もはや他人事ではない！社会人なら理解しておきたい、個人情報保護法を学ぶおすすめコンテンツ

ラックは改正個人情報保護法に関する新しい教育コンテンツ、「改正個人情報保護法において求められるサイバーセキュリティ態勢」を開発、提供を開始しました。

2005年に全面施行された本法について、なぜ今、新コースとして提供するのかを、コンテンツの制作に取り組んだコンサルティング部の山下 亮一、監修の法務部の杉山 貴博、ラックセキュリティアカデミーを統括する大塚 英恵に話を聞きました。

メンバー紹介

──まず初めに、読者へ向けて自己紹介をお願いします。

山下

今回のコースを制作した山下です。2014年にセキュリティコンサルタントとして中途入社しました。個人情報保護法との関わりは、以前の会社でISMSやプライバシーマークの担当としてこの法律に深く関わったことでしょうか。EU一般データ保護規則「GDPR」など、どんどん対応しなければならない法律やガイドラインが出てくるので、それらを嫌でも勉強しなければならない状況が今につながっているように思います。ラックに入社してからはコンサルタント一筋のキャリアになりますが、今は公的機関のCISOアドバイザとしてお仕事しています。なお、今回のコースは、恥ずかしながら私自らナレーションも担当しています（笑）

杉山

杉山と申します。私は、法務の立場からコースの監修をしました。また、コースの理解度を図る確認問題がありますが、こちらも担当しています。法務がこうしたコンテンツ制作に関わることは珍しいのですが、今回のコースが法律の解説ということで、法務部門の立場で参加しています。

私は2021年に中途入社するまで、クレジット業界4社で法務とコンプライアンス関連業務をしていましたが、同時に個人情報保護委員会から認定個人情報保護団体の認定を受けている業界団体の個人情報関連資格の認定委員と、同資格試験の問題制作者として活動していましたので、この法律には詳しい方だと思います。

大塚

ラックセキュリティアカデミーの大塚です。私は元々サイバー救急センターにいたのですが、人材育成への関心が高まり2016年からアカデミーの講師や企画担当をしていました。今期からアカデミー全体をまとめる立場として活動をしていて、コースの拡大に取り組んでいます。

──杉山さんは、法務の立場なのに教育コースの監修をするなんて、と上司に言われませんでしたか？

杉山

そんなこと言われませんよ（笑）もともと個人情報を活用する業界にいたからアサインされたと思います。試験問題を作るのは、性格が悪いからなのか大好きなのです（笑）

新コースに向けた思い

──さて、今回は「改正個人情報保護法において求められるサイバーセキュリティ態勢」についてお話を聞いていきます。このコースはどういうコンセプトで制作したのですか？

山下

個人情報保護法は1つの法律を理解すればよいものではなく、様々な分野、様々な業体ごとに、知るべき内容が多岐にわたる厄介なものです。これらそれぞれを深く掘り下げてしまっては、60分のコースでは到底時間が足りるわけがないので、社会人が最低限知っておくべき基本の「キ」というコンセプトで全体概要を解説しています。なので、一言で言うと「広ーーーく浅ーーーく」です（笑）

杉山

そうですよね、先にお話ししたように、私はクレジット業界で金融業界特有基準の個人情報保護法にどっぷり浸かっていたので、監修を頼まれたときにコースの対象者が一般社会人というのに違和感がありました。そこで、山下さんや大塚さんと議論をしていって、本コースを広く浅くベーシックなものにしようという方向性がしっくりきました。出来上がったコースは、どの業界でもどのような仕事をしている人でも、基礎固めに役に立つ良いコースになったと思っています。

大塚

私はセキュリティ関連の教育コンテンツを提供する側ですが、コンプライアンス関連のコースの要望は結構多いのです。個人情報保護管理者等のいわゆるガチ勢だけではなく、個人情報保護法の最低限のことを知っておいたほうが良いというライトな層に向けて、提供できるコンテンツが好ましかったのですが、法令にも絡むので、実務での経験が豊富な山下さんに相談してコンテンツを作ってもらいました。

