はじめに、このエントリについては個人情報保護法やJISを読み込んだ上での発言ではないということを申し上げておきます。
取得した個人情報の取り扱いを厳格に行っていくことに際して、個人情報保護法やJIS規格の解釈について相変わらずバタバタとしている。
情報システムの現場でも、その対策のためのシステムというのは関心が高いが、導入した結果、実務に影響を及ぼし、“対策”=“不便の始まり”というのが現実であることが多いように思う。こうなってくると何のためのシステム化か良く分からない。
それは、リスクをヘッジしたい部門(CSRや情シス)とリスクを取る部門(営業やマーケティング)との意識の乖離がその根本にあると思う。
条文をいかに解釈するのかについて喧々諤々やっているのを見るにつけ、思うことがある。
「いったい、これは誰が誰を守るためのコンセプトなんだろうか?」
対策について議論するうちに、パーミッションの取り方や注意書きや規約の作り方などといった瑣末な議論に陥っていきがちである。しかし、本来はそういうことではなくて、
- 預かった個人情報はキチンと保護します(どこでどういう風に誰が管理しているかを明示する)
- ご本人に対して、どこでいつ入手したのかについて即座に回答できます(パーミッションを与えたことなんてユーザはたいてい忘れている)
- 削除しろといわれれば即座に対応できます(担当営業が変わったら元の木阿弥なんてことにはしない)
ということを確実に約束することだと思う。つまりは運用の話であって、取得の仕方を子細に詰めるのが目的ではないのではない。
今の議論って、「個人情報を提供したみなさんのために、取得した情報を保護します」ではなく、「企業が(もしくはコンプライアンス部門が)バッシングされるのを保護する」にすり替わっているように思えてならない。
ユーザ(個人情報の本人)にとって、気持ち良いのはどういうことか?という視点がないようでは信頼もされないし、法や規格にむやみに振り回されることになる。
コメントを残す