第22話 DPIAって誰のあだ名ですか?
- 山崎行政書士事務所
- 5月13日
- 読了時間: 15分
静岡市葵区、青葉通りから少し入った山崎行政書士事務所では、その朝、さくらが応接室のテーブルに名札を並べていた。
山崎香澄。 悠真。 蓮斗。 奏汰。 ふみか。 しょうこ。 そして、最後に一枚。
DPIA様。
「……さくらちゃん」
湯呑みを持った香澄が、名札を見て静かに言った。
「はい」
「これは?」
「今日の相談者の方です」
さくらは真剣な顔で答えた。
「相談票に、“DPIAについて相談”って書いてあったので。海外の方かなと思って、ローマ字表記のままにしました」
事務所が一瞬、静かになった。
陽翔がタブレットを抱えたまま、そっと近づく。
「DPIA様……」
奏汰がヘッドホンを片耳だけ外した。
「人ではありません」
「えっ」
さくらの顔が固まった。
悠真が書類を整えながら、いつもの落ち着いた声で言った。
「DPIAは、Data Protection Impact Assessment。日本語では、データ保護影響評価などと呼ばれることがあります」
さくらは名札を見た。
DPIA様。
もう一度見た。
「……あだ名じゃないんですか?」
陽翔が腹を押さえた。
「DPIAさん、青葉通りに現る」
「笑わないでください!」
さくらは慌てて名札を回収しようとした。
しかし、みおが資料を抱えて入ってきて、その名札を見た。
「DPIA様……なんだか、少し偉い人みたいですね」
「偉い人ではなく、評価手続きです」
悠真が言った。
しょうこは名札を見て、淡々と分類した。
「誤分類です」
「しょうこさん、分類が冷静すぎます」
さくらは両手で顔を覆った。
「すみません……。また、やってしまいました」
ふみかがピンクのクリップボードを開きながら、やさしく笑った。
「でも、略語って人名みたいに見えることありますよね。Pマークはまだマークって分かるけど、DPIAはたしかに誰かのイニシャルっぽいです」
「DPIA・山田さんとか」
陽翔が言った。
「いません」
奏汰が即答した。
香澄は笑いをこらえながら言った。
「今日は、難しい略語が出てくる相談になりそうね。さくらちゃん、その名札は記念に裏返しておきましょう」
「捨てないんですか?」
「今日の学びとして」
悠真が小さくため息をついた。
「思い出フォルダならぬ、思い出名札ですね」
「悠真さんが先に言った!」
陽翔が目を輝かせた。
「記録しなくていい」
午前十時、入口の鈴が、からん、と鳴った。
「お世話になります。駿河ヘルスリンクの瀬戸です」
入ってきたのは、三人だった。
代表の瀬戸は四十代前半の女性。落ち着いたジャケット姿だが、手には付箋だらけのファイルを抱えている。 隣には、プロダクト責任者の若い男性、北原。ノートパソコンを抱え、目の下に少し疲れが見える。 そして、法務兼総務担当の望月。こちらはすでに相談票を握りしめており、何かを一つでも忘れたら大変だという表情をしていた。
「本日はよろしくお願いいたします」
香澄が迎える。
「こちらこそ。実は、新しい個人データ活用サービスについて、DPIAが必要ではないかと言われまして」
瀬戸がそう言った瞬間、さくらの肩がぴくりと動いた。
陽翔が小声で言った。
「DPIA様、再登場」
「陽翔さん」
さくらが睨む。
瀬戸は不思議そうに首をかしげた。
「何か?」
香澄がにこやかに言った。
「いえ、少し事務所内で略語の確認をしておりまして」
悠真は、裏返された名札をそっとファイルの下へ隠した。
しかし、北原が見てしまった。
「……DPIA様?」
応接室の空気が止まった。
さくらの顔が赤くなる。
北原は一瞬きょとんとしたあと、声を出して笑った。
「すみません。でも、分かります。うちの社内でも“DPIAって誰の担当者?”って言われました」
「社内にも仲間が!」
さくらが思わず言った。
瀬戸も笑った。
「略語って、最初は本当に人を遠ざけますよね。今日は、そこを分かりやすく整理していただきたくて」
