JILISセミナーに参加したときのメモ

f:id:kanegoonta:20190914014601j:plain

シンポジウムの様子

台風後の交通機関の混乱の中、８割以上の席が埋まる盛況ぶり。それだけ関心が高いテーマであることがわかります。

ちなみに、私服が多くてとてもとても安心した。

本セミナーでは、個人情報保護法から経済法（独禁法）や労働法（職安法）に至るような広いテーマが議論されました。

もうすでに本セミナーに関する各種報道やブログが多くでているので詳細はそちらを参照してもらえばと思いますが、ここでは印象に残ったことを少しだけメモ。

個人情報保護法からの観点としては、以下画像のように「課題とそれに対する解決提案」がなされました。

f:id:kanegoonta:20190914014639j:plain

以下、いくつか興味深かった点をピックアップ。

この「課題とそれに対する解決提案」の中では、まず「利用目的をどこまで具体的に書いたら適法なのかはっきりしない」という課題を指摘したうえで、データが流通点々とする中で「データによる人の選別」によって本人に不利益が起こることをしっかり利用目的として特定すべきといった趣旨の説明がされていました。

この「データによる人の選別」にはいわゆる「プロファイリング」も含みます。

f:id:kanegoonta:20190914014941j:plain

「容易照合性の解釈があいまい」という点も指摘されていました。

「ハッシュ化しておけば個人情報じゃなくなる」という誤解はいまだにありますし（個人的にも経験あり）、「１レコードに紐付いていればどんな情報でも個人データ（たとえYes or Noの情報でも）」というのも理解されにくいところです。

また、「個人データから一部を切り取った（氏名や住所を削除した）データを作成しても、そのデータは引き続き個人データである」というのも理解できていない人も多くいるところだと思います。

今回は、以下のような提案がなされました。

f:id:kanegoonta:20190914015123j:plain

個人情報の利用目的をプラポリの１つにまとめて記載するのではなく、サービスごとに分けて記載する方向への提案もなされました。

f:id:kanegoonta:20190914015450j:plain

今回のセミナーの中でも板倉先生から指摘があったのですが、

委託元にControllerとしてのスキルがない
一方、委託先（Processor側）には他の委託元からの業務も請け負うのでスキルがたまる。でも委託先は「金を貰う側」なので委託元に「ああしろ、こうしろ」は言いにくい

という構図は個人的にも日々感じるところです。

ただ、どちらかというと、最近（GDPR施行以降）は委託元から（委託元自身がスキルがないことを理解しているので）委託先に相談が飛んでくることが増えてきているように感じます。

そういえばこの類の議論、以前大井先生としていて、「Youコンサルしちゃいなよ！」という結論にいたりました。苦笑

プロセッサーが、コントローラーからのGDPR コンサルティングを求められるケースはよく発生しますね。ホントは、コントローラーの責任のはずですが、多くの案件を抱えているプロセッサーに知見がたまるので。
— 大井哲也弁護士 (@tetsuyaoi2tmi) July 19, 2018

私なんぞは、SIerさん、ベンダさんのクライアント様に対して、いっそのこと予算と人を付けてコンサルで事業化しましょうよ、必要あれば、私がバックで控えますので、と言ってしまいます。
— 大井哲也弁護士 (@tetsuyaoi2tmi) July 19, 2018

実際にコンサル事業化したという話もいくつか聞いたことあるので、コンサル費用を頂く方向で委託元と関係性を作っていくのも今後の一つの方向性なのかもしれませんね。

最後に以下、セミナーで発せられたパワーワードをいくつか残しておきます。

この中でも

「人事・総務は普段から法務に相談しない」

これ聞いて「あー、たしかにそうかもしれない」って思ったんですよね。改めて人事・総務に特化した研修も考えた方がいいのかもと思いました。

「リクナビ事件は他人事ではなく、次炎上するのは自社かもしれない」と考えて、この事件から学べることをしっかり自社のデータ管理に生かしていくことが大事だと改めて思いました。

また、この事件を踏まえて個人情報保護法がどう改正されるのかも注目ですね。