ売り」のビジネスをしない限り、企業としては「業務委託」「共同利用」を使って回避したがるところかと思う。「第三者提供」「業務委託」「共同利用」は、解釈次第、紙一重な感覚があるので良く確認しておこう。
私が明確に「譲渡」に触れたのは「資金調達の条件として、データを提供する必要がある」と言われたタイミング。
請求
エンドユーザー側が持つ、企業に対して個人情報の開示請求/削除請求をする能力。ここに興味のある企業はそういないであろう、レア系統。
以前大企業のお手伝いをしていたときでも、年間件数は片手で数えられるほど。携わったことがない人がほとんどだと思うので、どのような勘所があるのかを羅列していく。
書面だと住所しか証明できない
請求は書面で来るのだが、請求者の個人証明というのが難しい。いろいろ書類を取得するのだが「住所、氏名」の証明にしかならず、メールアドレスの証明ができない。
ITプロダクトの場合、住所情報を入力させないものも多い。そういう場合には「請求されても何もできない」となる可能性がある。
最初の請求に限らず、手続きの道中は郵送が多い。個人の証明の確認をしたり、実際のデータを印刷して送ったり。4月からは請求者が望めばデジタルで送ることもできるらしい。
採用データや営業データも対象になる
請求の内容にどう書かれているかにもよるが、「すべてくれ」の場合、プロダクトのDBだけでなく採用データや営業データも対象となる。いざ請求が来たらPdMに白羽の矢が立つだろうが、他のチームも他人事ではないのだ…
その人が採用に応募していないか?過去に営業した人ではないか?
他社のSaaSなどを利用している場合、「そのSaaSシステムのexport機能で出せるもの」を保有しているデータとして扱うことになる。
出すデータについて
請求が来た時、DBはその意味まで伝える必要はない。例えば下記のような意味不明な状況で良いことになっている。(0.5って何やねん!という気分になると思うが…。なお、教えてはいけないという意味ではない)
あなたの情報が見つかりました!送ります!
kamyu@hogehoge.com 1 2 true 0.5 3 1 0 0 0 1 5 false ありがとう
また、行動ログのように、「あなたの情報がほとんどなんだろうけど もしかしたら別の人の情報なのかもしれない」という性質のものについては、どのように扱うのか考える必要がある。
たとえば某社では「開示請求の場合:あなたじゃないかもしれないから開示しない」「削除請求の場合:あなたかもしれないから消す」を基本としていた。
さいごに
あまり念に絡めることができませんでした。
よく考えたら、この能力って どこかに強ければいいってわけじゃなく、全部それなりに持っていないといけないな…。
「絶対時間(エンペラータイム)」を頑張って取得しましょう
重ねてお願いですが、各社の法務判断を忘れずに。
ではでは。