◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

～EU-US DPFとデータの問題～

 

この原稿はシンガポールに向かう飛行機で書いています。

毎年7月にはIAPPのシンガポールでアジアプライバシーフォーラムが開催されます。

アジア各国のプライバシーの専門家が集まりネットワーキングを行うことができるイベントです。

コロナで中断していたのが昨年から再開されました。

今年は日本から参加される方も多いようです。

 

今年の話題は何といってもAIです。

AI技術は、そのスピードと影響力の大きさゆえに多くの関心を集めています。

何らかの対処が必要ということでは意見が一致していますが、”how”がまだまだはっきりしないという状況です。

今回、どのようなアップデートがあるのか注目したいところです。

IAPPはAIについてわざわざ新たな認証を作り、この秋からトレーニングとテストを実施するそうです。

 

もう一つ、データの越境移転の話題が再度持ちあがるでしょう。

7月上旬、EU-U.S. Data Privacy Framework(EU-U.S.-DPF)が欧州委員会から十分性認定を受け、

EU-U.S. Privacy Shieldの後継としてEU-U.S.間のデータ流通の基礎となったためです。

 

EU-U.S. DPFはアメリカ、カナダで主に採用されているFair Information Practicesの原則をベースとしたデータ保護のフレームワークです。

EU-U.S. Privacy Shield との違いは、Data Privacy Frameworkでは個人からの苦情に対応するための体制が新たに整備され、

個人に対する救済措置が強化されたことにあります。

これによってＥＵの個人は自国のDPAに対してアメリカに移転されたデータに対する苦情申し立てを行うことができるようになりました。

欧州のDPAはこの苦情をアメリカに伝え、アメリカが調査を開始するという仕組みです。

この仕組みのおかげで欧州の個人は自分のデータに対する苦情申し立てが格段にしやすくなりました。

EU圏という大きな経済領域のもつ力がなした政治的な努力の結果のようにも見えます。

 

データの議論では、こうした政治的な影響が目につきます。

そのため、ロジックだけでは説明しきれない現象が発生します。

たとえば、欧州から十分性認定を受けた韓国を日本がまだホワイトリスト国に掲載していないことなどもその一例でしょう。

世界のデータ流通を促進するというDFFTでも世界第2の経済大国である中国をはじめとする共産圏が枠組みから外れています。

ビジネス上の観点からいえば、なんとも不思議な状況です。

しかし、ルールを決めている国々の事情もあるため、私たち民間のプレーヤーは、そういうものだと受け入れるしかないというのも実情です。

 

こういった状況では、やはり良質かつ新鮮な情報をコンスタントに集めていることが大切な気がします。

出来事にはニュースや文字として発表されない目に見えない文脈があります。

これを把握していると、混とんとした状況であっても道筋をある程度見出すことができます。

IAPPの国際カンファレンスのような場でネットワーキングを行うことが大切なのは、新鮮な情報を交換することができる相手を世界各国に持てるからです。

データの時代といっても、一番大切な情報はまだ、対面でのやり取りの中で得られるように感じます。

 

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週１回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

 

～京都大学サマーキャンプの報告～

7月4日から7月7日にかけ、京都大学大学院法学研究科附属法政策共同研究センター(Center for Interdisciplinary Studies of Law and Policy, CISLP)が開催した

Summer Camp on Governance Innovationに参加してきました。

アランチューリングインスティテュートや欧州議会のシンクタンクであるEuropean Policy Study (CEPS)、ニューヨーク州立大学、スタンフォード大学、経産省と、

AI政策の先端をリードする研究者が講義を行い、ワークショップを通じて理解を深めるという非常に贅沢なサマーキャンプでした。

参加者も、OECDのAI担当者や有名なテック企業の公共政策担当者、官公庁出身の方、シンクタンク、大手会計事務所のパートナー等、

この分野の先端で仕事をする方で、英語で活発に議論が交わされる熱気のある時間を過ごすことができました。

多くの専門家に知ってもらいたい話が数多くあったのですが、スペースの都合上、今回は全体を通じて考えたを書くことにします。

 

今回のサマーキャンプを主催している京都大学のCISLPは先端技術に関わる政策研究センターです。

理論のみならず実務への還元にも重きを置いており、サマーキャンプを企画された羽深宏樹先生は経産省の報告書を執筆しています。

ここで取り上げられているアジャイルガバナンスというコンセプトは、G7のデジタル技術大臣会合が出した声明で承認(acknowledge)されています。

 

