「データセキュリティ法の迷走」を読んだ。マジで面白い
いやー、めちゃくちゃ面白い本を読んだ。
この本の言いたいことはおそらく次のようになる。「現行のデータセキュリティに関する法律では、データ侵害(本来権限のない人にデータが扱われてしまうこと)を減らすことはできない。なぜなら、現行法がデータ侵害を減らすためにとっているアプローチは的外れであり、なんなら有害ですらあるからだ。」
そのことを9章約280ページを通して主張している本。
いやー、めちゃくちゃ面白かった。
データエコシステムのはしっこにいるものとして、この本で主張されていることは非常に納得できる。
本書で指摘されている「現行法がデータ侵害のためにとっているアプローチがなぜ的外れなのか」という点をまとめると、大きく次の3点になると思う。
- データ侵害が起こった「後」にしか対応できない
- データ侵害を「起こしたアクターだけ」にしか責任を問えず、またそのアクターに対しては非常に広い免責が認められている
- 「人間」というシステムの構成要素を充分考慮できていない
これらの要因が組み合わされて、データセキュリティの被害者に対する救済が全くといっていいほどできていない現状が生まれている。
この指摘は日本でも同様に通用すると思う。
個人的にはベネッセが1番印象に残っているが、他にも様々なデータ侵害事件がいろいろなところで起こっているし。
この本で提案されている、よりよいデータセキュリティ法のありかたとしては
- データ侵害が起こる「前」の対応を重視するべき
- データの利活用とセキュリティのバランスを推進するべき
- データに関わる様々なアクターへ責任を負わせるべき
- セキュア・バイ・デザインを推し進めるべき
といったものがある。
このあたり、日本の法制度はどうするのか、そのへんを継続的にウォッチしていきたいかな。
日本では個人情報保護法の3年ごと見直しに加えて、ここ最近の兵庫県知事選関連でプラットフォーム向けの規制も入る流れにおそらくなるだろうことを考えると、このへんの話も少し入ってくるんじゃないかなと思ったりするんだけど……
ちなみに原著の著者のページはこれ。気になったら見てみるのがいいかもね。
