生活を全力で楽しむためのブログ
本記事は法務系 Advent Calendar 2016の11日のエントリーです。


2016-12-09-23-36-57


リーガルの役割として、「情報セキュリティ」に関する業務を担当する場合があります。

以前見た某メッセージアプリサービス提供会社の法務求人の職種の中に
「情報セキュリティ」担当の募集があり、「情報セキュリティ」は
法務の専門性の一つにカテゴライズされることがあるんだなと再認識しました。



法務が情報セキュリティを担当すること


「法務が情報セキュリティを担当すること」ということをテーマに
まとまった論考をあまり見かけなかったので、
この機会に分析していきます。

法務がその役割を担う場面として、大きく分けて以下のようなものが考えられます。

  1. 情報セキュリティ委員会の事務局としての役割
  2. 個人情報保護法をはじめとする法規制に眼を配る役割
  3. 会社全体の個人情報の取り扱いをはじめとする情報の取り扱いをデザインし執行する役割

1.情報セキュリティ委員会の事務局としての役割

1が一番参加のハードルが低く、かつ、ゼロから「情報セキュリティ」という分野に関わるチャンスになる役割の担い方です。

最初は情報セキュリティ委員会内で交わされる議論を議事録にしてゆく作業があり、その中で使われる専門用語にクラクラするというか、かなり分からないことが多いので、事後的に調べる作業は必須です。

会社によっては、ISMSの認証を取得しており、その中で決まった資料の取りまとめ作業や、各種規定類の作成、改訂作業、年に1回の外部審査対応を担う場合があります。


2.個人情報保護法をはじめとする法規制に眼を配る役割

2は、特にto Cのビジネスを行っている企業において、情報セキュリティという観点と、法務における個人情報保護法規制への対応という観点が重なる場面が多くあるということもあり、そこで担う役割です。

それは法務なのか? 情報セキュリティの話なのか? という切り分けがきれいにできない感覚を覚えることも多くあります。
そもそも、情報セキュリティの枠組みの中に適用法令の遵守というのもあり、大きく情報セキュリティが法務の役割を包含しているようにも見えます。


3.会社全体の個人情報の取り扱いをはじめとする情報の取り扱いをデザインし執行する役割

3は、2が個々のサービスや都度都度の判断に対する対応だとした場合に、もう少し俯瞰して、会社全体の情報の流れをコントロールし、そこに望まれる事前事後のチェック体制の構築や内部監査の実施体制の構築を行います。

「情報セキュリティに関するコンサルタント」としての役割に近いようにも思えますが、一方で、外部アドバイザーであるだけでは足りず、地に足のついたルールや社員への教育、地道な監査活動など取りまとめたルールが確実に実行されていることを担保すべく泥臭いことを行うことが求められているように思えます。
そのような観点からは、1での事務局での経験が生き、また、1〜3の分類は便宜的、その時々の立場、役割の違いに過ぎず、やることは1つなのだと思います。


それは、
 (1)会社、ビジネス、サービスで取り扱う情報の実態を把握し、
 (2)そのビジネスに合った形で法律の外延を守りつつルールをデザインし、
 (3)それを教育、普及し、
 (4)それが実施されていることを確認すること。


そして、それを変化する法規制、社会情勢、新しいサービス、技術の中で繰り返していくこと、PDCAを回すことが「情報セキュリティ」の役割であり、面白さだと感じています。


情報セキュリティを担当することで得られるメリット


以下、法務が情報セキュリティの役割を担うことで得られるメリットを書きます。

1 情報セキュリティに関する一般的な学習を通じて、ITにまつわる一般的な知見を蓄えることができる。

 →「情報セキュリティスペシャリスト(情報処理安全確保支援士)試験」や、「情報セキュリティマネジメント試験」の勉強を通じて、「一般的」とされている情報セキュリティに関する知見を得ることができます。

一見これらの勉強は理系チックでハードルが高そうなのですが、法律の勉強をしていた人で合格した人を複数知っていますし、数あるエンジニア向けの試験の中でも受験のハードルが低いものだと言われています。



2 情報セキュリティに関する仕事のニーズは高い割に、手を挙げる人が少なく、法務としての差別化要素として優れている


国も情報セキュリティ人材がもっと必要だとずっと言い続けているのですが、数万人単位で足りないそうです。

情報セキュリティ人材が沢山いればいいのか? という疑問もありますが、まずは1で得られるような知識を知っている人を増やして裾野を増やすことは意味があるようです。


そして、ご存知、インターネットが世界中の情報をつなぐ時代。 未知の問題や今も解決の糸口も見えない問題が情報セキュリティという観点からは色々見えるようです。

もしチャンスがあれば手を挙げてみてはいかがでしょうか。



直近で悩ましい問題は 改正個人情報保護法で追加された海外への個人情報の提供に関して、クラウドサーバーに情報を保存している場合について委託にあたるのか問題や

GDPRでEU圏内からの域外移転に関する対応はグローバル企業においては世界中の情報の流れをデザインするダイナミックな仕事になります。




法務のキャリア構想における情報セキュリティ

今回のLegalACはキャリア論に関する考察が複数ありましたが、それに対する自分なりのアンサーとしてもこのエントリーを書いています。

ここからは自分のワナビーというか、構想、妄想も入っていますが

一つ一つの企業で社内で情報セキュリティに関する仕事をする知見を活かして、情報セキュリティに関するコンサルタントになったり、情報セキュリティエンジニアになることも、技術に関する勉強を積み重ねることで可能なのではないでしょうか。

「法務」という技能がポータブルな職種に、もう一つポータブルな「情報セキュリティ」というものを掛け合わせて、他との差別化を図るという生存戦略は今の時代そこそこ有力な気がしています。

Add Comments

名前
URL
 
  絵文字
 
 
記事検索
アクセスカウンター(UU)
  • 今日:
  • 昨日:
  • 累計:

アクセスカウンター(PV)

    アーカイブ
    プロフィール