アジャイルガバナンスとは、急速に進展が進む技術を適切に管理するために動的かつ柔軟に変化に対応するためのアプローチをいいます。

その実現のためには、従来の「官から民へ統制を行う」というスタイルから「官と民が同じ土俵で協同しながら統制を推進する」というスタイルへの変更が模索されます。

経産省が出している「Society5.0の実現に向けた法とアーキテクチャのリ・デザイン」を紐解くと、

「ルールベースの法規制からゴールベースの法規制」という言葉や、

企業に「被規制社からルールの共同設計・実施者へ」と変化することを期待するといった言葉が並んでいます。

言葉面を追うと、いわゆるDAO(Decentralized Autonomous Organization)を志向しているようにも見えます。

ただ、想定しているのはそれほどラディカルなものでもなさそうです。

政府の存在意義は留保するので、当然と言えば当然です。

 

日本政府は、ここ数年アジャイルガバナンスの概念をプロモーションしており、G7の宣言に差し入れることに成功しました。

カタカナ語の「アジャイル」という言葉から新しい取り組みのような印象を受けるものの、ポイントは「社会の変化に柔軟、かつ動的に対応する」ことなので、

他のG7加盟国としては異論をはさむ必要もなかったということのような気もします。

経産省の担当官が行った講義ではアジャイルガバナンスという言葉に対してG7加盟国の専門家が的外れな指摘をしたエピソードが紹介されていました。

そのような状況から推測すると「アジャイル」なアプローチの方法論については(今回の議論を聞く限り)G7でも一枚岩というわけではなさそうです。

 

個人的にはそもそもこれまで政府が担ってきた役割を民間に降ろしていくことを民間企業がどうとらえるかという点に興味があります。

政府がイメージしている姿の一つは自動車業界の在り方でしょう。

自動車業界は自主ルールが整備され、厳しく運営されています。(高圧ガスを扱う規制も同様です。)

その一方で、最近は品質不正問題が取りざたされるように、制度疲労も観察されるようです。

長くなるのであまり詳しく話せませんが、品質不良が発生したときの是正は、AIと自動車では異なることは認識しておく必要があります。

モノへの影響に限定される自動車と人の「思考」に影響を与える可能性のあるAIとでは影響の質は全く異なるため同じ土俵で議論すべきではありません。

さらに、「官民が協力してことを進める」というのは口で言うほど簡単ではありません。

「官」の数は有限ですが、「民」の数は「官」の数よりもはるかに多いはずです。

ステークホルダが増えるほど意思決定は難しくなるため、合理化のために大企業数社と政府とがルールを決定するということに落ち着いてしまう可能性はないでしょうか。

少数の意思決定者が支配する世界は強引な意思決定を可能とするため、社会的不平等を招きやすいと思います。

いろいろと書きましたが、G7を経て、日本では今後ますます「アジャイル」なアプローチという声を聞くようになるでしょう。

 

「変化に柔軟に、かつ動的に対応する」という基本姿勢を外さないように行動するというのを当面の指針としつつ、

不合理な意思決定を許容しない監視を強化する必要性があるように思います。

不合理かどうかを判断するには「正しさ」の軸が必要です。

「正しさ」とは価値判断から生じますので、これからの社会は、最終的には社会として是とすること(社会善)に対する確かな価値観が求められるのだと思います。

価値観には西洋思想も東洋思想も関係ありません。

私たちが現時点で何を「幸福」とみなすかが焦点となります。

在りたい姿は何か、それを真摯に対話し続ける誠実さが必要ではないでしょうか。

 

↓↓当日の様子はこちら↓↓

https://www.facebook.com/photo?fbid=734050465394103&set=pcb.734052238727259

 

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週１回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

 

～IAPPの資格について～

 

日本のプライバシーの専門家の数も少しずつ増えてきました。

先日Future of Privacy Forumが日本で行ったシンポジウムも満員だったそうです。

今年はプライバシーマネジメントソフトの導入を検討されている企業も多く、1つのマイルストーンなのかなと思っています。

以前、ここの記事でも書きましたが、ガバナンスを導入するためには人の育成が重要です。

ガバナンスが効いていない状態でツールを入れると混乱が加速するだけなのであまり勧められません。

人の育成には、トレーニングが欠かせません。

 

今年はIAPPの資格についての問い合わせをよくいただきます。

IAPPとは何か？

資格があれば何かいいことがあるのか？

当社でトレーニングを受けなければならないのか？

と、質問の内容は様々です。

そこで、今回の記事ではIAPPの資格について書いておこうと思います。

 

▼IAPPとは

全世界で８万超の会員を擁する、世界で最も大きなプライバシーの専門家のコミュニティを擁するNPOです。

https://iapp.org/ のサイトを運営し、ニュースやリソースの提供、トレーニング、国際会議、ネットワーキングの開催、資格の運営、

といった様々な活動を通じてプライバシーの専門家が最新の情報を得る支援を行っています。

 

▼IAPPの資格について

IAPPの資格は個人認証であり、個人の知識レベルを測定して認証を付与します。

資格の種類としては、

・CIPP( E / US / C / A )という法律の理解を認証するもの

・CIPMというプライバシープログラムマネジメントの理解を認証するもの

・CIPTというプライバシーとテクノロジーの交わる領域についての知識を認証するもの

これら3種類があります。

国外に出れば、プライバシーをやっている人はたいていこの資格を有しています。

国際的にプライバシーの仕事をしていきたいと考えているのであれば取得しておくことを強く推奨します。

 

