はじめに
2018年5月に欧州でGDPRが施行されたことに伴い、個人データの法的保護を強化する動きが世界的に広がっています。(関連→『厳しさは国内法の100倍? これからのGDPR対策について』
日本も例外ではなく、個人情報保護法の改正検討がリアルタイムで行われています。
しかし、最近では「法律や規制を守るだけでは足りない」という声が大きくなっています。例えば、リクナビの「内定辞退率」の一件では、予測結果を購入した企業は「個人情報保護を軽視している」として、その倫理観を厳しく問われています。
本稿では、DAMA-DMBOK2の第2章「データ取扱倫理」を参考に、データの倫理的な取り扱いについて、重要なポイントや、理解するべきことを書いていきます。注)本記事に書かれている内容は、引用部分を除きすべて独自の解釈・主張です。弊社の知見に基づいた独自の視点で、読む人により解釈が大きく分かれるDMBOK2の内容を「こう理解すればいい」とお勧めしています。
想定読者層
- データを取り扱う際に注意すべきことをざっくり知りたい方
データを取り扱う際の倫理とは?
そもそも、データを取り扱う際の倫理とは何でしょうか?DAMA-DMBOK2では、第2章「データ取扱倫理」で、倫理について以下のように定義しています。
倫理は正否の考えに基づく行動原則である
『データマネジメント知識体系ガイド 第二版』DAMA International編著、DAMA日本支部・Metafindコンサルティング株式会社訳、日経BP社、2018
これに基づくと、データを取り扱う際の倫理とは「データを取り扱う際に従うべき行動原則」と言えます。
法律を遵守していればよい、というわけではないところに注意して下さい。データを取り巻く環境の変化スピードは非常に激しく、法整備が追い付いているとはいえないからです。既にある法律や規制を守るだけでなく、もっと普遍的な原則に従うことで、法規制の変化によるリスクを少なくすることができます。具体的な原則については、後述します。
(そもそも“データマネジメントとは?”“DMBOK2とは?”という方は、こちらの記事『データマネジメントとは何か』もご覧ください。)
なぜ倫理にもとづいてデータを取り扱う必要があるのか?
一言で言うと、ステークホルダー(顧客や、ビジネスパートナーなど)と良好な関係を築くためです。
たとえば、顧客から契約のために必要な情報を入手したとしましょう。顧客はその提供する個人情報が適切に管理されることを望んでいます。具体的には、ハッキングから個人情報の漏えいリスクを抑えるためのウイルス対策の徹底や、必要最低限の人だけが利用するようにアクセス制限を実施することなどです。そのような期待に応えることができれば、顧客から信頼を得ることができ、良好な関係を築くことが可能になります。
データ取扱いに関して守るべき原則
|
No. |
原則 |
概要 |
|
1 |
Respect for Persons |
以下の2つの信念が組み込まれている。 |
|
2 |
Beneficence |
以下の2つを守るべきである。 |
|
3 |
Justice |
研究の成果を公平に分配すること。また、研究の過程や結果で |
表1ベルモント・レポートの倫理原則
ベルモント・レポートのBasic Ethical Principlesを参考に作成
表1の内容から、具体的にどういうことに気を付ければいいかを考えてみます。
1. Respect for Persons
この原則に基づくと、たとえばユーザーが自らの意思で、自身に関するデータを提供するか、しないかを決められるようにしなければなりません。その決定を選択できないようなユーザーインターフェースは好ましくありません。また、そもそもユーザーが自身でデータ提供の可否を判断できるということ自体に気づいていない場合は、それに気づかせてあげると共に、検討に必要な判断材料を提示してあげることが必要となります。
2. Beneficence
大前提として、個人情報の提供者である顧客に害を及ぼすような用途で個人情報を扱ってはいけません。その前提を守ったうえで、企業はデータ分析の結果をビジネスに生かし、そこからステークホルダーが得られる利益を最大化する必要があります。同時に、企業は害を最小限に抑えるために、情報漏えいのリスクを最小限に抑えるなどの取組を実施する必要があります。
3. Justice
たとえば、AIがSNS上の人々の発言をインプットとして学習し、特定のグループに対するヘイト発言をするようになった事例をみなさんも聞いたことがあると思います。このような事例は、Justiceの原則に反しているといえます。企業がデータ分析を行う場合も、インプットとなるデータに注意しつつ、データ分析結果が特定のグループに対して不利益なものにならないように監視する必要があります。
