今日、個人情報やセキュリティ問題に1日たりも向き合わずにいる上級意思決定者は、ほとんどいないと思います。世界が電子的に相互に接続されるようになり、CDO(Chief data officer)の役割は運用の要求に応えることから、コンプライアンス遵守と組織の戦略的ゴール達成を支援するという難しいバランスの業務遂行へと変化しています。
こうした流れで、CDO は、コンプライアンスの懸念から、簡単にプロジェクを停止したり、あるいは、プロジェクトを休止することを避けることが、非常に重要になります。その代わりに、どのようなデータへの要求が来た時でも、先ずはその要求を出した者の目標や目的を理解し、その上で運用上の目的を促進する形で、その要求を実行しようとしますが、同時に、個人情報やセキュリティ保護を遂行します。
単に法律によって保護されているというだけでは、直接的な手法は上手く行かないこともありますが、同じ結果を得る他の方法がある可能性もあります。例えば、グローバルの殆どの法令は、ある特定の情報は、個人の同意なしには使えないと規定しています。そうです、適正な状況下では、使うことのできる関連情報が存在するかもしれません。
医療分野では、特定のプロジェクトで使用される患者の生年月日データを示す記録を受信したいというリクエストは、よくある事です。特に、CDO が明確にする質問「なぜその情報が必要なのか」に対して、「ええ、年齢を知る必要がありますので」とよく答えられるといったケースです。
現実には、誕生日は年齢を示していません。ただ何歳なのかを計算する手立てを示すだけです。実際に探しているデータは、その人の年齢です。この情報は、誕生日よりも重要度や繊細さは低いものです。これは、CDO が、繊細なデータを探索しコンプライアンス要求に抵触することなく、目的を達成する別の方法を見つけるためのよい例です。
この別の例は、ビジネスマンが、特定地域でのある製品の購買人口を理解しようと、指定地域内に住む全ての人の名前と住所を尋ねたとします。いいでしょうか。リクエストではなく、目的を見る事で、CDO はその人が実際は個人を特定する情報が必要ではないことが分かります。彼らは、特定の個人を知りたいのではなく、その製品を購買する人数が知りたいだけです。
結局、CDO の役割は、作業をブロックすることではなく、むしろ、ビジネスを理解して何が欲しいのかを支援し、コンプライアンス要求により合致した別の方法があるかを見つけることです。インプットではなくゴールという観点から目的を定義することが重要です。
この交渉や調整要素が重要です。なぜなら組織の多くの人は、最終的な目的や何を達成したいのかをはじめから見ることなく、アクセスできるデータに即座に注目してしまうからです。この役割の重要なところは、コンプライアンスとビジネス上の利益といった表面上相反するニーズの衝突回避をサポートすることで、最終的には、それでも同じ結果を得ることができます。
もちろん、コンプライアンス理由では単純に充足できない、特定の目的は当然存在します。しかし、その殆どは、組織が倫理的に、かつ法令に基づいて行動していれば、データに関するビジネス目的を達成する道はあります。
最終的には、CDO は組織が何をしようとするのかを理解する必要があり、彼らに、コンプライアンスだけではなく信頼を構築する方法で、可能にする道を与えます。組織、顧客、消費者だけではなく、組織内での自分自身の役割に対しても同様です。
ケン・モーテンセン Ken Mortensen
弁護士でありエンジニアでもあるケン・モーテンセンは、20年以上の法曹界、30年以上のITでの経験をもつ、個人情報保護およびセキュリティの専門家。マサチューセッツ州ケンブリッジに本拠を置き、インターシステムズのデータ保護責任者(Data Protection Officer)として、グローバルトラストおよびセキュリティを先導する。組織を横断してグローバルに活動し、情報保護、ガバナンス、サイバーリスクプロセスなどを推進。
インターシステムズ入社以前は、PwC、CvS Health、Boston Scientific などで、個人情報保護およびセキュリティ―の責任者を歴任。また第43代大統領ブッシュ政権では、アメリカ司法副長官を務め、法執行機関や海外情報活動を支える個人情報保護およびサイバーセキュリティに関する主任弁護士として勤めた。
法務局の前職は、キャリア初期に国家安全保障部門に従事し、のちに初の個人保護副統括責任者となった。それ以前は、法律事務所で、サイバー問題のペンシルベニア州司法長官に対する特別助言などを行った。ヴィラノーラ大学ロースクールを卒業し、最初のキャリアとして電気技師としてバロース社に従事した。