▼どの資格を取得するべきか

取得を検討する人のニーズに基づいて決めるのが良いでしょう。

プライバシー法について学びなおし、知識を確実にしたいのであればCIPP( E / US / C / A )を取得するとよいでしょう。

プライバシーガバナンスについて学びたいのであればCIPMを取得するとよいでしょう。

PETsと言われる技術領域について関心がある場合はCIPTを取得するとよいでしょう。

そもそもプライバシーについての知識がないのであればCIPP( E / US / C / A )から始めればよいと思います。

ただし、CIPP/AはIAPPが開発したプログラムではないので、IAPPのトレーニングプログラムには含まれていません。

 

▼IAPPトレーニングを受講すべきか

当社は日本で唯一のIAPPトレーニングのオフィシャルトレーニングパートナーとして、IAPPトレーニングを日本語、英語、中国語で提供しています。

IAPPの資格の勉強方法にはIAPPのオンラインコースを利用する方法や、教科書をもとに自習する方法もあります。

オンラインコースや講師によるトレーニングを受講する良さは、基本を網羅的に習得できることです。

プライバシーでも基本が大切です。

IAPPのテキストは信頼できる専門家がとても丁寧に作っているので、ぜひIAPPのテキストは読み込んでいただきたいです。

 

当社や他のオフィシャルトレーニングパートナーの提供するトレーニングであれば、講師と直接やり取りすることができる良さがあります。

講師が実際にコンサルティングを展開している場合には、現場での実例に触れる機会もあるため、より理解が深まることでしょう。

私自身が学んだ時にはこういったトレーニングがまだ十分整備されていなかったためオンラインコースを用いて勉強しましたが、

この場合は自分からいろいろな資料を読む努力も必要だと思います。

 

IAPPトレーニングには、資格を取るまでもないけれどもプライバシーについて知っておきたいという人を対象にしたFoundationトレーニングというものもあります。

ガバナンスの導入に際しては、Foundationトレーニング（ https://technica-zen.com/foundation-training/ )が今後より重要になるのではないかと思います。

 

当社のトレーニングについての問い合わせは( info@technica-zen.com )までご一報ください。

 

↓↓当社が提供するIAPP公式トレーニングの詳細はこちら（日本語、英語、中国語対応）

https://technica-zen.com/iapp-official/

 

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週１回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

～中国標準契約への準備、SMEの必要性～

 

中国個人情報保護法で越境移転の適法化ツールとして用意されている標準契約が6月1日に発効しました。

日本の企業は少しずつ対応を開始しているようです。

標準契約を利用する企業は今年12月まで対応を完了しなければなりません。

まずはリスク評価を行い、標準契約の締結を行い、契約の発効日から10日以内に当局に届出しなければなりません。

当社でも中国に関連する問い合わせをよくいただきます。

 

中国の個人情報保護法は、基本的には欧州GDPRの考え方を踏襲しているのですが、

中国の場合は個人情報のみならずデータ全般への保護を主眼とした法規制となっているため、非個人情報であっても越境移転規制がかかることがしばしばあります。

重要情報インフラ事業者である場合はもちろん、重要データや核心データを取り扱う場合には越境移転についての規制があるので注意が必要です。

 

日本企業にとって、中国は重要な市場の一つです。

そのためか、GDPR対応と比べても現場よりの方が関心を持たれている印象があります。

企業様からの質問に答える中で気になるのは、「越境移転」がどういう概念かについて意外と理解されていないことです。

データ保護法について取り組むうえで大切な概念であり、GDPR対応の時にも多く議論が重ねられていたのですが、その経験がまだ十分組織内で浸透していないようです。

知識やノウハウの定着には時間を要するということなのでしょう。

 

知識やノウハウの定着という課題は、組織のプライバシー対応についても考慮することが必要なトピックです。

プライバシーマネジメントやプライバシーガバナンスについての情報が増えてきたため、形としてのガバナンスができている企業が増えてきました。

しかし、実際に担当の方とお話をすると、ガバナンスの実践について皆様悩まれていることが多くあります。

決めたルールをどう生きたルールとして組織に根付かせるのかに苦労されているのです。

 

先日、オーストリア発のプライバシーソフトウェアについてトレーニングを受けたのですが、このソフトウェアは面白いものでした。

単にデータマッピングを行うことやベンダーリスクを評価するだけではなく、一連のオペレーションがつながりをもつように設計されているのです。

データ保護の専門家にとっては、当然行うべき検討を自然に行うことができるため非常によく考えられているという印象を抱かせるソフトでした。

裏を返すと、このソフトを有機的に使いこなすためにはデータ保護の専門家、もしくはそれに類する能力を持った人の存在が必要ということだと思います。

 

