インハウスハブ東京法律事務所の弁護士・弁理士たちの多種多様な仕事をレポート。今回は、2022/9/7に世古修平弁護士が登壇した株式会社Acompany主催のオンラインイベント「パーソナルデータ活用における課題とは？」の様子をレポートします。

「パーソナルデータ活用における課題とは？」という講演タイトル。冒頭、世古はこのタイトルの問いを参加者に投げかけました。どのような課題が具体的に思い浮かぶかは参加者の立場によって大きく異なるこの問いに対し、まず世古は「課題は事業・技術・法務の相互理解である」との結論を提示します。

データマネジメントのプロジェクトを推進する上で、事業・技術・法務全てのスキルセットを兼ね備えた人材を見つけるのは容易ではありません。そのため、プロジェクトにおいて直面する課題を解決するには異なるスキルセットを持った各部門が積極的に協業する必要がありますが、一方で「他人の専門分野に飛び込むのは怖い」という気持ちがそれぞれの部門に生まれることがありそうです。

このような状況を打破するために、「各部門が他の部門を理解する努力（自部門を理解してもらう努力）をしなければならない。それこそがプライバシーデータ活用における課題ではないか」と世古は結論を投げかけました。 この結論に基づき、事業・技術・法務それぞれの部門が持つ課題を分解し、どのような努力が必要かを紐解く形で、講演は進行しました。

一般に弁護士がセミナーで語る「課題」は往々にして法的論点の具体を突くものですが、今回世古が取り上げたのは「部門間の理解」。インハウスロイヤーとして、日々各部門とのコミュニケーションに心を砕いていることが伺える視点と感じました。

課題１：法務を理解してもらう努力（法務→事業、技術）　

まずは、法務部門が持つ課題。誤解されやすい3つの論点「個人情報の定義」「委託」「提供元基準」についての説明がされました。

「個人情報の定義」ー 誤解の多い箇所にもかかわらず、法務から事業・技術に対する説明を徹底できていない現状があると世古は指摘します。法務が個人情報の定義を間違って理解していたり、仮に正しく理解していたとしても、その前提知識がない事業・技術側と対話を徹底せず、彼らが持つ誤解を放置してしまっていたりすることがあるのではないでしょうか。

何度も同じことを説明することには躊躇もありますが、何度説明を尽くしてもよい箇所。改めて、個人情報保護法・ガイドラインの該当箇所を示しながら、どこまでが個人情報なのか、正確な個人情報の定義に関する説明がなされました。

「委託」ー 今日においては、データ分析に複数企業が関与するのが一般的になりました。このような場合、データを提供する企業から、データを分析する企業に対して個人データの提供が発生しますが、個人データの提供にあたっては、原則本人の同意が必要です。一方で、このデータ提供が個人情報保護法上の「委託」と整理できる場合は本人の同意は不要となるわけですが、この「委託」が正しく整理されていない場合が少なくないようです。

個人情報保護法上の「委託」は一般用語・契約用語の「委託」よりも多義的に用いられることを理解し、「委託」と整理すべきケースであるのかについて、事業・技術側と相互に確認し合うことが重要です。

「提供元基準」ー データ提供元（X社）とデータ提供先の企業（Y社）があり、X社における個人データの一部を切り出してY社に委託する場合、Y社に提供されたデータはY社において個人情報として取り扱うべきでしょうか。

この点については提供元基準・提供先基準それぞれの議論がありますが、この議論を知らないと安易に提供先基準を採用してしまいがちです。法務側で実務上は提供元基準が採用されることを理解しておくと同時に、実際の商流や提供するデータの詳細を把握している事業・技術に対しても、正しい理解を求める必要があります。

多くの場合、これらの3つの論点を法務自身は理解しているだろうと想像します。しかし、向き合う事業・技術に対して正確な説明が行き渡っていないために起こる、ボタンの掛け違え。

「法務は法律を理解しているだけでは不十分。事業・技術が正しく理解できるような説明をきちんとできているか」がこのパートの全編を通じた、世古から法務部門への問題提起でした。参加された法務部門の方々は、この問題提起をどのように感じられたでしょうか。

