抽選でAmazonギフト券が当たる! 2018年の企業法務を振り返るアンケート実施中

技術と法律の壁を越える挑戦 エンジニアと法律家の目に個人情報保護法はどう映るのか

IT・情報セキュリティ

11月27日、エンジニアと法律家のための勉強会「StudyCode #1 個人情報」が、株式会社HDEのオープンラウンジにて行われた。

「エンジニアも、法律家も、お互い「Code」を武器に仕事しているのだから、もうちょっと仲良くなれないだろうか」。StudyCodeは主催者たちのこんな問題意識から生まれたイベントだ。ここでいうCodeとは、エンジニアにとっての「プログラムコード」、法律家にとっての「条文」を指す。

StudyCodeは、エンジニアも法律家も関心があるテーマを取り上げ、中高生にもわかるような噛み砕いたショートセッションを互いにすることで、お互いに学びある会とすることを目指しており、今年10月にはパイロット版の「StudyCode #0 開発と法律の基礎の基礎」が開催された。

今回は、内閣官房内閣サイバーセキュリティセンター 上席サイバーセキュリティ分析官の蔦 大輔氏、エンジニアの三村 啓氏、弁護士法人内田・鮫島法律事務所 弁護士の日置 巴美氏、株式会社DataSign 代表取締役社長の太田 祐一氏、の4名が登壇し、下記のテーマでプレゼンテーションを行った。

  • 「法律ができるまで〜法制執務の基礎〜」
    内閣官房内閣サイバーセキュリティセンター 上席サイバーセキュリティ分析官 蔦 大輔氏
  • 「顧客情報のシステム管理」
    エンジニア 三村 啓氏
  • 「改正個人情報保護法対応のツボ」
    弁護士法人内田・鮫島法律事務所 弁護士 日置 巴美氏
  • 「クッキーと個人情報」
    株式会社DataSign 代表取締役社長 太田 祐一氏

StudyCodeの主催者の一人であり、特許庁 法制専門官の足立 昌聡氏と登壇者の方々に、イベントの印象や、今後リーガルとテックの協働を進めていくために必要なことについて伺った。

「法律」と「プログラム」という2つの「Code」を結ぶ

どうしてStudyCodeを立ち上げられたのですか。

足立氏
元々、政策研究大学院大学で月1回開催されている「知的財産マネジメント研究会(Smips)」の中で、理工系の方や企業の知財部員の方を念頭に、知的財産法を中心とした勉強会を10年ほどやっていました。

私自身は、当時、外資系法律事務所で、知的財産法や先端技術に対する法規制対応などを中心に弁護士業務をしている中で、先端技術への理解について、日本の弁護士が、米国の特許弁護士や組織内弁護士に大きく後れをとっていると感じていました。米国の法曹界には、理工系の修士や博士の学位を持っていたり、エンジニアとしてのキャリアがあったりと、理工系のバックグラウンドがある人材がたくさんいます。日本でも、法科大学院制度を導入する際に、そういった多様な人材を増やすねらいがあったのですが、あまりうまくいっていません。
そうはいっても、先端技術、特にIT/ICT技術の進歩に対して、社会のリーガルニーズが高まる一方で、「なんとかして日本の法律家の技術リテラシーを上げなければ。これからは法律家にも技術を学べる場が必要だ」と強く思いました。

そこで、まずは気軽に、エンジニアと法律家が、互いの専門領域における関心事について、情報交換を行える場を作りたいと考えていたとき、同じ研究会で、クリエイターやテック系のエンジニアの方などを招いてエンタメ系の勉強会を運営していた行政書士の新井 秀美さんと、スピンオフで何かやりましょうという話になりました。
イベント名の中の「Code」には、「法律」と「プログラム」の2つの意味を込めています。

「StudyCode #1 個人情報」の当日の印象を教えてください。

足立氏
今年の10月にパイロット版(「StudyCode #0 開発と法律の基礎の基礎」)を開催したときは、あまり明確なテーマを設定しなかったのですが、今回は「個人情報」という明確なテーマを提示した関係もあってか、多くの方にご参加頂きました。
プレゼンテーションも、改正個人情報保護法を立法担当者の目線で俯瞰するものから、実際に個人情報と扱い得るクッキーに記録されたセッション情報を利用してセッション・ハイジャックを実演するものまで多岐にわたり、質疑も大変盛り上がりましたね。