外国企業と仕事をすると、SME(Subject Matter Expert)という言葉が現れることがあります。

あるトピックについて精通している専門家を指し、何らかのプロジェクトを行うときには必ず招聘されます。

私はSMEを仕事に参画させるのは、「知識やノウハウの定着」には時間がかかるということを理解しているからではないかと思います。

その時間を補う者として、SMEがいて、当社のようなコンサルティング会社があるのだと思います。

 

組織が成熟するには、人が何かを習熟する以上に長い時間を要します。

知識やノウハウの定着という課題は時間を要する活動です。

成熟した状態に至るまでは、SMEを活用して正しい方向付けと活動を堅実に行う、というのが良いようです。

 

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週１回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

～AI時代の仕事について～

 

Chat GPTを使ったことがある人は多いと思います。

全世界で100万ユーザーを獲得するのにわずか5日しか要しなかったこのツールは、”Game Changer”と呼ぶのにふさわしい働きをします。

先日当社で取り組んでいたプロジェクトでためにしにChatGPTのアウトプットを見てみると、

教科書さながらのガイダンスがでてきて、感想は「すごい！」の一言でした。

別の友人は、新聞記事に対しての抗議の手紙をChatGPTに作成させて「ChatGPTに抱き着いて感謝したい」くらいの出来栄えだったといっていました。

 

ChatGPTはLLMモデルと呼ばれるもので、自然言語での入力に対して１つの出力を出すツールです。

やっていることは本質的には検索エンジンとそう変わらず、検索エンジンと異なる点は、モデル理論上もっとも確度の高いアウトプットを１つだけ出すという点です。

検索エンジンの場合は、Googleの検索結果でおなじみの通り、関連性の高いものから順にたくさんのアウトプットが並びます。

LLMモデルの場合は、これが一つだけになる、ということです。

 

こう考えると、AIがしていることの理解はとてもシンプルになります。

AIとは、端的に言えば、「物知り」の人があることについて質問されて「〇〇だと思う」という回答を返してくれる存在です。

会社にも「〇〇についてはXXさんに聞けば何でもわかる」という人がいると思いますが、AIがやろうとしていることはそういう人の複製をつくろうとしているということですね。

 

AIの回答は「物知り」さんと同じように、知識に基づいていますので(人の場合は「経験」も含まれる)、知識量が多ければより「確からしい」答えを出すことができます。

でも、知識量が少ない場合は、AIは「創造」しないので、かなり的外れな答えが返ってくることとなります。

AIは「考えない」ので、どんなに「おかしな」結果でもどうどうと「回答」してしまいます。

人間では「無神経」となじられることで抑制が効くことも、AIではそうなりません。(人間でもそういう人がいる、という話はここではおいておきます。)

Human-in-the-Loopと言いますが、これは、「なにやってるんだ、バカヤロウ」としかりつける(これはパワハラ？！)存在を確保するということです。

 

先週、欧州議会がAI法案の欧州議会版を圧倒的多数で可決し、その日の夜から三者協議が開始されました。

欧州でAI法成立に向けて大きな一歩が踏み出されたということです。

AIに関する法律では、世界的にAIについて法的拘束力を持つ規制を課す動きが進んでいます。（日本は法的拘束力を持たないソフトなアプローチで技術を推進しようとしています。）

少なくとも、欧州と米国ではこの動きが加速しています。

 

こういった規制が強調するのはAIリスク評価とAIガバナンスという考え方です。(当社でもこの秋からサービスとして提供します！)

個人的には、リスク評価もガバナンスも、データプライバシーの場合は企業が行うことに納得感を得られやすいと感じますが、AIのケースは未知数だと感じています。

 

さて、今回の記事の主題に戻りますが、AI時代の仕事とは、インターネットの時代の仕事とあまり変わらないような気がしています。

つまり「知識量」でごまかしがきく時代から「思考量」でしか差がつかない時代変わっていくということだと思います。

ノーベル賞の基準を見ていると「賢さ」の定義はこれまでも「思考」の精度の高さが基準だったと思いますので、本質的には人間社会は変わらないのだと思います。

ただ、「賢い振り」をして仕事をしている軽薄な人たちが恥ずかしい思いをするケースが増えるということかと思います。

 

「思考量」を図るには答えのない質問をしてみるといいでしょう。(たとえば「なぜ人を殺すことはいけないのか？」という問い。)

答えのない世界で、考え続けることが必要な時代が加速しているように感じます。(もちろん、考えなくてもできる仕事は今後も残りますが賃金は下がってしまいそうです。)

～

私はコンプライアンス活動とは何かと尋ねられると、ビジネスが加速するために必要なブレーキを提供する活動と答えることにしています。

ブレーキが壊れた車で100kmの高速で走りたい人はいないでしょう。

スピードを出すことができるのはブレーキが正しく効くからです。

高速で前進するためには減速する仕組みが不可欠です。

 

