セキュリティやコンプライアンスに対する意識なくして、企業が新しいサービスを成功させることはあり得ません。私たちパーソルキャリアでは、法人企業や求職者の大切な情報を取り扱っていることから、その意識のゆるみが致命的なインシデントにつながりかねません。その一方で、転職ではない新しい“はたらく”サービスをスピーディに生み出す過程において、個人情報を取り扱わない場合でも、時にそういったセキュリティやコンプライアンスが障壁となりうる可能性もあります。
そんな暗黙の対立軸ができてしまうことで、往々にして開発部門と情報セキュリティ部門の仲が悪くなっている…という話はよく耳にしますが、果たして実態はどうなのか。今回は、当社の基本的なセキュリティに対する考え方を正しく紐解きながら、いかに対立しがちな両者を融合することが重要なのか、それぞれが感じている課題も含めて2人のキーマンから話をお聞きしたいと思います。
※三口は退職していますが、本人の同意を得て掲載を継続しています。
社内セキュリティが都市伝説のようになっているワケ
――根津さん、今日はお忙しい中、お時間をいただきありがとうございます!
根津:いえいえ。いつの間にか、社内セキュリティが都市伝説のようになっているので(笑)、今回このような機会をいただけたことは大変嬉しいです。都市伝説的な部分と現実的な部分がありますんで、その辺はきちんとお話をしたいと思っています。
――都市伝説(笑)!なぜ、都市伝説化してしまったのでしょう?思い当たるところはありますか?
根津:人や状況がいろいろと変わってきて、口伝のみだったからだと思います。皆さんが課題だと思っている点はもっともですが、皆さんが窮屈に感じている部分も、そんなに窮屈に締め上げている趣旨はないということを、どのようにすれば伝えられるかと考えていました。私がお問合せいただいたときにその都度説明はしていますが、やはり限界があるので、この記事は社内の方にも是非見ていただきたいですね。
――たしかにこれまでは語り継がれてきたことが多い気がします…。そもそも根津さんはどうしてセキュリティ部門へ?
根津:子どもが幼稚園に入ったタイミングでPPTの前身に入社。ITについての資格を取得したり勉強をしていましたが、未経験でも採用してくれる会社はそこだけでした。お客様先に常駐して1年半ほどアウトソーシング事業をしたときに、コンタクトセンターが仙台に移転することになり、私は子供がいるので仙台には行かずに本社に異動しました。
セキュリティに厳しいお客様先に常駐していたのですが、セキュリティを構築しているとそういう仕事が向いているのではと思い、当時のインテリジェンスに問いかけたところ、ちょうどセキュリティ担当が不足していたタイミングだったので、私がインテリジェンスにセキュリティ担当として行きました。それからずっとセキュリティに関わっています。
常駐先のセキュリティを見て、仕組みなどを学んだので、当時のインテリジェンスのセキュリティには課題が山積していることが分かりました。教えてくれる人がいない中で4月に配属され、7月にはISMSの審査があると言われたので死に物狂いで勉強をし、研修にも参加し、現場から「段取りが悪い。説明が分からない」と怒られながらも7月の審査に臨みました。最初からそんな調子でスタートしているので、入社して10年以上経ちますが、なんだか常にトップギアで走っている感覚ですね(笑)。
――なかなかストイックなスタートだったんですね…(笑)。パーソルキャリアにジョインしたときのコンプライアンスはどのような状態だったんですか?
