アメリカの連邦法につては様々な法案が提出されていますが、11月26日に公表されたConsumer Online Privacy Rights Actが注目を集めています。CCPAに近い部分もありますが、誤認を誘導するような処理や害をもたらすような処理を禁じています。

また、一部の企業を除いてデータ保護についての責任者を任命することや、毎年リスク・アセスメントを行うように定めています。

これらはプライバシー・プログラムを導入していれば特に新たな作業が追加されるものではないかもしれませんが、注目しておく必要があるでしょう。

日本でも個人情報保護法の見直しがされていますが、欧州とアメリカの議論は日本のそれとは比較にならないほど活発です。そして、議論の中心は「消費者保護」であり、日本の「利活用」とは反対の方向です。このような時代の中「利活用」を大々的に打ち出すのは得策ではありません。

国が声を上げているのだから、企業はそれに従うのでしょうが、「消費者保護」が今の流れであることは忘れてはいけません。

私がお世話になっているNymityがTrustArcに吸収されることになりました。TrustArc Acquired Nymity

これは非常に大きな動きです。ユーザにとっては良い変化です。TrustArcの強み、Nymityの強みがあわさることでより包括的なソリューションを得られることになります。

今日久しぶりに「データ・プライバシーのコンサルティング」で検索すると、日本のコンサル会社が増えていました。そして、なぜかこのブログがトップの検索ページにのっていてとても驚きました。

データ・プライバシーのコンサルティング会社も少しずつ増えてきたようです。プライバシー対応の方法がようやく認識されつつあるということなのでしょう。そこに魂がこもっているかどうかは別にして、コンプライアンスとしての対策が定式化されることは歓迎することではないかと思います。

物事には”why”と”how”の二つが必要です。そのうち、とりつきやすいのは”how”の方です。東大、京大、慶応、早稲田といった有名大学出身の頭の回転がはやい人たちの手にかかれば、”how”の定式化はすぐにできてしまいます。”how”はブラッシュアップできるので最短距離での「勝利の方程式」がいずれ生まれます。

問題は”why”です。抽象度が高い話が続き、ちっとも現実と接点がないところでの議論が続きます。空論、虚論、理想論、ひどいときは「逃げ」と言われたりします。しかし、”why”がなければ物事には魂が籠りません。形式的な作業の繰り返しだと、目を疑うようなずさんな作業が行われます。日系の大企業、もしくは数十年の社歴がある企業ではしばしばみられる情景です。

日本では、”how”が好意的に評価されるようです。そのため、効率的に簡単に結果を得られることが好まれます。法律ができても、すぐにガイダンスを出せの大合唱となるほどです。(還元率の仕分けにいったいいくらの税金をつぎ込んだのでしょう…)

応用が利くのは”why”です。原理原則に基づいて動いているので、道が曲がっても進むべき方向がはっきりするからです。”why”は掘り下げにつながるため、新たな発想ももたらすことでしょう。

最近参加しているプロジェクトに、設計思想の根本的転換を図っているものがあります。数か月前、私の意見は「意味が分からない」と言われていましたが、最近は「言っていることはわかるが、本当にできるかな」という反応にかわってきました。そして、「考え方はじつはシンプルなんだ」という言葉がメンバーから出てきました。この活動では、「そもそもの目的は…」ということを繰り返しはなしていました。”why”を繰り返し確認することで、参加者が自発的に考え、意義を見出し、方向性を共有できた成功例だと感じました。

このプロジェクトはこれから試行段階に入ります。きっとうまくいかないことがたくさん出てくるのですが、「そもそも…」という問いかけを続けることで乗り越えられるような気がしています。

プライバシー・プログラムも同じです。なぜプライバシーを保護するのか、適切な動機付けがあれば、その組織にふさわしいプログラムが生まれます。私は、プライバシー・コンサルティングとは、組織ごとに異なったプログラムを生み出すお手伝いをすることじゃないかと考えています。だから、コンサルティング会社が入らなくても本当はできるのです。自分の服を着替えるために召使はいりません。自分で服を選んで着ればいいのですから。そのコーディネーションについて意見を求める程度のスタンスでコンサルタントとつきあってみたらいかがでしょうか？