Nobody's 法務

略称は「ノバ法」。著作権や特許とかを趣味程度に勉強している企業ホーマーのまとまりのない日記。あくまで個人的な見解であり、正確性等の保証はできませんので予めご了承くださいませ。

JILISセミナーに参加したときのメモ

f:id:kanegoonta:20190914014601j:plain

シンポジウムの様子 

 

先日、「第2回JILIS情報法セミナーin 東京」:就活サイト「内定辞退予測」で揺れる“個人スコア社会”到来の法的問題を考える 〜現行法における課題と個人情報保護法改正への提言〜に参加してきました。

台風後の交通機関の混乱の中、8割以上の席が埋まる 盛況ぶり。それだけ関心が高いテーマであることがわかります。

ちなみに、私服が多くてとてもとても安心した。

 

セミナーでは、個人情報保護法から経済法(独禁法)や労働法(職安法)に至るような広いテーマが議論されました。

もうすでに本セミナーに関する各種報道やブログが多くでているので詳細はそちらを参照してもらえばと思いますが、ここでは印象に残ったことを少しだけメモ。

 

 

目次

 

1.改正法への提案

個人情報保護法からの観点としては、以下画像のように「課題とそれに対する解決提案」がなされました。

 

f:id:kanegoonta:20190914014639j:plain

以下、いくつか興味深かった点をピックアップ。 

 

1.1.「データによる人の選別」に対する意識の欠如

この「課題とそれに対する解決提案」の中では、まず「利用目的をどこまで具体的に書いたら適法なのかはっきりしない」という課題を指摘したうえで、データが流通点々とする中で「データによる人の選別」によって本人に不利益が起こることをしっかり利用目的として特定すべきといった趣旨の説明がされていました。

この「データによる人の選別」にはいわゆる「プロファイリング」も含みます。

 

f:id:kanegoonta:20190914014941j:plain

 

1.2.個人データの定義の明確化

「容易照合性の解釈があいまい」という点も指摘されていました。

「ハッシュ化しておけば個人情報じゃなくなる」という誤解はいまだにありますし(個人的にも経験あり)、「1レコードに紐付いていればどんな情報でも個人データ(たとえYes or Noの情報でも)」というのも理解されにくいところです。

また、「個人データから一部を切り取った(氏名や住所を削除した)データを作成しても、そのデータは引き続き個人データである」というのも理解できていない人も多くいるところだと思います。

 今回は、以下のような提案がなされました。

 

f:id:kanegoonta:20190914015123j:plain



 

1.3 利用目的をサービス単位へ

個人情報の利用目的をプラポリの1つにまとめて記載するのではなく、サービスごとに分けて記載する方向への提案もなされました。

f:id:kanegoonta:20190914015450j:plain



2.委託元にcontrollerとしてのスキルがない

今回のセミナーの中でも板倉先生から指摘があったのですが、

  • 委託元にControllerとしてのスキルがない
  • 一方、委託先(Processor側)には他の委託元からの業務も請け負うのでスキルがたまる。でも委託先は「金を貰う側」なので委託元に「ああしろ、こうしろ」は言いにくい

という構図は個人的にも日々感じるところです。

ただ、どちらかというと、最近(GDPR施行以降)は委託元から(委託元自身がスキルがないことを理解しているので)委託先に相談が飛んでくることが増えてきているように感じます。

そういえばこの類の議論、以前大井先生としていて、「Youコンサルしちゃいなよ!」という結論にいたりました。苦笑

 

実際にコンサル事業化したという話もいくつか聞いたことあるので、コンサル費用を頂く方向で委託元と関係性を作っていくのも今後の一つの方向性なのかもしれませんね。

 

 

3.その他パワーワード(?)

最後に以下、セミナーで発せられたパワーワードをいくつか残しておきます。

  • そもそも本人同意するわけない同意スキームを組むのは頭おかしい
  • 人事・総務は普段から法務に相談しない
  • リ●ルートは武器商人

 

 この中でも

「 人事・総務は普段から法務に相談しない」 

これ聞いて「あー、たしかにそうかもしれない」って思ったんですよね。改めて人事・総務に特化した研修も考えた方がいいのかもと思いました。

 

4.最後に

リクナビ事件は他人事ではなく、次炎上するのは自社かもしれない」と考えて、この事件から学べることをしっかり自社のデータ管理に生かしていくことが大事だと改めて思いました。

また、この事件を踏まえて個人情報保護法がどう改正されるのかも注目ですね。