香澄はうなずいた。
「もちろんです。難しい略語も、一つずつほどいていきましょう」
相談は、駿河ヘルスリンクが始めようとしている新サービスについてだった。
サービス名は「みちしるべケア」。
利用者がスマートフォンアプリに健康状態、睡眠、歩数、食事の記録、通院予定、介護サービスの利用状況などを入力すると、地域の医療・介護・生活支援サービスを提案する。将来的には海外在住の家族も見守り情報を確認できるようにし、クラウド上でデータを分析して、必要な支援につなげる構想だという。
北原が画面を開いた。
「高齢の方や、そのご家族の支援に役立てたいんです。静岡市内の介護事業者や薬局、地域包括支援の方とも連携できたらと思っていて」
ふみかのピンクのクリップボードに、すでに文字が走っていた。
健康情報。 生活記録。 家族連携。 海外在住家族。 クラウド分析。 介護事業者。 同意。 越境移転。 DPIA。
陽翔がのぞき込む。
「ピンクのクリップボード、本日も高速処理です」
「今回はかなり大事な情報ですから」
ふみかは真剣だった。
悠真がホワイトボードに書いた。
個人データ。 利用目的。 リスク。 クラウド構成。 越境データ移転。 社内説明。 DPIA。
「まず、DPIAを“誰かのあだ名”ではなく、何のためのものか確認しましょう」
さくらが小さくうなずいた。
「はい……」
悠真は続けた。
「DPIAは、新しいサービスやデータの使い方が、人のプライバシーや権利にどんな影響を与えるかを事前に考え、リスクを減らすための評価です。怖い書類を作るためではありません。人を守るための確認作業です」
みおがぽつりと言った。
「始める前の、思いやりの点検ですね」
応接室が少し静かになった。
陽翔が小声で言った。
「結論の妖精、DPIA様を一瞬で人間味あるものに」
「DPIA様ではありません」
奏汰が言った。
瀬戸は、みおの言葉にうなずいた。
「思いやりの点検……。それなら、社内にも説明しやすいかもしれません」
最初に整理したのは、個人データの種類だった。
しょうこがホワイトボードを三つに分けた。
利用者本人の情報。 家族の情報。 連携先に渡る情報。
「まず、誰の情報を扱うのかを分けます」
しょうこは淡々と書き込んでいく。
氏名。 年齢。 連絡先。 健康状態。 服薬。 睡眠。 歩数。 食事。 位置情報の可能性。 介護サービス利用状況。 家族の連絡先。 海外在住家族の閲覧情報。
北原は、ホワイトボードを見て少し顔を引き締めた。
「こうして並べると、かなり重い情報ですね」
「はい」
香澄は穏やかに言った。
「サービスの目的は温かいものです。でも、扱う情報が温かいからこそ、丁寧に守る必要があります」
ふみかが続けた。
「健康や生活に関する情報は、利用者さんにとってとても大切です。誰が見られるのか、何のために使うのか、どこまで家族や事業者に共有するのかを、分かりやすく説明しましょう」
望月がメモを取りながら言った。
「同意書やプライバシーポリシーも必要ですよね」
「必要です」
悠真が言った。
「ただし、長い文章を用意するだけでは不十分です。高齢の利用者さんやご家族が理解できる言葉で、何に使うのか、誰に共有するのか、やめたいときどうするのかを説明することが大切です」
さくらが小さく手を挙げた。
「DPIAって、つまり“この説明で本当に利用者さんが困らないか”も見るんですか?」
「はい」
香澄がうなずいた。
「とても大切な視点です」
さくらの顔に、少し安心したような表情が戻った。
次に、GDPRの話になった。
瀬戸がファイルを開く。
「海外在住の家族にも見守り情報を見てもらう予定があります。さらに、将来的には海外の利用者にも展開したいという話が出ています。そこで、GDPRという言葉が出てきて……」
さくらがまた少し身構えた。
「GDPR様……ではないですね」
陽翔が吹き出した。
「さくらちゃん、学習が早い」
「もう間違えません」
奏汰が言った。