以上、ベルモント・レポートの基本原則をもとにした考え方を紹介しましたが、データを倫理的に扱うための原則は他にもあります。DMBOK2では他に、GDPRの根底にある原則や、PIPEDA(カナダにおけるプライバシー保護法)の原則なども紹介しています。GDPRやPIPEDAの倫理原則は、ベルモント・レポートの原則と比べると、より具体的です。企業でデータ取扱倫理の原則を定める際は、そちらも参考にするとよいでしょう。
ところで、DMBOK2で触れられてはいませんが、日本の個人情報保護の考え方の基礎となっているのは、OECDプライバシーガイドライン(プライバシー保護と個人データの国際流通についてのガイドライン)です。※2
このガイドライン内で「OECD8原則」が勧告されています。日本の企業としては、知っておいた方がよさそうです。
|
原則 |
概要 |
|
目的明確化の原則 |
収集目的を明確にし、データ利用は収集目的に合致するべき |
|
利用制限の原則 |
データ主体の同意がある場合、法律の規定による場合以外は目的以外に利用使用してはならない |
|
収集制限の原則 |
適法・公正な手段により、かつ情報主体に通知 |
|
データ内容の原則 |
利用目的に沿ったもので、かつ、正確、完全、最新であるべき |
|
安全保護の原則 |
合理的安全保護措置により、紛失・破壊・使用・修正・開示等から保護するべき |
|
公開の原則 |
データ収集の実施方針等を公開し、データの存在、利用目的、管理者等を明示するべき |
|
個人参加の原則 |
自己に関するデータの所在及び内容を確認させ、又は異議申立を保証するべき |
|
責任の原則 |
管理者は諸原則実施の責任を有する |
表2 OECD8原則
(首相官邸「OECD8原則と個人情報取扱事業者の義務規定の対応」から作成)
どうしたら倫理に基づいてデータを取り扱えるのか?
組織が倫理に基づいてデータを取り扱うように変わっていくためには、社内でそのような文化を確立する必要があります。以下、手順を簡単にご紹介します。
- 現状のデータ取扱業務をレビュし、どの程度倫理に基づいてデータが取り扱われているのか把握する
- 業務上のリスクを洗い出し、各リスクに対し回避策を確認する
- データ取扱倫理原則と、それに基づく行動のガイドラインを策定し、ロードマップを策定する
- 3の通りにデータ取扱業務が行われているかガバナンスを実施する
おわりに
今回はデータ取扱倫理についてご紹介しました。法規制を守るだけではなく、倫理に基づいてデータを取り扱うことが重要であるというDMBOK2のメッセージは、データを取り扱うすべての方にとって肝に銘じるべき言葉だと感じました。今後もデータマネジメントの知識領域(活動・対象)別に、データマネジメントの本質的な概念をわかりやすく解説していきたいと思います。
※1 ベルモント・レポート
wikipedia(https://ja.wikipedia.org/wiki/%E3%83%99%E3%83%AB%E3%83%A2%E3%83%B3%E3%83%88%E3%83%BB%E3%83%AC%E3%83%9D%E3%83%BC%E3%83%88)
※2 参考:JIPDECサイト(https://www.jipdec.or.jp/library/archives/oecd_guideline.html)
参考情報
データガバナンスに興味がある方へ
データガバナンスセミナー
データを正しく利活用するためには、適切な方法で「データガバナンス」を行う必要があります。しかし、これまでデータは業務部門とIT部門の間にまたがる形で放置され、誰がガバナンスするのかさえ曖昧になっているケースも多く、「一体どこから手をつけたら良いのかわからない」という声がよく聞かれます。
本セミナーでは、データ活用におけるデータマネジメント・アセスメント事例をベースに、データ活用をしていく上で何をガバナンスしなければいけないかをお話するとともに、実際どのようにガバナンスすればよいのかを、データガバナンスに特化したツールとあわせてご紹介いたします。
データガバナンスに必須の人材! データアーキテクト養成コース
データを活用するためにはデータマネジメントが欠かせないという認識が広まるにつれ、その推進役となるデータアーキテクトの必要性がますます高まっています。
データの本来あるべき姿を定義し、守らせるための組織・制度を設計し、これらを基に、プロジェクト現場に実際に守らせる...その役目を担うのがDA(データアーキテクト)です。
本コースでは、データアーキテクトとして求められる役割と、その実践ノウハウを学ぶことができます。