山下

個人情報保護法は3年ごとに改正されており、その3年間にあった事件事故に合わせて内容が厳格化しています。令和2年に民間企業向けの大きな改正がありましたが、3年おきの改正スケジュールなので次は令和5年かなと思っていたら、令和3年に再度大きな改正がありました。民間企業向けの法律とは別に存在していた行政機関向けの法律と独立行政法人向けの法律、さらには地方公共団体向けの何千もある条例がマージされたのです。この改正個人情報保護法が令和5年の4月に全面施行され、全部ひとつの傘の下に入りました。

このように改正に改正を重ねた個人情報保護法ですが、コースを受けていただくと、「なるほど個人情報保護法はこうした構造になっていて、それぞれ細かなガイドなどを掘り下げないとならないのだ」ということが分かってもらえると思います。

杉山

私の立場から見て、本当の基礎の基礎、広くあまねく語られている教育コンテンツはほとんど見ないですよね。まずはこのコースのレベルを理解してからステップアップしてほしいですね。

山下

じゃないと、ガイドラインを読みこなせないですしね（笑）

新コースの制作で苦労した点

──個人情報保護法がそのように進化しているとは知りませんでした。それでは、このコースを作るのはかなり苦労しませんでしたか？

山下

実は個人情報保護法について、監督官庁である個人情報保護委員会をはじめ業界団体などから膨大な資料が出ていて、改正ポイントが非常に詳細に説明されています。また膨大な量のガイド資料も公開されています。個人情報保護法の専門家であればそれらの資料を読むことが仕事ですが、残念ながら多くの方は膨大な資料に目を通すことは難しいでしょう。そのため、コースの企画初期に、受講のターゲットになる方にとってどのような項目が必要なのかをリストアップするのが大変でした。

法律で定めている範囲は実は限定的なのです。たとえば個人情報の保護とプライバシーの保護はイコールではないわけです。プライバシー保護のほうが範囲は広いわけですよね。しかし、個人情報保護法では取り上げられていないから、プライバシー保護をないがしろにすると今の世の中すぐに炎上してしまいます。

ビジネスを知るうえで、個人情報保護法が保護する領域に加えて、そこからはみ出す領域も取り上げなければならないのです。さらに、グローバルの視点でみると、GDPRのように日本の法律よりも厳しく規定されているものが存在するので、そういったものもビジネスを進める方は知らなければなりません。

大塚

コース開発を進めるにあたって、特にどの部分に苦労しましたか？

山下

通常業務をしながらなので、どうしても時間を捻出するのが大変でした。あと、コンテンツ作成と杉山さんによるレビューを繰り返すわけですが、内容が内容だけに慎重に行っているので時間がかかりますね。

杉山

レビューは確かに大変でしたが、良いものができたと思っています。ただ、内容はあくまでもベーシックな内容です。個人情報保護法に関しては、各業界に向けた個別のガイドライン等が出ていますので、このコースで学んだうえでそれぞれのガイドラインを必ず確認してほしいとコースの注記に書いてもらいました。このコースだけで十分だと思われると困りますし（笑）。そういう誤解を生まないようにするのは気を付けましたね。

──苦労して作られたコースについて、ご自身の評価はいかがですか？

山下

難しいことを聞きますね。内容的には狙ったところはすべて60分のコースに盛り込めました。しかし、解説する動画のナレーションが私の肉声なので、所々つっかえてたりして（笑）

大塚

実は最近のアカデミーのコースは、スピーディーに内容を最新化するために機械音声で作ることも増えているのですが、受講者から機械音声は頭に入りにくい、講師に直接教えてもらいたいという意見をいただくので、今回は無理を言って山下さんに肉声で録音をお願いしました。実際に私たち講師が録音された声を聴いて、声のトーンやテンポなどの完成度の高さに驚かされたくらいなので、お願いして良かったです。

