【Case Study】個人データ保護対応の実務をケースから学ぶ（５）

個人データ保護対応の実務をケースから学ぶ（１）、個人データ保護対応の実務をケースから学ぶ（２）、個人データ保護対応の実務をケースから学ぶ（３）、個人データ保護対応の実務をケースから学ぶ（４）の続きです。

 Worldwide Medical 社は社内データの有効活用を考えています。各ビジネス・ユニットから集まってきたデータをビッグ・データとして解析し、ビジネスに役立てようとしています。Privacy Officer の Johnson は MedSource 社が結んでいた契約を見直し、問題点を発見しました。皆さんならどのような対応をすべきか、以下のケースを読んで答えてみてください。質問に答えることで実務でやらなければならないことが見えてくるはずです。

シナリオ５の概要

Worldwide Medical 社がMedSource 社を買収して数年が経ちました。Worldwide Medical 社はかねてから検討していた MedSource 社の提供する医療サポート・サービスの販売を開始しようと考えています。この計画を実行すれば MedSource 社はアメリカ内外でビジネスを展開するサード・パーティー・ベンダーという立場となります。

MedSource 社のビジネス・モデルではオフィスと自宅で勤務する登録看護師を採用します。看護師はインターネットでオフィスのスケジューリング・システム、報告システムにアクセスします。MedSource 社の従業員にはラップトップ・コンピュータが支給されます。このラップトップ・コンピュータには機能制限がかけられており、患者データへのアクセス制限も適切に設定されています。アクセス制限は、看護師の地理的所在地とオペレーション上の必要性をもとに管理しています。サービス提供者は自分の担当区域外の患者データやスケジューリング・データにアクセスすることはできません。万が一のときの被害を抑えるため、データのセグメンテーションも行われています。MedSource 社のビジネス・ユーザのみが job function に応じてアクセスできるよう安全保護策が講じられています。

Worldwide Medical 社には全社的なデータ保管場所があります。ここには社内の各ビジネス部門のデータが集められており、ビッグ・データとしてWorldwide Medical 社のビジネス・オペレーションに役立てられています。MedSource 社の患者データも例外ではありません。データは集計され、報告やデータ分析に使用されます。集計データは Worldwide Medical 社のグローバル・オペレーションの中でかなりの頻度用いられます。

Worldwide Medical 社のマーケティング部門は、全社的なデータを用いることで顧客種別をセグメント化し、ターゲティング・マーケティング・キャンペーンを行う試みを最近始めました。

MedSource 社もMedSource 社の顧客も Worldwide Medical 社のマーケティング活動については通知されていませんでした。

MedSource 社の買収前の顧客はデータの二次利用について契約しておらず、Worldwide 社のマーケティング部門の活動は契約違反となります。MedSource 社の契約は、買収時に Worldwide Medical 社のグローバル標準契約に更新されていましたが、Worldwide Medical 社の契約に更新したことで MedSource 社の顧客のデータを二次利用できるようになっていたのか、契約の中で顧客は opt-out のオプションを提示されていたのかははっきりしません。

Global Privacy OfficerのJohnsonはこのことに気付き、契約内容の調査を行うことにしました。その結果、MedSource 社の顧客と Worldwide Medical 社の間に交わされた契約では、契約の実施が買収の前後に関わらず、データの一次利用のみを謳っていたことがわかりました。つまり Worldwide Medical 社内の全社データを用いた二次利用は契約対象外ということです。更に、Worldwide Medical 社の契約では顧客のデータ保護についての契約条項と opt-out のオプションについての契約条項が不明瞭であることがわかりました。

Worldwide Medical 社が MedSource 社のサービスとシステムを他社に再販する前にこの問題を解決する必要があります。一貫性を欠いた契約を行うと大きな混乱を生み、将来大きな問題を生じてしまうからです。

質問：
Privacy OfficerのJohnsonはどのような手順でこの問題に対処したでしょうか？

【答えの例】

Global Privacy Officer としてFred Johnsonが行うべきことは、社内にプライバシー・マネジメント・プログラムを確立することです。

プライバシー・マネジメント・プログラムとは、個人データの取得から廃棄までのすべての過程において、適切な個人データの取り扱いがなされるように社内のデータ管理体制を整備することです。ISO 9001 や ISO 14001、ISO 27001 のように責任者を定め、PDCAを回すことで組織内の管理体制(マネジメント・システム)を成熟させていくことが目的です。

プライバシー・マネジメント・プログラムは以下の13の項目から成っています。これを順番に実装していくことが Global Privacy Officer の仕事となります。（お気づきの通り、当サイトのカテゴリーは、プライバシー・マネジメント・プログラムで扱うアクティビティで分けています。）

• ガバナンス体制を整える
• 個人データ台帳の保守、データ移転メカニズムの保守
• 内部のデータ・プライバシー・ポリシーを保守
• 日常業務にデータ・プライバシーの考え方を統合する
• 従業員トレーニングとプライバシーについての認知活動を実施
• 情報セキュリティ・リスクを日常的に管理する
• サード・パーティー・リスクを日常的に管理する
• プライバシー・ノーティスを実情にあったものとする
• 個人からの要求や苦情に対応する
• 新規業務を開始する際、プライバシーへの取組みを反映させる
• データ侵害マネジメント・プログラムを定常的に更新する
• 日常業務でのデータの取扱いとルール遵守を監視する
• 外部情報を日常的にモニターする

今回の例では、具体的には何を行っていくことになるのでしょうか？