日置氏
熱気とテンポの良さに圧倒されました。専門家や、ビジネスに携わる方々の真剣さが会場から伝わってきましたので、私の視点から見る個人情報取扱いに関する問題点や対応のポイントをどうすれば伝えられるかと、その場で話の内容を再構成したほどです。

蔦氏
質疑応答でも積極的な発言が見られ、活発な勉強会だと思いました。 やはり法律家とエンジニアとで相互理解が重要だと考えている方が多いという印象です。お互いの業界に関するお話を聞き、多くの刺激を得られる非常に有意義な勉強会であり、今後も参加したいと思いました。

太田氏
私はどちらかというとエンジニアの立場で参加、登壇させていただきましたが、なんとなく、個々の雰囲気で、リーガルの人かな、テックの人かなという想像がつき、双方にちゃんと伝わるプレゼンができるか少々不安でした。
エンジニアだけが対象ではない勉強会やイベントでは、エンジニア向け勉強会とは違う雰囲気や、参加しづらさを感じてしまうこともありますが、StudyCodeではそのようなことは無く、同じCodeを扱う者として集っている、この会ならではの不思議な一体感を感じました。
懇親会でも、リーガルの話やテックの話、2つを組み合わせたリーガルテックの話と、いろいろな方と様々な話をさせていただき、知らない世界を覗ける良い機会になりました。

三村氏
登壇者としてお話ししていて印象的だったのは、技術的な概観に対する参加者の方々からの反応がよかったことです。
法律の実務家の方からのフィードバックで「どうやって個人情報データの安全を担保するかイメージが湧いた」という言葉を頂いたのと合わせて、法律として定められる内容のシステム的な実現に対する理解を広めるニーズは強そうだと感じました。

発表の中で気になったものはありましたか。

三村氏
日置先生に、法律の実務として、システム以外も含めた解釈の仕方を非常に分かりやすくご説明いただいたのはとても大きな収穫でした。私自身もいちおう法律の条文に目を通すくらいはしますが、解釈するステップに分解していただいたことで、見通しが格段によくなったと感じています。これは今後の法制対応におけるアプローチとして非常に有益な学びでした。

【人の情報を取り扱う際の確認フロー】

人の情報を取り扱う際の確認フロー(弁護士法人内田・鮫島法律事務所 弁護士 日置 巴美氏)

出典:弁護士法人内田・鮫島法律事務所 弁護士 日置 巴美氏の発表スライドより

足立氏
個人的には、丁寧にクッキーポリシーで第三者提供先を明示しているウェブサイトでも、開設者が意図しない形でクッキーが第三者に提供されているアドテクノロジーの実態を見せて頂いたのは衝撃でした。

【ツール導入による外部リクエストの発生(ウェブサイトのプライバシーとセキュリティ)】

ツール導入による外部リクエストの発生:ウェブサイトのプライバシーとセキュリティ(株式会社DataSign 代表取締役社長 太田 祐一氏)

出典:株式会社DataSign 代表取締役社長 太田 祐一氏の発表スライドより

実務で役立つ法律と技術の視点

法律の実務には技術的なサポートが不可欠

行政機関個人情報保護法などの法制執務を担当する中で、技術の視点が役立った点はありますか。

蔦氏
法律を作るにあたっては、必要な箇所に括弧書をつけたり、条項の順番を考えたり、ある箇所を改正した場合の他への影響を考えたりと、ロジカルな思考が必要ですが、技術的な視点で当該作業を見ると、自動化できる点や省略できる点を発見することに役立つと考えています。

そうした考え方も基にしながら作られたのが、e-LAWS(法制執務業務支援システム)における「改め文」自動作成機能1なのかな、と個人的には考えています。改め文を作成するためには、極めて厳格な文章ルールの把握、パズル的な条項の組み立て能力、高度な経験則等が必要となりますが、この機能を用いて新旧対照表を作成すれば、自動的に改め文を出力することが可能です。これにより、新旧対照表と改め文の双方を都度作成するという二度手間を回避し、業務上大きな効率化を図ることができると思います。
ただし、e-LAWSは、運用が始まったばかりであり、まだ完璧な改め文を出力するには至っていない印象です。法制執務担当者がe-LAWS管理者に対して声を届け、機能をブラッシュアップしていくことが重要だと思います。

【新旧対照表と改め文】

新旧対照表と改め文(内閣官房内閣サイバーセキュリティセンター 上席サイバーセキュリティ分析官 蔦 大輔氏)