根津:まず私がパーソルキャリアにきたときは、コンプライアンス部やセキュリティグループは存在しておらず、プライバシーマークやISMSの審査対応がメインの業務でした。組織自体が存在していなかったので、私やもうひとりのメンバーに業務が紐づいている形でしたね。なので私たちが異動すれば、その業務もセットでした。したがって私の業務としては認証の維持が主なものでした。当時の考え方は、会社として認証を維持しながら、できる限り営業やミドル領域などの現場に負荷をかけず、私たちの部門引き取る、という考え方でした。当時はセキュリティに対するリテラシーも教育している余裕がなかったので、すべてこちらで対応、という感じでしたね。
その後、一時ホールディングスでこれらの業務を一括管理することになり、ホールディングスに異動してしばらくは組織全体のセキュリティガバナンスを見ていました。遠隔でパーソルキャリアを見ていましたが、現場には絶対にセキュリティグループの専門組織が必要だということを、峯尾が代表になるときに強く訴え、その結果、情報セキュリティグループという組織を作ってもらいました。
――もともと組織が存在していなかったとは…。そこから今の体勢に移行していったということですね。
根津:はい。当時は、セキュリティやコンプライアンスについて各組織のマネジャー管理能力に委ねていたところが強くありました。新しいサービスや機能開発するエンジニアも増え、スピードを高めるためにも、システム開発や構築、セキュリティも現場に任せる考え方だったんですね。だからこそ自由度が上がり、よりスピーディにリリースし、事業の拡大ができるという考えでしたが、その時に大きなトラブルになりかねない事象が発生しまして…。結果大事に至らなかったから良かったのですが…。
対外的に、会社が現場にセキュリティを任せていたことは悪いことではないのですが、責任はすべて現場という状況に対して、今後もそのままでよいのかといったことが、その事象をきっかけに話し合われました。一定の何かしらの枠組みがあり、自分たちの見る範囲や守るものも何も示していなかったので、守るべき最低限の基準を示し、そこから自由だというものを、パーソルキャリアの経営と目線を合わせて、一定の段階を経た統制を作るということを、ホールディングスよりも先に経営として意思を取りに行きました。
――最初の基準はどのように作っていったのでしょうか。
根津:経営がセキュリティやインシデントに対してもう一段強化していくことが決まり、現場のマネジャーに委ねるのではなく、会社全体で、運用ルールのみに依存するだけではなく、社員を守れる環境を構築しなければならないとなりました。一方で基準を作るといっても、ゼロから作るのは難しく、細かい部分はホールディングスにあるサイバーセキュリティ部が設定し、ホールディングスとグループ各社のエンジニア部隊を兼務している組織に説明し、ガチガチな環境が出来上がりました(笑)。
ガチガチな環境と、個社での自由な環境ができましたが、インフラなどの運用はグループが定める基準のチェックリストを作り、それを満たす形で実施することで合意しました。
――現状の体制の中で、どのあたりに課題があるとお考えですか?
根津:大なり小なり、課題はたくさんあると思っていますし、エンジニアの方が困っていることは、だいぶ理解はしています。昔よくあったのは、「どこに聞けばよいのか」「承認を得るのはホールディングスなのかUPDraft(※)なのか」ということで迷子になってしまうことです。今は相談窓口が用意されているので、昔のような迷子は解消されました。チェックリストひとつとっても管轄が分からなかったり、誰がどのような趣旨でそのチェックリストを作成したのかという説明もありませんでした。また、リストを作成しましたが運用方法が固まりきらず、基本的にはセルフチェックだったので、責任の所在がよく分かりませんでした。
※UPDraftとはパーソルグループに対するAWSインフラ共通基盤を提供・運営するチーム。
エンジニアからセキュリティに関する問合せが多数来ていて、現時点(2020年9月取材)で長いと3ヵ月くらいお待たせしているものもあります。お待たせしている原因は調査中だからというものですが、私たち自身も長すぎると思いますし、放置されていると思われても仕方ないですよね。というのも正直、セキュリティグループの中で捌ききれなくなっているんです。
また、開発環境が会社として完璧に準備されているわけではありません。開発端末は、個人情報を扱うようなネットワークにはアクセスを禁止していますが、そうすると開発の人たちはデータの保存方法ひとつ取っても、不便を強いている状況にあります。なぜ環境を準備できないのかという疑問がありますが、禁止事項をたくさん出してくるのに、「ではどうすればいいのか」を示していない状況が数年続いていました。その点はエンジニアの方に対して申し訳ないと感じています。
社内セキュリティの在り方を検証するようなチーム策定の必要性
――これまでの歴史の中で変化の過程にあることが伝わってきました。その中で、情報セキュリティ部門として大事にしているポイントがあったらお聞かせください。
根津:“守るべきものはお客様の情報である”ということが大前提にあります。数年前に経営の方々と目線を合わせましたが、“次に守るべきものは社員の取り巻く環境だ”と私は思っています。今までは「管理者が管理監督をしなさい」「指さし確認を行うなど意識を徹底しなさい」といったことで担保していましたが、そうではなくて、社員は自分本来の業務に脳が使えるように意識しなくても守られるような環境を作る、という方向にセキュリティはシフトしたいと伝え、情報セキュリティの三年計画を出しました。