コンプライアンス活動は手間がかかります。

責任者を定め、法規制を調査し、ルールを定め、毎週会議をしながら運用を行わなければなりません。

コンプライアンス活動を正しく機能させるためには責任者となった人がそれなりに勉強をする必要があるのですが、

勉強もまた、注いだ熱意とかけた時間、関心の深さで質が変わります。

一番マズイのは我流です。

英語で”Don’t reinvent a wheel.”という通り、既にあるgood practiceを素直に活用することが大切です。

組織の持つ地図が間違っている中PDCAを高速で回すと、組織は高速で失敗に前進するだけです。

コンプライアンスの責任者は、正しい地図を持っていなければなりません。

 

コンプライアンス活動でもアウトプットが求められます。

アウトプットは測定しなければなりませんが、測定しにくい、もしくは単年度では測定すべきでないものもコンプライアンス活動には含まれます。

たとえば組織内でのアウェアネス/文化の醸成といった活動は、「空気」でしかなく、数値化して追求しても明確に捕捉することはできません。

売上を気にしなければ会社が立ち行かない新興組織にはよくあることなのですが、マネジメント層がこの点を理解していない場合、コンプライアンス活動は形骸化します。

目に見えるアウトプットが偏重されるため、フォーマリズム(形式主義)が忍び寄るからです。

 

最近新興企業のCEOが米国議会でよく口にしていますが、

「ルールがないのが悪い」とか「ルールを守っているのだからうまくいかなければルールを作った人が悪い」という声が聞こえてきたら、

コンプライアンスの本来の意図を忘れている可能性があります。

ルールは、コンプライアンスの目的を達成するためのツールでしかありません。

コンプライアンスの目的は、製品サービスが意図する結果をもたらすことを担保することです。

 

ここ数年、日本の製造業で品質検査の不正が発覚し、ニュースとなっています。

設計や製造の現場では数多くのチェックシートが運用されています。

業種によっては、チェックシートの記録が多くて設計の仕事をしているのか報告書を作成しているのかわからなくなるケースもあります。

多くの場合、チェックシートの種類や項目が増えることはあっても減ることは稀です。

当然職員の仕事は増えるため、チェックシートは本来のチェックの機能を果たせず「作業」となりがちです。

これがフォーマリズムを呼んでいます。

日本の製造業は戦後経済をけん引してきましたが、ルールが合理化できていない側面もあります。

品質不正は、複雑になりすぎた運営と短期的な成果を求めすぎた結果といってよいでしょう。

 

私は、プライバシーマネジメントでも、同様のことが起こる可能性があると思っています。

プライバシーマネジメントを適切に行うには、管理可能なスピードでプロセスを経て組織を成熟させる必要があります。

経営層のプレッシャーを受けつつも、自分たちの組織に適した形で、基本に忠実に最善の行動をとるような舵取りをすることが責任者には期待されます。

目に見えるアウトプットを求めるあまりプライバシーマネジメントにとって重要ではない活動にリソースを投下してしまった事例を散見します。

こういった行動は、長期的に組織を疲弊させるので行わないほうが良いでしょう。

 

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週１回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

～フォーマリズムに向かっていないか～

私はコンプライアンス活動とは何かと尋ねられると、ビジネスが加速するために必要なブレーキを提供する活動と答えることにしています。

ブレーキが壊れた車で100kmの高速で走りたい人はいないでしょう。

スピードを出すことができるのはブレーキが正しく効くからです。

高速で前進するためには減速する仕組みが不可欠です。

 

コンプライアンス活動は手間がかかります。

責任者を定め、法規制を調査し、ルールを定め、毎週会議をしながら運用を行わなければなりません。

コンプライアンス活動を正しく機能させるためには責任者となった人がそれなりに勉強をする必要があるのですが、

勉強もまた、注いだ熱意とかけた時間、関心の深さで質が変わります。

一番マズイのは我流です。

英語で”Don’t reinvent a wheel.”という通り、既にあるgood practiceを素直に活用することが大切です。

組織の持つ地図が間違っている中PDCAを高速で回すと、組織は高速で失敗に前進するだけです。

コンプライアンスの責任者は、正しい地図を持っていなければなりません。

 

コンプライアンス活動でもアウトプットが求められます。

アウトプットは測定しなければなりませんが、測定しにくい、もしくは単年度では測定すべきでないものもコンプライアンス活動には含まれます。

たとえば組織内でのアウェアネス/文化の醸成といった活動は、「空気」でしかなく、数値化して追求しても明確に捕捉することはできません。

売上を気にしなければ会社が立ち行かない新興組織にはよくあることなのですが、マネジメント層がこの点を理解していない場合、コンプライアンス活動は形骸化します。

目に見えるアウトプットが偏重されるため、フォーマリズム(形式主義)が忍び寄るからです。

 