課題２：事業・技術を理解してもらう努力（技術→法務、事業→法務）

次に、事業・技術部門が持つ課題。

「法律上の要求事項の実装（技術→法務）」ー 法律上の要求事項をプロダクト/サービスに実装するためには、技術部門の協力が必要不可欠です。しかし、法律上の要求事項を理解しながら、それを具体的に技術用語に落とし込む難易度の高さから、技術側との会話にハードルを感じる法務は少なくありません。

世古は具体的な会話例・書籍等を示しつつ、技術部門は法務の理解度に応じたコミュニケーションに配慮が必要であること、法務部門においても、最低限の技術知識は蓄えたうえで対話に臨むことを提案しました。

「レピュテーションリスク（事業→法務）」ー 昨今の企業におけるいわゆる「炎上」事案は、たとえ法律に照らして厳密には適法と評価されるものであったとしても、報道やSNSでの拡散等で社会問題化し、結果として企業の信頼性やブランドイメージを大きく損なってしまったものが多く見られます。レピュテーションリスクは、必ずしも法的な論点のみで評価・回避できるものではないですが、ビジネスの観点から、事業部門にとっては看過できない大きなリスクとして認識すべきものです。

また、現在日本においては法的義務として課せられていないことも、今後、国外で進む議論の高まりを踏まえ、法的義務に発展する可能性があります。これらの代表例として世古は「ダークパターン」を挙げ、書籍「ザ・ダークパターン ユーザーの心や行動をあざむくデザイン」やGDPRのガイドラインを紹介しました。これからのあるべきユーザーコミュニケーションの姿を考えるために、事業部門と法務部門の連携はますます重要度を増すのではないでしょうか。

「法律だけを守ればよい」は成熟企業の姿勢ではない、と世古はいいます。単独部門では拾いきれないリスクは、事業・技術・法務が連携し、時に自らの専門分野を越境しながら、協力して拾い、課題を解決していくことが求められる。そのためには各部門における相互理解が必要で、パーソナルデータ利活用における課題であるとして、冒頭の結論を回収し、講演は終了しました。

世古の講演に続き、Acompany社佐藤礼司様より、世古がアドバイザーの1人として参画したプライパシーテックサービス「AutoPrivacy Assessment」クローズドβ版に関する紹介が行われました。サービスの詳細については、同社のプレスリリースをご確認ください。

同社は国内外のパーソナルデータ規制の動向や、注目を集めるパーソナルデータ、パーソナルデータの活用・連携の課題をまとめたホワイトペーパーも提供されており、こちらからダウンロード可能です。

最後に「実務の現場からみるプライバシーデータの活用と保護の両立とは」をテーマに、Acompany社代表取締役CEOの高橋亮祐様と世古による対談が行われました。

企業のパーソナルデータ利活用において問題になった事案に関する解説、本人同意の取得のあるべき姿（同意に代わる安全性の担保や、いわゆる「同意万能論」からの脱却について）、改正個人情報保護法の解釈、事業・技術・法務それぞれの立場から生まれる悩みへのアドバイスなど、リアルタイムで視聴者から寄せられた質問に答える形でのトークセッション。

セッションでは技術部門の視聴者からの質問が比較的多く寄せられ、その中で技術部門向けのわかりやすい個人情報保護法の入門書として「60分でわかる！改正個人情報保護法 超入門」が紹介されました。「この質問、よくいただくのですが、こういうときに自分の本を紹介できないのが恥ずかしい」と世古は言っていたので（そしてこれ、所内ではよく聞くコメントでもあり）、「事業・技術・法務の相互理解」という結論に応えうるような今後の書籍出版、ご期待いただければと思います。

今回のイベントのアーカイブ動画は、イベント参加者のほか、Acompany社の運営メディア「プライバシーテック研究所」にて、個人情報を登録いただいた方はご視聴いただけます。世古の講演資料は以下SpeakerDeckよりご覧ください。

インハウスハブ東京法律事務所では、弁護士を随時募集しています。自分の強み・専門分野を見つけ、弁護士としてさまざまな活躍の機会を得たい方、一度メンバーとお話してみませんか？一同、心よりお待ちしております！