「パーソルキャリアは個人情報を扱う事業者だ」と社員のみなさんにもきちんと理解いただいています。世の中から見られる期待値も、個人情報を扱う専門業者だから当然一般企業よりもセキュリティはレベルが高いと思われると思います。なので当たり前のことをやっていても「それは当たり前」となるので、事故が起きないだけではなく未然に防ぐような仕組みという形でやることになりました。基本的には、社員たちが安全に取り扱えるような環境を作ることが重要だと思っています。今までは運用でカバーしていたものも、それ以降はオペレーションミスをするような形にするのではなく、自動化してミスがないようにするようなシステムを作る要求するようにしました。
とにかく社員たちが自分の仕事に注力できるように意識せずとも守れるようなものを作らなければならないですが、今は当時と違い複雑な環境なので、それに対応するものを用意しなければなりません。注力すべき点のメリハリをつけたいです。環境が整えば、個人情報の取り扱いに関する基本的な法律を知らなくてもいいのか、となればそれは違う話です。基本的なことを理解したうえで、顧客に対峙しても「それも知らないの?」という不信感を与えないような教育もワンセットだと考えています。アレもコレも覚えて、というのは難しい思うので、そこは環境でやるべきだと思います。それが今、重要視しているところです。
――社員が一人ひとり「当たり前水準」を高く持っていることが重要なのですね。改めてなんですが、私たちは顧客の“何を”守っていくことを意識することが大事なのでしょうか。
根津:個人顧客でいえば、転職を中心とした“はたらく”にまつわる情報を預かることになりますので、情報を守る先にはその人の人生を守ることになります。例えば、万が一情報漏洩をしたことによって、在籍中の企業に転職が分かってしまい、転職の機会を逃してしまうコトがあれば、その方の人生を変えてしまいかねません。そんなことは絶対にあってはいけません。入社できる権利や面接を受けられる権利などの本人の権利利益の侵害という点では、法律の趣旨と同じだと考えています。法人顧客についても、良い人材に出会える権利を失うことに繋がるので、それを守るということは、お客様それぞれの権利や利益を守ることにつながると考えています。
――パーソルキャリアに入社するという事はそう言った意識を持っていないといけませんね。そのためにエンジニアは何を重視すればよいのでしょうか。
根津:そうですね。我々は、個人情報のあらゆる項目をたくさん持っているので切り離すことは出来ません。個人情報保護法を理解するよりも、その手前で、「個人情報の定義を私たち自身がエンジニアに正しくお伝えできていない」ということが気になっています。わかってない事よりも、私自身が伝えてない事なんですが、個人情報というものは、一体何を指しているのかということを正しく知ることが重要です。
先ほどセキュリティに関するお問合せの回答に3ヵ月もかかっていると言いましたが、それもまず言葉の定義についてのメールのやり取りで1ヵ月ほどかかっています。個人情報の定義を知らなければ、重要性の認識がずれてしまいます。法律的には個人情報だけれども、正しく理解をしていなければ個人情報ではないという整理になってしまうので、システムの実装状況も変わってしまうと思います。悪気はないけれども、法的な不備が発生しちゃうんです。
――その定義の認識を合わせることは、難しいのでしょうか。全社で取り組んでいるコンプライアンス研修もあるので、そこまで認識が異ならないと思ってました。
三口:そうですね。パーソルキャリアのエンジニアはこの辺りはどちらかといえば意識高く取り組んでいる方だと思います。ただ、一般的に世の中で言われている個人情報よりも、パーソルキャリアの基準は高いのではないかとエンジニアは考えています。
根津:その世の中での基準と、パーソルキャリアでの基準は何かという話になります。そこが都市伝説になっているのですね(笑)。
――個人情報を扱う会社だから、その定義は高くなければならないということですよね。
根津:エンジニアの方も意識が高いので、いろいろと個人情報の取り扱いに留意してくれています。決して意識が低いわけではありません。しかし、法的に見ると留意しきれていない部分があるということなんですね。その点は「しっかりと目線を合わせてれば早いのに…」と悔しい思いになります。過去、法改正の時に一部の部署では、がっつりとその教育をした結果、その組織の人との構築や会話はとても早かったので、おそらくエンジニアの方も、その教育で押さえるべきポイントが理解できると思います。
――その個人情報の定義については、誰でも把握できる状態になっているので、それを確認して欲しいというニュアンスでしょうか。
根津:把握できる状態になっていますが、エンジニアの方はたくさんのデータを扱っているので、そのデータが個人情報の定義に含まれているかどうかを紐づける必要があります。そういう点で難しい部分があると思います。
三口:情報セキュリティの方とエンジニアでは、気にかけるポイントが違うと思っています。情報セキュリティの方たちが用意している資料は、エンジニア向けに作られているわけではないので、営業の人たちなどでも分かるように書かれています。その資料だけを見ると、先ほど言われていたとおり「個人情報ではないだろう」とエンジニアが考えて確認をしても、そもそもその定義を理解できていないから延々とやり取りをすることになってしまいます。
――とくにエンジニアやテクノロジー人材が問合せをして、結果それは個人情報だったという例はありますか?
