Scribble at 2024-03-06 21:43:50 Last modified: unmodified

かなり前から構想はあったのだけれど、僕は企業の役職として個人情報保護管理者（chief privacy officer）を拝命しているだけではなく、個人としても、それこそ自分や家族の個人情報はもちろん、誰のであれ個人の情報をいい加減に扱ってはいけないという誠に常識的かつ健全なアイデアによって、会社の業務なり管掌なり職責としてだけでなく、一人の個人としても情報やデータの適正な運用ルールだとか取扱い実務の基準などを求めている。したがって、CPO として個人情報保護法を始めとする既存の法令や規範を遵守することはもちろん、そしてプライバシーマークの認定事業者で CPO を拝命している人間としては産業規格などにも適合するような社内体制やルールを整備して実装し維持・向上させることも必要だが、それを超えて更に進展させるべき道筋を設定したり、あるいは自社だろうと個人だろうと理想的な基準を採用して実装していくための露払いをすべきだと思っている。そして、恐らく業務としてそんなことができるのは、マネジメントに関わる規程を自主的に起案できて、そのための調査や吟味をするための工数を自主的に割り振れる、ほぼフリー・ハンドと言ってもいい動き方ができる立場の人間に限られる。ふつう、そんなことは余裕ぶっこいた上場企業にしかできないわけだが、弊社は幸運にも僕のような元法学部でもありシステム開発の技術者でもあり、それに加えて哲学者でもある人材が自主的に動けるため、こういうチャンスを活用しないのは天命に反すると言えよう（有能だからといって、誰にでもチャンスがあるわけではない）。

天命というのは冗談だとしても、人の社会には伝統的に擬制という仕組みがあって、僕は哲学という営為は本質的に個人の動機や事情でやることだから、「哲学者の社会的な責任」なんてものはないと思うのだが、それでも擬制としてそういうものを自ら（ときとして傲慢となるが）設定したり、あるいは誰かから（もちろん、ときとして不当となるが）要求されることもあろうと思う。よって、既存の法令や規格を越えたところで議論することにも、そういう社会的な責任に応えるという、哲学者として自ら設定した意義があろうかと思う。ただ、全くの思弁や杜撰なベキ論を語るだけでは無意味であるばかりか有害だ。よって、僕は実務家としての経験や技術や見識も大切にしながら、まずは国内の法令や規格を相対化する一つの外部環境として、たとえば GDPR が求める規準を日本の中小企業に実装するといった構想から始めるのが、堅実で妥当なアプローチだと思う。そして、実際にオランダの Privacy Perfect という企業の作成した GDPR を解説する１枚の資料を日本語に翻訳する手伝いなどをしていた（現在、サイトで公表はされておらず、メール・アドレスなどを登録しないといけなくなっているが、もともと Privacy Perfect のブログで公開されていた）。それは５年以上も前のことだが、それから国内でも GDPR の解説書が何冊か出ているし、あの秀和システムの『図解入門ビジネス 最新GDPRの仕組みと対策がよ~くわかる本』という通俗本すら出ているわけだが、いまだに企業法務や個人情報保護マネジメントシステムの実務家においても関心は低いし、プライバシーマークの認定要件である JIS Q 15001 を超えたところで議論したり社内規程を起案して実装しようなんていう事例も少ない（大企業の場合、こういうことをすればすぐに実例を紹介するための PR 記事をメディアに掲載したり、日経 BP あたりから宣伝本を出したりするものだ）。

そういうわけで、GDPR「すら」考慮のうちに入れていない実務家が多いわけなので、同じ実務家として何らかの参考になる資料を作って公開する意義もあろう。