山下

録音も自宅でやっていたので、ひとりで「あっ噛んだ、リテイク」とやっていました。

大塚

それはそれは、お手数おかけしました（笑）。でもリラックスしていて、とても自然な感じで聞きやすかったです。

厳格化した報告義務への対応

山下

令和2年の改正で、当局への報告が法定義務になりました。「漏えい等の事件が発生した、もしくは発生の恐れを認知したら」速やかに3日から5日以内に報告しなければならないというものです。

大塚

アカデミーには、インシデント対応の机上訓練という研修メニューがあります。つい先日も自治体関係者へ研修を行ったのですが、改正前は個人情報保護委員会に対しての漏えいに関する報告は努力義務でしたが、今は義務化されているため講師もそのように説明しています。

杉山

情報漏えいの恐れがあった時に、どのような個人情報が含まれているかの詳細は未確認の状況でも、速やかに事実については一報をするということも重要ですね。例えば、PCを紛失したときに、探す間は会社に報告をしないなんてことをすると、速やかに報告できなくなる可能性があり、報告が出来なければ法令違反になってしまうこともありうるのです。

山下

要配慮個人情報や、財産的影響を及ぼす個人情報については、1件の情報漏えいでも報告義務が発生します。また、そういう情報じゃなくても民間であれば1,000人以上の個人情報であれは報告しなければなりません。

個人情報保護法の概要は、全ての社会人に理解してほしい

──個人情報保護に関して業界や分野で違うようなのですが、どういうことでしょうか？

杉山

例えば個人情報保護委員会が出すガイドラインですが、ガイドラインと言いながら法律と同様に考えることが望ましいものです。ガイドラインがあるにもかかわらず、それに従わなかった場合に批判・非難等を回避することは難しいでしょう。ガイドラインには○○をすることが望ましいと書かれていますが、もしガイドラインに沿わずに個人情報保護に関する事故を発生させた場合、この程度の対策もしていなかったのかと責めやすいわけですね。

例えば、個人情報保護法上、クレジットカード番号は単体では個人情報に該当しませんが、クレジット業界ではクレジットカード番号単体でも個人情報としてみなしています。しかし一般的な考え方では個人情報ではないですよね。この辺の解釈も業界ごとに違うのです。

山下

さらには、金融機関なら金融システムの導入や運用に関する基準を記した「FISC安全対策基準」や、クレジットカードの情報セキュリティに関する国際統一基準「PCI DSS」という別の基準もあるので、それらとも個人情報保護は整合させなければならないわけですよね。

──個人情報保護に関して、基本の「キ」が理解できるこのコース。企業人が皆このレベルまで理解が進むと、世の中はどう変わると思いますか？

山下

最近、業務の中にセキュリティの観点を持つということを、「プラス・セキュリティ」と言われています。同様に、業務に関わる全ての方の個人情報保護に関する知識水準を上げてゆくことが重要です。言ってみればプラス・プライバシーの考えだと思います。ビジネスを企画する方から、個人情報保護の基本の「キ」を理解してほしいと思います。そうすれば、いわゆる炎上事件は相当減るのではないでしょうか。

杉山

例えば、個人情報を企業に提供して対価を得るというビジネス企画があった場合に、「それは個人情報影響評価がなされたのか？」と、いったん立ち止まって吟味すべきなのです。しかし、個人情報保護法に関する知識がなければそれもままなりません。

山下

医療業界も個人情報保護に積極的に取り組んでいますよね。しかし、病院の経営側は個人情報の保護に対して温度感が高くても、患者の症例などを勝手に学会に持ち込むというようにドクター側の意識が問題になるケースもあるようです。

大塚

ラックセキュリティアカデミーとしては、セキュリティの専門家の育成を中心に教育サービスを展開していますが、昨今のプラス・セキュリティ人材のようなサービス/ビジネスに関わるすべての方が知るべきテーマに力を入れています。こうしたコンテンツにより、国内全体のセキュリティやプライバシー保護の意識が高まってくれるのは、事業を進める側のモチベーションです。

本対談をお読みいただいた皆様も、ぜひ「改正個人情報保護法において求められるサイバーセキュリティ態勢」のご受講についてご検討いただきたいと思います。