三口:よく言われていることとしては、基幹システム内のテストデータですね。データをマスキングして情報などを分からなくしてありますが、それが個人情報かどうかと言われると、個人情報にあたります。
根津:マスキングされていても、法的には「個人情報データベース(個人データ)」となりますね。
三口:一般的には、個人情報を加工して個人を特定できないようにすれば個人情報ではなくなります(匿名加工情報)が、IDが残っていると、他のデータベースと紐づけられるので個人を特定できます。
また別の例では、個人情報を取り扱っていなくても、職務経歴や在籍企業が珍しい場合などは個人を特定することが出来てしまいます。エンジニアがなかなか理解できていない点としてはIDだと思います。本当はクリアにしなければならないのに、少し直したから大丈夫だと思っている人も多いです。
根津:テストデータは全く0から架空で作っていればまだ大丈夫です。
三口:それ僕も逆に気になったんですけど、IDは不可逆なハッシュなどにしてあるものは個人情報と呼ぶのでしょうか。
根津:それ今まさに話そうと思ったんですけど、状況を正しく把握する必要がありますが、シンプルに言うと、個人情報か個人情報ではないかというのは、他者である提供先の基準ではなくて提供元の基準になります。
例えば、元データを加工して第三者に渡しても、相手を特定することは出来ないのでそれは個人情報ではないという論理になりがちです。しかし、法律は我々が元データを加工して、その加工したデータから元データを特定できなければ匿名加工情報となり、本人の同意なく渡してもよいデータになります。しかし我々がデータベースと照合して特定できるのであれば、それは個人情報データベースです。これは国の法改正時の検討分科会でも提供元基準であるということは言っています。
元のデータというのは色々なものとシステム連携しているので、どこまでの連携かということがエンジニアの方と議論になったりします。なのでその点を丁寧にひもときたいのですが、そのためには我々もITの知識がなければ会話になりません。法務との間を取り持たなければならないのですが、セキュリティグループの中にもそこまでITの知識がある人間が少ないので、話がなかなか噛み合わなくて、問い合わせ対応に時間がかかってしまいます。データベースがあまり綺麗でないということも問題としてはありますね。
ハッシュ化というものも、昨今HR業界で問題になった事件がありましたが、そこの会社も「ハッシュ化したので個人情報ではない」という解釈のもとで使用していたことが、個人情報保護委員会より指摘されています。
三口:ハッシュ化してもデータを追いかけることが可能な状態であれば、それは個人情報であるということなんですね。
根津:そういうことです。
――さまざまな事情からいきなりすべてを解決するのは難しいように思ってきました…。この情報セキュリティとエンジニアの溝が深くなるのはどこが要因なんですかね…?
