個人データ保護は具体的に何をしたらよいのかピンと来ないという話をよく聞きます。これは、具体的な作業が想像しにくいからではないかと思います。そこで、ケース・スタディを用いてイメージをつかんでいきましょう。
以下のシナリオを読んで、最後の質問に回答してみてください。質問に答えることで、実務では実際に何をしなければならないのかを考えることができるはずです。
シナリオ1の概要
Worldwide Medical 社は大量の”sensitive data”を取り扱っています。Worldwide Medical 社はさまざまな調査プロトコルを行っており、それによって得たsensitive な患者データを会社の中央データベースに保管しています。データは自社でも保有していますし、third-partyと呼ばれるベンダーを通じて入手することもあります。データの種類はビジネスに関するデータ(調査、特許申請、会計結果)と個人データ(診療記録、治験結果)です。
最近、この中央データベースがハッキング攻撃を受けました。
Worldwide Medical 社のデータ保護方針は従来、ビジネス上の目的に照らして重要なデータ(例えば調査データやプロトコルの詳細)の保護に主眼を置いていました。患者データへの保護体制は比較的弱い状態だったといわざるを得ません。更に、プライバシー関連の問題は各部門内のローカル機能が対応していたため、全社的なプライバシー対策の取り組みは行ったことがありませんでした。
当然、会社には本当の意味での全社的なプライバシー・ポリシーと呼べるものはありません。あるのは、各ファンクション・レベルで作成したポリシーや手順書だけです。これらのポリシーや手順書は他の組織や他部門との関連を考慮することなく、自部門の課題を解決することを目的として作成されたものなので、一貫性はありません。
幸いハッキング攻撃に対する対応は適切なものでした。過去の調査データが少量ハッキングされただけで、アマチュアによる攻撃だったことが判明しました。しかしこのハッキング攻撃は、会社としての対応計画がないことを明るみに出しました。
Worldwide Medical 社の CEO は自社のプライバシー保護のスキームが知らされていたよりも脆弱なものであったことに気がつきました。この問題に対処するため、CEO は Fred Johnson を Worldwide Medical 社の Global Privacy Officer に任命しました。Johnsonの任務は、会社全体に共通で適用されるグローバル・プライバシー・ポリシーを作成することと、その内容を全社的に実装することです。
【質問】
Privacy OfficerのJohnsonはどのように仕事を進め、何をしなければならないか考えてみてください。
【答えの例】
Global Privacy Officer としてFred Johnsonが行うべきことは、社内にプライバシー・マネジメント・プログラムを確立することです。プライバシー・マネジメント・プログラムとは、個人データの取得から廃棄までのすべての過程において、適切な個人データの取り扱いがなされるように社内のデータ管理体制を整備することです。ISO 9001 や ISO 14001、ISO 27001 のように責任者を定め、PDCAを回すことで組織内の管理体制(マネジメント・システム)を成熟させていくことが目的です。
プライバシー・マネジメント・プログラムは以下の13の項目から成っています。これを順番に実装していくことが Global Privacy Officer の仕事となります。(お気づきの通り、当サイトのカテゴリーは、プライバシー・マネジメント・プログラムで扱うアクティビティで分けています。)
- ガバナンス体制を整える
- 個人データ台帳の保守、データ移転メカニズムの保守
- 内部のデータ・プライバシー・ポリシーを保守
- 日常業務にデータ・プライバシーの考え方を統合する
- 従業員トレーニングとプライバシーについての認知活動を実施
- 情報セキュリティ・リスクを日常的に管理する
- サード・パーティー・リスクを日常的に管理する
- プライバシー・ノーティスを実情にあったものとする
- 個人からの要求や苦情に対応する
- 新規業務を開始する際、プライバシーへの取組みを反映させる
- データ侵害マネジメント・プログラムを定常的に更新する
- 日常業務でのデータの取扱いとルール遵守を監視する
- 外部情報を日常的にモニターする
今回の例では、具体的には何を行っていくことになるのでしょうか?