最近新興企業のCEOが米国議会でよく口にしていますが、

「ルールがないのが悪い」とか「ルールを守っているのだからうまくいかなければルールを作った人が悪い」という声が聞こえてきたら、

コンプライアンスの本来の意図を忘れている可能性があります。

ルールは、コンプライアンスの目的を達成するためのツールでしかありません。

コンプライアンスの目的は、製品サービスが意図する結果をもたらすことを担保することです。

 

ここ数年、日本の製造業で品質検査の不正が発覚し、ニュースとなっています。

設計や製造の現場では数多くのチェックシートが運用されています。

業種によっては、チェックシートの記録が多くて設計の仕事をしているのか報告書を作成しているのかわからなくなるケースもあります。

多くの場合、チェックシートの種類や項目が増えることはあっても減ることは稀です。

当然職員の仕事は増えるため、チェックシートは本来のチェックの機能を果たせず「作業」となりがちです。

これがフォーマリズムを呼んでいます。

日本の製造業は戦後経済をけん引してきましたが、ルールが合理化できていない側面もあります。

品質不正は、複雑になりすぎた運営と短期的な成果を求めすぎた結果といってよいでしょう。

 

私は、プライバシーマネジメントでも、同様のことが起こる可能性があると思っています。

プライバシーマネジメントを適切に行うには、管理可能なスピードでプロセスを経て組織を成熟させる必要があります。

経営層のプレッシャーを受けつつも、自分たちの組織に適した形で、基本に忠実に最善の行動をとるような舵取りをすることが責任者には期待されます。

目に見えるアウトプットを求めるあまりプライバシーマネジメントにとって重要ではない活動にリソースを投下してしまった事例を散見します。

こういった行動は、長期的に組織を疲弊させるので行わないほうが良いでしょう。

 

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週１回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

～Appleのテクニカルフィーチャーのアップデート～

 

6月上旬、Apple社はメタバース用のデバイスを発売する発表し、話題を呼びました。

生成型AIの利用によるコーディング効率の向上とAppleというテクノロジー業界のカリスマが参入というイベントにより、

メタバース業界が本格的に拡大するか、動向を注目したいところです。

個人的にはデバイスを装着して異世界に没入するというコンセプトは、ゲーム等特別なセットアップが受けられやすい状況であれば広まる可能性があると感じています。

データプライバシーやセキュリティを含むコンプライアンス上の複雑性も増すため、導入時には事前にある程度の論点整理を行うことが必要です。

 

Apple社といえばプライバシーのリーダーというブランディングを積極的に行っていることでも有名です。

このブランディング戦略はかなり成功していて、Appleの製品であれば安心という印象が市場には広まっているような気がします。

そのApple 社がアプリで利用されているSDKについて新たに２つ新機能を導入すると発表しています。

 

▼Apple社のニュースと最新情報より

https://developer.apple.com/news/?id=av1nevon

 

一つ目は、サードパーティSDKを利用する場合、

アプリ内のサードパーティコードのプライバシー慣行を単一の標準フォーマットで概説するファイル(プライバシーマニフェスト)を作成するよう開発者に要求し、

App Storeで禁止されているフィンガープリントに使用される可能性のあるAPIを参照するアプリは、

APIの使用について許容される理由を選択しプライバシーマニフェストでその使用を宣言することが求められるようになるというものです。

 

フィンガープリンティングの技術ではIPアドレスやデバイスの種類等の情報を広告トラッキング目的にも利用しますが、

今回のマニフェストによって、「こっそり」利用することができなくなります。

FPFのCEOであるJules氏は、この変更の結果、ある種のSDKの利用がApp storeのレビューで受け入れられなくなる可能性があるといっています。

 

二つ目は、開発者がソフトウェアのサプライチェーンの整合性を向上させることを支援するためのポリシーとして、サードパーティのSDKを使用する場合、

開発者がダウンロードしたコードが期待する開発者によって書かれたものであることを確認するためにSDKの署名を導入し、

開発者が自分のアプリでサードパーティSDKの新しいバージョンを採用するとき、それが同じ開発者によって署名されたことを検証するというものです。

 

Apple社は今年後半に以下についての情報を公開するとしています。

◆プライバシーに影響を与えるSDKのリスト(ユーザーのプライバシーに特に高い影響を与えるサードパーティのSDK)

◆許可された理由を宣言する必要がある”required reason” APIのリスト

◆APIを呼び出すための新しい理由を提案するための開発者向けフィードバックフォーム

◆署名、プライバシーマニフェストの利点と詳細、およびそれらが必要とされる時期に関する追加文書

 

モバイルアプリのデータ慣行に対する透明性を高める動きは着々と進んでいます。

もちろん、これは市民にとってはよい動きです。

事業者は、データを扱う者としての自覚と責任をより求められるようになります。

 

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週１回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

本日は当社のExam preparationを受講されてCIPM認証資格に合格された方のインタビューをご紹介します。

 