根津:実は以前もパーソルキャリア内にあった新規事業立ち上げのエンジニアと毎週2時間半くらいMTGしていた時と少し状況が似てるな、って思っていました。エンジニアからすると「法務・情セキ・コンプラのそれぞれが“何を確認したくてそれを言うのか”」が分からないことが、ストレスになっていると思うんです。ただ、こっちはこっちで、法律で語られていることを当たり前だと思っているので「あの書類もこの書類も出して」と言ってて彼らも「なんでわかってもらえないんだろう」となっている…。そこにあると思うんですよね。
――エンジニアサイドからすると、情報セキュリティ側にどうあってほしいのでしょうか。
三口:そうですね。いくつかあるんですが、今は話が通じないということが一番大きいと思っています。
もちろん情報セキュリティの専門家もいらっしゃると思いますが、実際に僕たちが常にその人に相手にしてもらえるわけではないので、そうなったときに全く話が噛み合わないという現状があります。問い合わせの数がたくさんあるというのも分かりますが、それは僕たちの無理解も原因としてあると思うので、それについてはきちんと理解がある人が説明するということが必要だと思います。リソースの問題というのは、僕たちももちろん顧客のためになると思ってプロジェクトを進めていますが、今は無理解のせいで、それをすぐに反対されてしまうように見えている部分があるんですよね。
実際には根津さんを含め、情報セキュリティの皆さんそうだと思いますが、もちろん顧客の利益を守りながらも、プロジェクトのやりたいようにやらせてあげたいと考えてくださっていると思います。しかし残念ながら、今の段階ではその部分があまり伝わっていないので、今回のこの記事でその部分が伝わるといいなと思っています。
また、dodaと新規サービスのセキュリティ基準が同じであることも考えていかないと、と思っています。dodaは会員数がとても多いので、何か事故が起きたときの被害は甚大です。一方で、会員数が少ないからと言って何か事故が起きても大丈夫かというと、それはレピュテーションリスクがとても大きいので、サービスの大小は関係ありません。新規部門だからと世の中は認めてくれないので、パーソルキャリアが、パーソルグループが漏洩したという話になります。今は、すべてのサービスでリスクの大きさに対する管理体制が同じになっていますが、レピュテーションリスクなく、セキュリティ基準をどのように考えていけばよいのかエンジニアも考えていると思います。
情報セキュリティのリソースが不足している部分に関しては、技術的な部分で処理できるものもあるので、僕たちも手伝いますよと伝えています。エンジニアが最初から入っていれば「ダメ」となっても、エンジニアに伝わる言葉で翻訳ができるので、その部分のストレスはだいぶ緩和されると思います。以前提案した時に形にならなかったのは、審査をする部署なのに、申請を出す側の人間がそこにいるとマッチポンプになってしまいます。
やってはダメなのでやりませんが、何かの審議で、「これは個人情報ではないから進めて大丈夫」となったときに、情報セキュリティ側でそれが検証できるかと言われてもそんな時間も人員もないので出来ません。なのでセキュリティがわかるエンジニアを招集し、審査には加わらない検証チームを設立させてもらいたいです。
それならば、最初の段階で情報セキュリティ側が「何言ってるんだ」となってしまうような話も、エンジニア同士の会話でスムーズに進むようにできると思います。それで技術的な検証が必要になるのであれば、本当に正しくリスクが軽減されているものなのかを検証し、グループやパーソルキャリアの基準に合っているのかを確認することができると思います。
最後に、今はどこでも働ける世の中ですが、パーソルキャリアの基準としては社外と社内に分けて、社内にいれば安全という基準にしています。しかし“社内は安全”という考え方は古いので、もともとの通信という動き自体が安全でない、ゼロトラストという考え方でやってはどうだとエンジニアは考えています。しかし持ち込めるかどうかの検証は出来ないので、検証するようなチームを一緒につくり、それが本当にできるかどうかを確認したいと思います。分野を分けるのではなく、一緒になって解決していきたいと思います。
根津:そのために新しい組織やチームなど何かしらを作らなければとは思っています。私もグループやパーソルキャリアの基準から見て「ダメ」と言いますが、私が何かにこだわってダメと言っているわけではないんです。
何かあったときの対外的な説明をするときに、経営はそのリスクを許容したかどうかという話になります。場合によっては扱う情報もありますが、「この対策方法でなくてはダメ」って言うのではなくて、本質はこういう事故を防ぐために、今の環境とネットワークだと対策方法がそれしかないので、その対策方法をお願いしているということです。例えばDT部の方に伝えると理解してくれて、検証し解決方法を探ってくれます。