「GDPRも人ではありません」
「はい」
悠真はホワイトボードに書いた。
GDPR。 越境データ移転。 海外家族の閲覧。 海外クラウド事業者。 海外展開の可能性。
「GDPRは、EU域内の個人データ保護に関する規制として知られています。今回、すぐに適用されるかどうかは、サービスの対象や提供方法、利用者の所在地などを慎重に確認する必要があります」
かなえが補足した。
「海外在住の家族が見るだけなのか、海外の利用者を対象にサービスを提供するのか、海外の事業者にデータを移転するのか。ここを分けましょう」
しょうこがすかさず分類した。
一、海外にいる家族が閲覧する。 二、海外クラウド事業者がデータを処理する。 三、海外の利用者向けにサービス展開する。
「この三つは、同じ“海外”でも意味が違います」
瀬戸は目を丸くした。
「確かに、社内では全部“海外対応”で一緒になっていました」
陽翔が言った。
「海外丼ですね。具材が全部混ざっている」
「丼にしないでください」
悠真が言った。
「でも、分ける必要があるのはその通りです」
北原がノートパソコンを見ながら言った。
「クラウドの構成でも、データ保存場所や分析サービスのリージョンを確認する必要がありますね」
その言葉で、蓮斗と奏汰が同時に顔を上げた。
「構成図を見せてください」
二人の声が重なった。
陽翔が小声で言う。
「クラウド班が同時起動しました」
北原は少し緊張しながら、クラウド構成図を表示した。
利用者アプリ。 認証基盤。 APIサーバー。 データベース。 分析基盤。 通知サービス。 家族向け閲覧画面。 外部事業者連携。 ログ保存。 バックアップ。
蓮斗は構成図をじっと見つめた。
「データベースの保存リージョン、分析サービスの処理場所、バックアップ先、ログ保存先が確認ポイントです」
奏汰が続ける。
「家族向け閲覧画面では、本人のどの情報をどこまで見せるか。介護事業者には何を共有するか。外部連携先ごとにアクセス権限を分ける必要があります」
北原がうなずく。
「今は、管理者画面でかなり広く見える設計になっています」
応接室の空気が一瞬だけ冷えた。
蓮斗が静かに言った。
「管理者画面は、よく怪物になります」
陽翔がすかさずメモを取る。
「本日の名言、怪物系です」
奏汰が言った。
「最初から最小権限で設計しましょう。役割ごとに見える情報を分ける。閲覧、編集、削除、出力を分ける。アクセスログを残す。異常な閲覧に気づけるようにする」
ふみかがピンクのクリップボードに書き込む。
本人。 家族。 介護事業者。 社内管理者。 開発者。 委託先。 それぞれの閲覧範囲。
「DPIAでは、こういう技術設計も評価に入れるんですね」
さくらが言った。
蓮斗はうなずいた。
「入ります。プライバシーのリスクは、契約書だけでなく、画面や権限やログにも現れます」
瀬戸は構成図を見つめた。
「人を支えるサービスのはずなのに、設計を間違えると、人を不安にさせるかもしれないんですね」
香澄はやさしく答えた。
「だから、始める前に考えるんです」
次に、リスクの洗い出しに入った。
りながホワイトボードに大きな表を作った。
リスク。 影響。 発生可能性。 対策。 残る課題。 説明方法。
「たとえば」
りなは書き始めた。
本人が知らない範囲で家族に情報が見える。 介護事業者が必要以上の情報を閲覧する。 海外のクラウドサービスにデータが保存されることを本人が理解していない。 退職者アカウントが残る。 管理者が必要以上にデータを見られる。 分析結果が誤解を生み、不安を与える。 データ削除や利用停止の手順が不明確。 漏えい時の報告手順がない。
望月は表を見て、少し青ざめた。
「たくさんありますね」
香澄は首を振った。
「これは、サービスが悪いという意味ではありません。大切なサービスだからこそ、起こりうることを事前に見るんです」
みおが言った。
「傘を持っていくのは、雨を願っているからじゃないですもんね」
応接室が少しやわらいだ。