▼合格者様インタビュー▼

 

１）CIPM認証資格取得を目指した理由は？

2019年よりグローバルプライバシー保護の業務に携わり、2022年に専門性を高めることを一つの目的に転職しました。業務成果以外に、実務力及び専門性の高さをグローバルの同僚にも認識してもらえる術としてCIPMを受験することにしました。

 

２）Exam preparationを受講したいとおもった理由は？

CIPMのテキストは既に購入し読み進めており、勉強内容自体が既に実務実践していることもありました。勉強自体が実務力向上に直結することを認識していましたが、試験として受験するにあたり、過去問を自分で回答した上で週1回の計4回に分けて解説をして頂けるセッション構成が自分のテスト勉強のペースづくりになることと、まだ分かっていない部分の専門性を高めるという私のニーズに役立つと思い受講を決めました。

 

３）弊社のExam preparationをどこから知りましたか？

寺川さんとの面談の中で知りました。

 

４）Exam preparationは認証資格試験に役立ちましたか？

非常に役立ちました。解釈に悩む選択肢など解説頂いたことが本番で正解を選ぶことに役立ちました。

 

５）Exam preparation受講後、認証資格試験までに行った試験対策は？

解説頂いた不正解の問題及びその解説を中心に復習することと、該当する教科書部分の読み込みをしました。

 

６）試験勉強中の疑問点等、どう解決をしましたか？

間違えた問題だけでなく正解を選んだ問題も含め、疑問点を事前にまとめておき、毎週の解説前に事前に寺川さんと疑問点を共有しました。さらに毎週の受講時に解説頂くことで疑問点が解決し、実務力の向上にも役立ったと思います。

 

７）合格までのコツはありますか？（勉強方法など）

Exam preparationの問題の傾向をつかむのに非常に役立ちました。間違えた問題を中心にテキストを確認することは必須な気がします。

 

８）英語での試験対策を何かしましたか？（過去問をこなす必要がある、専門用語は覚えておく必要がある等）

不正解した問題、特にシナリオ系のもので　単語自体の意味を取り違えることで全体の意味が取れなくなるような言葉を改めて覚え直しました。

 

９）CIPM認証資格取得によって、業務にはどのように活かせそうですか？

グローバルでの実務力と専門性の信頼性向上により、グローバルプライバシー関連での連携がよりスムーズになる気がします。

 

１０）次に目指す認証資格はありますか？目指している資格も差支えなければ教えてください。

CIPTはどの様な内容かをまずは調べたいと思っています。

 

１１）1０で目指している認証資格が「CIPP/E認証資格」「CIPT認証資格」の場合、次回弊社のトレーニングもしくはExam preparationを受講したいですか？

概要の理解を深めてから検討します。

 

１２）Exam preparationについての率直なご意見や、認証資格試験の感想等、何かあれば自由にコメントください。

大変お世話になりました。ありがとうございました。決して安い投資ではなかったですが、それでも自腹で受講した甲斐がありました。

 

ご職業：エンターテイメント企業

O様より

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週１回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

～G7と子どものオンラインセーフティ～

 

前回、G7でDFFTについての議論がされたことをお伝えしました。

G7で議論されたデジタル政策には「オンラインでの安全とプライバシーに対する子どもの権利」という言葉も入っています。

ここ数年、国外では子どものオンラインセーフティが重要な課題の一つとなっていました。

イギリスのAge appropriate designの原則に始まり、カリフォルニア州のAge appropriate design code法、シンガポールのonline safety law等、

この動きは法制化という具体的な行動にもなっています。

 

G7が終わった翌日の2023年5月22日、アメリカではFTCがEdmodo社に対し、

COPPA(子供のオンラインプライバシー法)違反で600万ドルの罰金を課す和解案を提示し、話題を呼びました。

理由の一つは、Edmodo社が調査途上の2022年9月に廃業していたこともあります。

廃業した企業を相手に罰金を課しても支払われることはありません。

FTCがそれでもなおこの罰金をEdTech企業に課した理由は、EdTech業界へのメッセージです。

FTCはそのブログで、EdTechのコンプライアンスの義務はEdTechが負うべきであり、学校や学区に負わせることができないとしています。

 

▼FTCのブログより

https://www.ftc.gov/business-guidance/blog/2023/05/oh-no-you-dont-edmodo-ftc-sues-ed-tech-company-violating-school-kids-privacy

 

FTCのブログによるとEdmodo社はプラットフォームから子どものデータを集め、オンライン広告に活用していたといいます。

これは、米国のみならず他の法域でも通常許容されないデータ処理慣行です。

 

子どものデータの取得については最近ではエージゲートを設けるだけでは不十分で、確実に規定の年齢以上であることを事業者が確認することも要求されるようになっています。

子どものユーザーが流入しやすいビジネスを営んでいる場合は、年齢確認についての情報収集を怠らないようにしてください。

 