何かしらの新しいソリューションやツール、プログラムなどで解決する方法があるならば大歓迎です。今までは私が個人的に発言し、動ければ頑張って動いていましたが、時間がなくて難しい場合は諦めていました。三口さんがおっしゃっていたような検証チームを作り、良いものにするための取り組みができればいいと思います。
三口:エンジニアはみんな手を挙げると思いますよ。
根津:本当ですか!?嬉しいです!!!!!今、開発環境のところはテクノロジー企画がようやく進めてくれたので、本気になればこんなに早く動けるのかと思っていたところでした。
三口:僕は、情報セキュリティの中にチームを作る方がいいと思います。いろいろな意見があると思いますが、本来の筋であれば、情報セキュリティ側からテクノロジー本部のほうに「こうして」と言えればいいと思います。しかしそのようなリソースはないと思うので、反対にエンジニアで組成したセキュリティチームから情報セキュリティ側に「こういうことをしたい」と管理監督していただき、チームの中で使える技術を検証すればいいと思います。パーソルキャリアALLでそういう事を検証するチームであったり、それぞれの分科会で考えたりはできると思います。そのような作り方をすれば、一緒にできるのではないでしょうか。
エンジニアは、労働集約型を嫌うので、仕組みで解決しようと考えます。なので「こういうことをやりたい」と言ってくれたら、自然と仕組みづくりの提案が出てくると思います。まずは根津さんが考えている「本来はこういうことをしたい」という話をする場を作るといいですね。
根津:以前、三口さんと一緒にやったSlackのプロジェクトのときに、三口さんが私の考えをたくさん拾ってくれてとても感動した経験があります。今までは私のワガママのように見られていたことを、三口さんが目の前で画面に出してくれたのを見たときは涙が出そうになり、これならば不必要なルールはなくなると思いました。
そのときに、ITとセキュリティがもっと密にならなければいけないということを、身に染みて感じました。統制にも差が出ると思いました。そう思っていながらも何もできずにいましたが、いろいろなエンジニアの方が増えてきました。
エンジニアの方にお話を聞くと、より安全に適切にやるための環境のことを考えています。それに対して私がチェックゲートを設けたいと伝えると、こちらで考えるよりも先にパパっと作ってくれます。ITとの連携によって現場にも導入ができるし、こちらも意図した形でチェックゲートが設けられているので、とても進みが早いと感じた経験があり、もっと密に連携をしたいと思いました。それをどうすればいいのか…ということですね。目的を果たすためならどこに組織があっても良いのですが、三口さんがおっしゃる通りセキュリティ側にあるというのはどうなんでしょうか。
三口:絶対にそこは守らなければならない所だと思いますよ。エンジニアの無理解ということがあると思います。なのでそこの部分が伝わればエンジニアも「そうだよね」と思うはずです。
根津:エンジニアの方たちへの説明の仕方や打ち出し方などを一緒に考えてもらうために、セキュリティ側に来てもらうということですね。
これから必要なのは「データ活用の透明性」
――今後いろいろと環境が変化するなかで、今後入社する人には、どのような価値観やスタンスを持っていていただきたいですか。
三口:これから世の中がどのように変化していくかということを、エンジニアも情報セキュリティも一緒に考えていかなければならないと思っています。例えば情報銀行のような考え方が導入されてしまうと、利用規約などは今の形式ではありえなくなってしまいます。それぞれの情報に対して規約があり、どれに対して同意を取っているかということに、ならざるを得ないと思います。世の中にはそのような不可逆な流れができていて、それがいつ来るかは分かりませんが、その方向に行くことは間違いありません。
その中でパーソルグループやパーソルキャリアとして、どのようにお客様の個人情報を守り、利便性が高く顧客にとってプラスになるような使い方をするのかということですが、あまりにガチガチにしてしまい、金庫のように簡単に取り出せないようにしてしまうのは本末転倒です。やはりそれがこちらの利益に繋がるということは、損失以上にメリットをもたらすものであるべきだと思います。僕たちもそれに対してきちんと未来を読み、そちらの方向に進むためにはセキュリティの基準が必要だという話をしていかなければならないと思います。
今は世の中の流れに遅れ気味で、流れに乗ることよりも、いかに情報漏洩などの損失を生まないかに注力していると思いますが、もっと顧客に利益が生み出せるような形にしていくという考え方を持たなければならないと思います。
これからの「はたらく」ということはものすごく変化していくと思うので、今とは全く違うものになっている可能性も考えられます。そうなったときに、情報セキュリティや個人情報はどうなっているのかということに対して、自分たちが業界を牽引していくくらいの気概を持った方に、うちの会社に入ってきてほしいです。
根津:定例会でもよくお伝えしていますが、パーソナルデータの利活用というのは今後活発になってきます。また、コロナが後押ししていると思いますが、“自分の情報は自分のもの”という意識がもう一段上がってくるので、同意の取り方も変わってくると思います。なのでやはりデータの取扱いに関しては、透明性が必要だと思っています。
