会員制サイトの運用開始となぜプライバシーか

テクニカ・ゼン株式会社ではデータプライバシー会員制サイトを新たに開始しました。
ブログはこの一月ほど更新ができていませんでしたが、会員制サイトの準備に時間をとられていたことが一つの理由です。申し訳ありません。

今後は会員制のサイトにより大切な情報を掲載していく予定ですので、データ・プライバシーに関わる方にはぜひご登録していただければと思います。
こちらのブログは私の個人的な考えや見解を発信する場所へとシフトしていくこととなります。

データ・プライバシーはデータ・セキュリティと混同されることが多いのですが、セキュリティは情報の問題でしかありません。
データ・セキュリティ対応をしておけばデータ・プライバシーが可能であるというのは残念ながら正しくありません。

データ・プライバシーは人の生活に密接に影響するものであり、社会に対するインパクトがまったく異なります。自然、アプローチも「情報を護る」という観点から「人を護る」という観点に変わります。目指すものが異なるので、優先順位も当然異なります。ロジックではなく、エシックスで判断を行う場面が生じます。

エシックスで判断を行うためには、社会としての正義が問われます。社会として何をよしとするのか、何を禁じるのかが問われるのです。
データ・プライバシーは、私たちがどういう社会に生きたいのか、という問いかけにつながります。そして、私たちは主体的に自分たちの生きたい社会を宣言しなければなりません。そうでなければご都合主義の政治家と旧態依然とした保守的権力機構によって一部の集団に恩恵がもたらされるような決定が行われることとなるでしょう。

今、世界中で行われている法改正の根底には、社会の変革に対する各国の回答という側面があります。GDPRとよく似た動きが見られますが、やはり国ごとで大きく姿勢が異なり興味深いものがあります。会員制サイトでは、そういったムーブメントに従った情報の提供を行います。

もちろん、実務の上で役に立つ情報も必要であり、プライバシー・マネジメントを実装するためのチェックリストや各種テンプレートの提供も行っていきます。
議論も重要ですが、それ以上に行動すること、実装することのほうが重要です。思考はあくまで行動の裏づけがあって真実味を持つからです。

かつて、ビジネスは利便性の追求の結果、環境対策の必要性を指摘されながらも合理性を追求し、環境問題を引き起こしています。
データについても同様で、ビジネスが既に動いてしまって、大量のデータ侵害が発生する状況になってようやく法整備が進み始めています。

環境問題が引き起こされた時代、私たちはどのような世界に済みたいかについての議論が十分にできていなかったのかもしれません。データについて同じことは繰り返してはなりません。データ・プライバシーについての情報を発信する中でどういうルールが私たちに必要なのかについての考察も忘れてはなりません。

日本ではコンプライアンスというのがまるで面倒な校則のように扱われています。
権威ある「誰か」が決めたことを、本当は何の役にも立たないと直感的に理解しながら規則のための規則をまもるために効率を落とし、みなで足を引っ張り合っている。
データ・プライバシーに限らずいたるところでそんなことが起きています。

実際私たちのところへくるコンサルティングの相談も「必要最低限で」という修飾語がついて依頼が来ることが普通です。

コンプライアンスというのは「無駄」なことをするためのものではありません。
必要なことを達成するために、運用可能なルール作りを行うことです。達成したい目的をもっとも合理的に達成し、無駄を省くことこそがコンプライアンス活動の目的です。

日本におけるコンプライアンスへの姿勢を変えていかなければならないときになっています。

その最初の一歩は「なぜ」やるのかを考えることです。
思考停止せず、「なぜ」そうするのかを常に問い続けなければなりません。
快適なことではないでしょう。しかし、複雑な時代に生きるものの義務として、私たちはその責任を果たさなければなりません。

【相当な注意の欠如】ウェブサイトへのセキュリティ対策欠如

情報セキュリティ:組織的手法について、外注業者の活用について、執行命令の事例
準拠法:Act 78-17 of 6 January 1978 on Data Processing, Data Files and Individual Liberties (includes amendments for GDPR) – France

CNILがAlliance Francaise Paris Ile-de France(アリアンス・フランセーズ財団 パリ・イル=ド=フランス校)に30,000ユーロ(約400万円)の制裁金を課しました。
ウェブサイト上の学生に対して権限のない者がアクセスできる状態となっており、適切なセキュリティ対策を採っていなかったためです。
(表示されていたURLのIDを変更することで学生の個人データをダウンロード可能となっていた)

ウェブ制作会社が勤勉に対処したことを評価したものの、アクセス可能となったドキュメント数が413,144件に昇ったことから今回の制裁金金額を決定しました。