話は変わりますが、5月21日には保護者向けのサイバーセーフティイベントを開催しました。

神戸六甲の理数学院(　http://www.nishikawajuku.com/　)の塾長である西川さんの協力の元、

塾の保護者を対象に現在のオンラインの事情と親としての向き合い方について共有してきました。

集まった保護者の方のお子さんの学年は小学生から高校生までと幅広かったのですが、とても熱心に話を聞かれていました。

 

親は今のオンラインの環境についていくことがなかなかできていない、というのが現状です。

日本でも子どもの誘拐や学校でのいじめ等、様々な問題が生じる場所となっていますので、親が積極的に学ぶことが大切です。

総務省がネットとの付き合い方についての特集ページを設立していますので皆さんもぜひ参考にしてください。

企業、地域、その他集まりでの講習もしていますので、ご関心がある方は当社までご連絡いただければ幸いです。

（お問い合わせはこちら　info@technica-zen.com　）

 

▼総務省：上手にネットと付き合おう

https://www.soumu.go.jp/use_the_internet_wisely/

 

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週１回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

～マイナンバーカードでのインシデントについて～

 

ニュースで話題になったように、マイナンバーカードでインシデントが発生しました。

https://www.ppc.go.jp/files/pdf/230510_shiryou-1.pdf

 

報告書では

「マイナンバーカードを使ってコンビニエンスストアで住民票の写し等の証明書を取得する『コンビニ交付サービス』において、横浜市の証明書について、申請者と別人の証明書が発行される事態が発生した。」

として、事件の概要を公表しています。

 

対策(まだ「案」の段階)としては

「富士通 Japan 株式会社のシステムを使用している地方公共団体での事態が頻発していること、また、同社のシステムを利用している地方公共団体は多くあることから、 多数の国民の個人情報及び特定個人情報に関わる重大事案であり、詳細な実態把握が不可欠である」

という認識を示し、

「1.横浜市に対して…報告徴収及び…に基づく資料提出の求めを、2.足立区及び川崎市に対して…資料提出の求めを、3.富士通 Japan 株式会社に対して…報告徴収を行う」

としています。

 

委託は委託元の責任で行うべき事柄で、委託先に対しても報告徴収を行いたいとしているのは少し驚きますが、

それだけ大きな問題だということの表れととらえたほうが良いのでしょうか。

また、2023年3月27日に最初のケースが発生しているのですが、

個人情報保護委員会の対応が5月10日まで対応案が公表されないという状況にも複雑な気持ちを抱かざるを得ません。

 

マイナンバー保険証でもインシデントが報告されています。

報道によると、マイナンバーカードの保険証に他人の情報が登録されていたといいます。

こちらはマイナンバーカードと健康保険を連携させる作業を行っている健康保険組合で生じたミスのようです。

https://news.yahoo.co.jp/articles/224e0c6f5aa70d5db607a60b7db487379d4dba91

 

このニュースでは関係省庁のトップに質問をしています。

その回答が、日本の行政を象徴しています。

長いですが、引用しておきます。

 

————

▼松本剛明総務大臣

医療保険を管理・運営している保険者におけるデータ登録の課題になるものかと理解しており、厚労省で対応しているものと承知をしております

 

▼河野太郎デジタル大臣

事務的な保険者の手違いが原因と認識しております。詳細は厚労省にお尋ねいただきたい

 

▼加藤勝信厚生労働大臣

（Q．マイナ保険証で他人の情報があった事案の把握は）そういった事案があったことは認識しております。

入力時において、間違った形で行われていたところが問題だから、

そうしたことが起こらないように、今、起きているやつは是正をし、それから起こらないように、これからも注意していくこと

————

 

記事では、同様の事案が発生したときに問い合わせをどのようにすればよいかを確認しています。

その回答もまた、日本の行政を象徴しています。

 

————

▼厚生労働省

（Q．被害にあわれた方の対応する窓口は）実際にそうしたことを確認された場合、マイナンバーの総合フリーダイヤルがあり、

そうしたところにお問い合わせをいただくか、あるいは自身の保険者に問い合わせいただくとか、

そうした形で問い合わせいただいて、適切に対応させていただく

 

厚労省から伝えられたフリーダイヤルは、総務省かデジタル庁につながるものでした。

 

▼デジタル庁

（Q．対応窓口はこちらになりますか）ちょっと確認の方させていただきますので、お待ちいただいてよろしいでしょうか。

お待たせしました。確認させていただいたんですけど、こちらの窓口ではございません。

対応の窓口も、わかりかねます。

ご意見は、お伺いできるんですけど、どちらの窓口でというのは、わかりかねる状況

————

 

役所の事情で仕事の分担が決まっているように見えます。

しかし、被害を受けるのは個人です。

個人情報保護は個人を中心に行うことが基本なのですが、今回のケースは、日本でこの段階に至るには道のりがまだまだ時間がかかりそうです。

 

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週１回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