いかに、どのような流れでどのような利用をしていたという透明性を持って利活用し、きちんと守っているかが、お預かりしている個人の方や相手の方の信頼に関わってくると思います。その信頼があればチャレンジングな分析などにも協力をして、クラウドファンディング的に自分の情報を預ける人も出てくると思います。
これはエンジニアだけでなく企画の人もそうだと思いますが、透明性を持っていかに分かりやすく、且つ、それが後々柔軟に管理できる、接続できるような設計をエンジニアの方にしていただきたいです。そして管理の仕方などはエンジニアの視点からセキュリティ側にインプットしてほしいです。
また、働き方が変わっていくなかで、自分の経歴情報を自分で管理して、自分の情報を名刺代わりにして仕事を掴みにいくというようなスタイルになっていくと考えたときに、我々にチャンスがあると思います。学生時代からのライフイベントの経歴を持っている我々も強みだと思います。そこに新たなサービスを付加して、どんどん情報を溜めて透明性の管理をすれば、今までにない顧客層とのリーチができると思います。そのような発想を見越したような技術の吸収をして、我々に教えてほしいです。
みんなが頑張って考えたこのサービスに、ちょっとした手当をすれば起きなかったような事故で、そのサービスにケチがつくことが嫌なんです。なので守りのセキュリティというよりは、攻めのための守りですね。サービスに対する想いや信念は大事にしたいしその心意気は汲んであげながらも、その人が非難を浴びることを避けたいです。しかし、新しい領域に行くためのチャレンジは付き物なので一緒に考えて、最大限そのチャレンジを推進させるための守り方を考えたいですね。
そこに私が役に立つのはセキュリティと法律の観点です。例えばシートベルトを締めていなければ非難を受けるといったアドバイスをしながら、みんながやりたいことをギリギリのところまで後押ししてあげたいです。絶対に顧客に迷惑が掛からない形で、ケガする覚悟を決めたなら、では私はそこまでは後押ししようというイメージです。男の子のお母さんという感じでしょうか(笑)
三口:本人も覚悟をしていたり、自分で責任をとれる状態であれば良いと思いますが、どこまで影響を与えるかが分かっていない場合がありますね。
根津:そうですね。だから語気強く「待って!!」と止めてしまいますが、そうすると「セキュリティの壁」「越えなければならない山」と言われてしまいます(笑)。
――良いものを生み出したいという思いはみんな同じはずなのに、リスクやコンプラ、という見えないフィルターがかかっていたのではないか、ということが今回のインタビューで分かりましたね。ちょっとした声かけでクリアになることも多そうですね。
根津:こちらも忙しいという理由で対応が良くなかったりするので、そうするとお互いがけん制をしてしまい、それが悪循環となっているので、断ち切らなければならないと思っています。
今は全部の案件の初回ヒアリングに私が立ち会い仕切ることにしていますが、やはり限界があります。三口さんをはじめとして皆さん協力的なので、今までは判断に必要な情報を我々が提示できていなかったと思います。今後はそれをお渡しし、チームで一段上の仕事をしていきたいですね。
――情報セキュリティの考え方、お互いの歩み寄りの大切さがわかる対談でした。ステキなお話をありがとうございました!
(取材・文=伊藤秋廣(エーアイプロダクション)/撮影=古宮こうき)
三口聡之介 Sonosuke Mikuchi
サービス企画開発本部 サービス開発統括部 エグゼクティブマネジャー
京都大学在学中に、株式会社ガイアックスの設立に参画。その後、KLab株式会社で携帯アプリケーションの開発に従事したのち、楽天株式会社に入社し、プロデューサーとしてMyRakutenなどを担当した。2013年から株式会社百戦錬磨に参画、取締役に就任。2013年にとまれる株式会社を設立、代表取締役社長に就任した。その後、ベンチャー企業複数社を経て2018年2月からパーソルキャリア株式会社に入社。サービス開発統括部のエグゼクティブマネジャーを務めている。
現在は退職。
根津 真奈美 Manami Nezu
コーポレート本部 コンプライアンス推進部 エキスパート
システム開発会社にエンジニア希望で入社するも、営業事務へ配属。エンジニアの夢が捨てきれずにIT系の資格を取得後、インテリジェンスのグループ会社へ入社。法人向けITサービスのセールスの他、ヘルプデスクでSVとして新卒育成を担当。2008年からインテリジェンスコンプライアンス推進室で転籍し、情報セキュリティを担当。2012年4月からテンプホールディングスへ異動し、インテリジェンスの情報セキュリティ部門を設置。2016年10月よりインテリジェンスへ戻り情報セキュリティグループのマネジャーを経てコンプライアンス推進部のエキスパートとして情報セキュリティ領域を担当している。
※2020年11月現在の情報です。