陽翔が小さく拍手した。
「DPIA、傘になる」
「比喩としては良いです」
悠真が言った。
さくらは、裏返した名札をちらっと見た。
DPIA様。
さっきまで、人名に見えていたその文字が、少し違って見えた。
難しい略語。 英語の四文字。 でも、その中身は、誰かが困らないように先に考えること。
「DPIAって、優しいんですね」
さくらがぽつりと言った。
陽翔が驚いた顔をした。
「さくらちゃんが、DPIA様と和解しました」
「様はつけません」
さくらは少し笑った。
午後は、社内説明資料の整理に入った。
瀬戸が言った。
「社内の開発チームや営業チームに、DPIAの必要性を説明したいんです。ただ、“GDPR対応のためにDPIAをやります”と言っても、たぶん伝わりません」
「伝わりにくいですね」
しょうこが即答した。
「社内説明は、役割ごとに変えましょう」
しょうこはホワイトボードに三つの相手を書いた。
経営層。 開発チーム。 営業・サポートチーム。
「経営層には、事業リスクと信頼の話。開発チームには、設計に反映すべき要件。営業・サポートチームには、利用者への説明と問い合わせ対応。これを分けます」
陽翔が感心した。
「しょうこさん、社内説明まで譜面にするんですね」
「今回は五線譜ではありません」
「三段譜ですね」
「違います」
ふみかが社内説明の見出し案を出した。
なぜDPIAを行うのか。 どんな個人データを扱うのか。 利用者にどんな影響があるのか。 リスクを減らすために何をするのか。 開発・営業・管理部門が守ること。 問い合わせや事故時の対応。
悠真が言った。
「難しい略語から入るのではなく、“利用者さんが安心して使えるサービスにするため”から説明したほうがよいです」
瀬戸は大きくうなずいた。
「それが一番、当社らしいです」
北原も言った。
「開発チームにも、単なる法務チェックではなく、設計の品質を上げるためだと伝えたいです」
奏汰が言った。
「プライバシー要件は、後付けするとつらいです。最初から設計に入れるほうが、結果的に作りやすい」
陽翔が言った。
「プライバシーも、最初から弁当に仕切りを入れるほうが楽ですね」
「また弁当ですか」
さくらが笑う。
「あとからカレーとショートケーキを分けるのは大変です」
悠真が少しだけ考えた。
「今日のたとえとしては、分かりやすいです」
「久しぶりの弁当比喩、採用!」
夕方近く、DPIAの初回整理がまとまった。
サービスで扱う個人データを洗い出す。 利用目的と共有先を整理する。 本人、家族、介護事業者、社内担当、委託先ごとに閲覧範囲を決める。 GDPRや海外展開の可能性について、対象者や提供地域を分けて確認する。 越境データ移転がある場合、クラウド保存場所や委託先、説明内容を確認する。 クラウド構成では、保存リージョン、バックアップ、ログ、アクセス権限、削除手順を整理する。 リスクを洗い出し、対策と残る課題を記録する。 社内説明資料を作り、経営・開発・営業サポートそれぞれに伝える。 利用者向けの説明文、同意、問い合わせ対応、利用停止・削除手順を整える。
しょうこが、いつもの三行にまとめた。
「一、DPIAは、個人データの使い方が人に与える影響を事前に考えること。 二、GDPR、越境移転、クラウド構成は、“誰の情報がどこでどう使われるか”に分けて見る。 三、難しい略語も、利用者を守るための道具として社内に伝える。」
瀬戸は、その紙を見て静かに息を吐いた。
「これなら、社内に説明できます」
北原も言った。
「構成図の見直しも必要ですね。管理者画面の権限、家族が見られる情報、ログ、削除手順。開発チームで整理します」
望月は、少し笑った。
「最初はDPIAという言葉だけで怖かったんです。でも今は、サービスを始める前の大事な準備だと思えます」
さくらが、裏返した名札をそっと表に返した。
DPIA様。
全員が見た。
さくらは少し恥ずかしそうに言った。
