「IAPP Data Protection Intensive: UK 2023」で学んだこと

ライオンブリッジは、いかなる状況下でもデータ セキュリティの確保を最優先事項としています。当社では、お客様からご提供いただいた情報を適切に扱うことが、お客様にご安心いただくうえで不可欠な要素であり、セキュリティとプライバシーの保護、そして各種規制への準拠は、現代の情報社会における信頼の根幹をなすものと捉えています。そのため当社は、情報プライバシーに関する最も包括的で最大規模の国際的コミュニティ/情報リソースである国際プライバシー専門家協会 (IAPP) の会員であることを誇りとしています。

IAPP は毎年、「Data Protection Intensive」カンファレンスを開催し、データ保護とプライバシーに関する重要なトピックについて話し合う機会を設けています。このカンファレンスでは、世界各地の主要なソート リーダーや専門家による有益な講演が行われます。「IAPP Data Protection Intensive: UK 2023」(DPI: UK 2023) は 3 月 8 ～ 10 日にかけてロンドンで開催され、多くの参加者が集まる中、英国の政策立案者、情報コミッショナー、プライバシー活動家、その他の政府関係者が情報プライバシー分野のベスト プラクティス、最新のトレンド、重要課題、新しいテクノロジー、さまざまな可能性について論じました。このイベントでは、運用や方針に関するトピック別のブレークアウト セッションやさまざまな交流のためのプログラムも実施されました。

ライオンブリッジからはハビ ペレスがカンファレンスに出席し、新たにプライバシー保護担当者となる人々に助言を行ったり、ほかの業界リーダーたちと情報交換したりしました。当社のプライバシーおよびコンプライアンス担当ディレクターを務めるペレスは、当社のあらゆる業務におけるデータ保護法の遵守に関する責任者でもあります。ペレスは新たな法令を把握して、当社のプライバシー ポリシーや各種サービスの導入、レビュー、修正を支援しています。当社では、「DPI: UK 2023」へのペレスの参加を通じて世界中のデータ プライバシーおよびセキュリティの専門家から貴重なインサイトを得ることができました。

本ブログ記事では、ペレスが「IAPP Data Protection Intensive: UK 2023」で学んだことを Q&A 形式でご紹介します。

1. 「DPI: UK 2023」での経験について教えてください。

私は司会として 3 名のスピーカーが登壇するセッションの調整役を担当する機会をいただきました。また、「Diversity in Privacy (プライバシーにおける多様性)」というセッションの進行も担当しました。これは、技術面、コンプライアンス、リスク、法務など、データ プライバシー保護の実践にかかわるさまざまな専門領域に着目したセッションでした。

何より重要だったのは、新たにプライバシー保護を担当する方々とお会いして、さまざまなトピックについて意見やアイデアを交換する機会を得られたことです。

2. カンファレンス全体を通して、何か重要なテーマや頻出したキーワードなどはありましたか。

「信頼」です。これこそ、すべての企業が考えなければならない最も重要なキーワードです。顧客からの信頼と従業員からの信頼がすべてであり、これは一旦失えば、回復するのは非常に困難な場合があります。ビジネスを営むうえで覚えておかなければならないのは、お客様はその企業を信頼して情報を預けているということです。企業は、お客様の情報を合意した目的のためのみに使用し、その情報を保護して、目的の達成時には破棄する責任があります。

3. プライバシーおよびデータ保護の取り組みに関する社内および社外に向けたコミュニケーションで、企業が考慮すべきことは何でしょうか。

コミュニケーションにおいては、相手に合わせた内容にすることが重要です。専門用語や法律用語を使用すれば、一般の人々にとっては内容を理解しづらくなる可能性があるため、受け取り手に応じてメッセージをカスタマイズすることが大切です。はっきりとわかりやすく、取り組みやその目的を伝えます。平易な言葉を使うことで、お預かりした情報で何をするのかをすべての人に理解してもらうことができます。

4. 2023 年に企業が取り組むべき最も重要なイニシアチブやアクションはどのようなことでしょうか。

組織でのトレーニングや意識向上を適切に実施する必要があります。職位や立場に関係なくすべての従業員が、顧客の立場と従業員の立場の両面から、個人情報の重要性を理解する必要があります。振り返って、トレーニングの有効性を評価することも重要です。改善の余地がないかどうかを確認し、より大きな効果を上げられるように現在の取り組みを改善する方法はないかを自問します。プライバシーとセキュリティに関するトレーニングについて検討し、改善の余地を見つけたら、成果が上がるようビジネスのさまざまな領域で取り組みます。トレーニングを年一回に限定する必要はありません。データ保護責任者 (DPO) と従業員が率直にコミュニケーションを取り合い、継続的に取り組む必要があります。現場を見て、(可能であれば) 従業員と直接会って、フィードバックを求めましょう。意識向上やトレーニングの取り組みが成功するかどうかは、内容の関連性や共感性に左右されます。

5. 「プライバシー バイ デザイン」の実践が成功している状態とはどのような状態でしょうか。

DPO と製品責任者、IT 部門の間に、透明性のある強固な協力体制が築かれた状態です。

関係者全員が起案の段階から参加して、イニシアチブ/テクノロジーの目的、その用途の定義、データ フロー、エンド ツー エンドのデータ ライフサイクル、制限、適用される統制を明確にする必要があります。データ保護影響評価を実施し、それらの統制の実践について責任を担う担当者もしくは担当グループを指定します。これは、一度限りのコラボレーションではありません。人、プロセス、テクノロジーの観点から適切な統制が実践されるように、ビジネスのさまざまな領域で共同して継続的に取り組む必要があります。データ保護は、ビジネスの障壁ではなく、ビジネスを実現するための要素、ビジネス イネーブルメントと捉える必要があります。

ライオンブリッジにおけるデータ保護の取り組み

私たちは、お客様との信頼を築き、それに応え続けることを社の使命としています。当社は、指名した最高信頼責任者 (CTO) が率いる専任のセキュリティ/プライバシー担当チームを設けており、デジタル環境および物理的な設備の保護に努めています。当社は ISO 27001 および 27701 の認証を取得しており、これらの厳格なプロセスを通じてお客様からお預かりしたすべてのデータを保護し、すべての地域のコンプライアンス要件を遵守しています。

企業に対してプライバシーおよびコンプライアンスに関する厳しい要件を課している地域もあります。さまざまな基準に対処するために、当社ではグローバル プライバシー保護プログラムを策定し、アイルランドを拠点とするデータ保護責任者がその推進に努めています。このプログラムは、当社がサービスを提供するすべての地域で法令に基づく義務を確実に果たすための取り組みです。

当社では、高基準のコンプライアンスを遵守することで、お客様の拠点にかかわらず、お客様の情報のセキュリティを確保しています。