出典:内閣官房内閣サイバーセキュリティセンター 上席サイバーセキュリティ分析官 蔦 大輔氏の発表スライドより

イベントの中でもお話されていましたが、個人データを第三者に提供する際に同意を得るフロー、オペレーションの構築には技術的なサポートが重要ということでした。

日置氏
法律は、やってよいこと・いけないことや、やるべきことを明示し、あわせてやらなくてもよいことを明確化する機能があります。個人データの第三者提供に対する同意についていえば、法の定めに従って、第三者が国内・国外のいずれにあるか、例外事由の有無等によって、どのような内容の同意が必要か、そもそも同意が必要な場面か否かを整理します(個人情報保護法23条、24条)。そのうえで、やるべきことに対応するため、どんな方法があり得るのか選択肢を洗い出します。このとき、技術的観点からどのような選択肢があるのか、それぞれの方法についてコストはどれくらいかかるのかを整理します。この考えを踏まえ、クライアントの方には最適なオペレーションを構築できるようにお話しするよう心がけています。

また、同意の取り方については、個人情報の提供主体である本人にフレンドリーか否かという観点も欠かせません。自分の個人情報がどのように取扱われるのかという情報にアクセスしやすいよう、技術的にもサポートしていただくことが重要です。  

技術の導入、発展には法律のリスクを理解することが必要

技術側と非IT部門との間でコミュニケーションを図る際に、気をつけていることはありますか。

三村氏
個人情報保護に限っていえば、技術側は新たなソフトウェアやプラットフォームを採用する際に、規定のフォーマットに従って、保護対象を特定し保護方法の詳細を記載したものをコンプライアンス部門にレビューしてもらい、必要に応じて口頭説明して承認を受けるというプロセスを通しています。

当然のことながらゼロリスクということはありえませんので、リスクとして考慮すべきことと、そのリスクに対してシステム的に考えている緩和策を「どのように実施するか」と共に「なぜそれによって緩和されるのか」を可視化して伝えることが重要だと感じます。一般的にシステム的な対処というのは形がない分イメージがつきにくく、そこが理解のハードルなので。

AI、IoTデバイスなど技術の進化と、個人情報の保護についてはどう思いますか。

太田氏
インターネットをブラウザで見ている場合、「クッキー」2はIDが保存される場所でしかないですが、今後、スマートフォンやAI搭載スピーカー、スマートウォッチ、スマートシューズ等、IoT化が進むにつれて、いろいろなデバイスの様々なセンサーから、多くのデータが発生することで、各デバイスがインターネットへのインターフェースになり、流れるIDの種類もどんどん増えていきます。

スマートフォンであれば、UDID、IDFA、AdvertisingID、AI搭載スピーカーが認識する声紋、スマートウォッチ、スマートシューズのモーションセンサーの情報等のデータがAIを構成する技術によって解析され、自分では想像できないような利用がなされていきます。
歩き方や手の動かし方、心臓の鼓動で個人を識別する技術も開発されており、クッキーに書かれている情報よりも、もっと個人識別性の高い情報がインターネットを流れていくことになります。

法的には、これらの情報が個人情報に位置づけられるようになっていくことが、世界的な流れではあります。
そのインターネットを流れるデータは誰が主体となって取得しているのか、コントロール権を誰が持つのか、自社で取得している情報や利用しているサービスが取得しているデータはどのようなもので、それがどの程度一般の生活者に対してインパクトを持つのかを考えていくことは、プライバシーの保護や法的なリスク回避だけではなく、ビジネスとしてデータを活用していくための重要な要素になってくると思います。

内閣官房内閣サイバーセキュリティセンター 上席サイバーセキュリティ分析官 蔦 大輔氏

内閣官房内閣サイバーセキュリティセンター 上席サイバーセキュリティ分析官 蔦 大輔氏

リーガルとテックの協働を進めていくためには

今後、リーガルとテックの協働を進めていくために、どのようなことが必要だと思われますか。

蔦氏
法律家からの視点で申し上げると、法曹業界の一部ではテクノロジーが意識され、「リーガルテック」という言葉も徐々に広まっている印象ですが、業界全体としてはそうではありません。たとえば、民事訴訟規則では書面の提出に関して未だに「ファクシミリ」が明記されており(民事訴訟規則3条等参照)、現在広く用いられている技術に対応しているとは言えません。これに対して「おかしい」と声を上げ改善していくためには、業界全体としてテクノロジーを意識し、IT化を進めていくことが必要だと思います。
最近日本経済再生本部において、「裁判手続等のIT化検討会」が始まりましたので、検討結果に期待しています。