「この名札、今日の最初は間違いでした。でも、なんだか今は、DPIAに席を用意するのも悪くない気がします」
「席?」
瀬戸が尋ねる。
「新しいサービスを作る会議に、利用者さんの安心を考える席を用意する、というか……」
応接室が静かになった。
みおが嬉しそうに微笑んだ。
「さくらさん、それ、すごくいいですね」
悠真も静かにうなずいた。
「DPIAを人扱いしたことが、最後に良い比喩になりましたね」
陽翔が感動したように言った。
「DPIA様、ついに名誉回復」
「様はつけません」
さくらは今度は笑って言った。
香澄は、名札を見てやさしく微笑んだ。
「難しい制度や略語も、会議の端に置いておくものではなく、ちゃんと席を用意して向き合うものなのかもしれませんね」
瀬戸は深くうなずいた。
「当社の社内説明で、その話を使わせてください。新サービスの会議には、利用者の安心の席を用意しましょう、と」
「ぜひ」
香澄が言った。
三人が帰るころ、青葉通りには夕方の光が差していた。
瀬戸は入口で振り返り、笑顔で言った。
「今日はありがとうございました。DPIA様にも、よろしくお伝えください」
さくらが顔を赤くした。
陽翔が吹き出した。
悠真は小さく咳払いした。
「正式には、DPIAです」
瀬戸は笑いながら事務所を出ていった。
からん。
入口の鈴が鳴り、事務所には一日の終わりの静けさが戻った。
さくらは名札を手に取り、しばらく眺めていた。
「DPIAって、最初は本当に分からない言葉でした」
「今は?」
香澄が尋ねる。
「利用者さんを守るための道具、です」
ふみかがうなずいた。
「個人情報保護やプライバシーって、書類や規程だけじゃなくて、サービスの作り方そのものに関わるんですね」
蓮斗が言った。
「クラウド構成も、プライバシーの一部です」
奏汰が続けた。
「権限、ログ、保存場所、削除。全部、人を守る設計です」
しょうこはホワイトボードの三行を消す前に、少しだけ見つめた。
「略語は短いですが、中身は長いですね」
陽翔が言った。
「湯呑み候補です」
「略語を湯呑みに印字しないでください」
さくらが言った。
悠真は、珍しく少し笑った。
「今回は、名札で十分です」
その日の終業前、悠真は正式な資料を保存した。
「個人データ新サービス_DPIA初回整理_初版.docx」
陽翔が横からのぞいた。
「正式ですね。DPIA様感がありません」
「必要ありません」
「では、思い出フォルダ用に」
「作る前から止めます」
しかし、三分後。
共有フォルダに新しいファイルができていた。
「DPIAって誰のあだ名ですか_利用者の安心に席を用意する版.xlsx」
悠真は画面を見た。
削除キーに指を置いた。
その瞬間、さくらが言った。
「それは……思い出フォルダなら、残してもいいです」
みおも頷いた。
「今日の学びが入っています」
香澄が微笑んだ。
「残しましょう」
悠真は静かにため息をついた。
「思い出フォルダなら」
翌朝、駿河ヘルスリンクの瀬戸からメールが届いた。
「昨日はありがとうございました。社内会議で“利用者の安心の席を用意する”という説明を使ったところ、開発チームにも伝わりました。DPIA様の名札も作ろうかという話になりましたが、いったん資料内の見出しに留めます」
陽翔が読み上げると、事務所に笑いが広がった。
さくらは少し恥ずかしそうに、でも嬉しそうに笑った。
香澄はお茶を淹れながら、青葉通りの朝を見た。
難しい略語は、人を遠ざけることがある。 GDPR。 DPIA。 越境移転。 クラウド構成。 アクセス権限。 リスク評価。
けれど、一つずつほどいていけば、それらは誰かを困らせるための言葉ではない。 人を守るための道具になる。
利用者が安心してサービスを使えるように。 家族が必要な情報だけを見られるように。 社員が説明できるように。 開発者が最初から守る設計を選べるように。
青葉通りの契約書は、今日も笑う。 DPIA様という少し不思議な名札が、難しい略語の向こうにいる人たちの安心を、そっと照らした朝に。
コメント