日置氏
エンジニアも法律家も、それぞれに「Code」を扱う専門職ですが、扱うツールが違えば、キャラクターも、理解できる言葉も異なります。当然、同じ事柄に対する見方、見せ方が違ってくる。違いがあるからこそ、お互いを知りあうことで、より良い変化を起こすことができると確信しています。
私自身、個人情報保護法の改正を行う中で、匿名加工情報制度について、数年間にわたって技術側・法律側で対話を続け、結果を法令等に反映させてきました。ときに法律家は、技術、研究を阻害する壁のように映ったと思います(笑)。
技術の進展が目まぐるしい昨今、これに法律が歩調を合わせることは簡単ではありません。技術と法律が、よりイノベーティブな関係を構築するためには、「そんなこと?」と思われるかもしれませんが、対話こそが最重要だと考えています。

三村氏
技術と法律は、言葉の厳格さに対する意識という意味では相通ずるものがありますが、双方ともにその厳格さを担保するために数多くの専門用語がある点が、相互理解のハードルとして一番大きなものです。
また、法律が定める境界に「解釈」の入る余地が残るところが、テックの側から見ると受け入れにくいギャップとして残ります。曖昧な部分は「どのように実現するかは実装するエンジニア側に委ねられている」というのがテックに属する人たちの一般的な理解になると思いますが、一方で後から提示される「解釈」が実装の修正を強いる状況も往々にしてありますので。
この辺りも念頭において、それこそStudyCodeのような場でお互いに相手の言葉の意図を、理解しあうしかないでしょう。

足立氏
技術(テック)と法律(リーガル)というと全く違う世界だと思われがちなのですが、ユーザーから想定される入力に対して意図した出力を返すよう設計するという仕事の進め方は、エンジニアでも法律家でも同じはずです。
法律家は、エンジニアの「楽をするために全力を尽くす」姿勢を取り入れ、従来の法務業務の負担を軽くしていくところからスタートだと感じています。
そうしてできた時間的余裕をつかって、エンジニアと協働して法律をアプリケーションに実装していくといった流れを加速させていくことが必要です。

私自身も、特許庁というお役所にGitHubを取り入れてみたりと色々と試行錯誤はしているのですが3、ツールとして技術を使うだけでなく、今後は、アプリケーションのアーキテクチャに法律を組み込んでいくような方向に、シフトして行ければいいなと思います。

太田氏
プロダクト開発やマーケティングの実務において、リーガルの出る幕がほとんど無い、逆に契約書や法律を作るという実務において、テックの出る幕がほとんど無い、という現状は、改善が必要だと感じています。 リーガル側は、プロダクト開発がどのように行われているか、マーケティングテクノロジーがどのような仕組みで動いているかを知らないと、法律がビジネスの足かせになっていないか等、判断できないと思います。たとえば、オープンソース・ソフトウェアは何を使っていてそのライセンスに問題はないか、マーケティングを行うにあたって特定電子メール法や個人情報保護法上の問題はないかということです。

テック側としては、「うちは法務がうるさいから」とか、逆に「法務は何もしていない」とか、「これは法律が良くない」という声をよく耳にしますが、リーガルを自分たちから遠いものとして扱うのではなく、どんどんリーガルを巻き込んで、実現したい内容を進めていく必要があるでしょう。
今回のStudyCodeのような勉強会が広がっていくことはもちろんですが、社内で同様の勉強会を開催したりすることも、第一歩として良い取り組みになりそうだなと考えています。

株式会社DataSign 代表取締役社長 太田 祐一氏

株式会社DataSign 代表取締役社長 太田 祐一氏

  1. 各府省が作成した「新旧対照表」を改め⽂作成補助システムへアップロードすると、⾃動的に「改め⽂」が作成される機能。 ↩︎

  2. クッキーIDとは、クッキーに書かれたブラウザまたはユーザーを一意に識別するための文字列のこと。そのIDが何と容易照合性があるのかによって、個人情報となり得る。 ↩︎

  3. 参考:ZDNet Japan「特許庁、GitHubで「知的財産デュー・デリジェンス」の標準手順書策定を検証」(2017年11月22日) ↩︎

関連する特集

無料会員登録で
リサーチ業務を効率化

90秒で登録完了

無料で会員登録する