
コンプライアンスとプライバシーの考慮事項を学ぶよ!
GDPRなどの規制は、
名前と対象をセットで整理してね。
概要
プロジェクトでは、顧客データや機密情報を扱う場面が多く、法令順守(コンプライアンス)とプライバシー保護は極めて重要な要素です。
本項では、機密性・法的影響・プライバシー規制を中心に、プロジェクトマネジメントに必要な知識を整理します。
コンプライアンス(法令順守)
-
法規制・業界標準・社内ポリシーに違反しないこと
-
例:労働法、知的財産権、情報セキュリティ法、契約法など
-
違反すると訴訟・罰金・社会的信頼の失墜につながる
プライバシー(個人情報保護)
-
個人データを正当に取得・管理・利用することが求められる
-
プロジェクトで顧客や従業員の情報を扱う場合、必ず配慮が必要
-
目的外利用の禁止、第三者提供の制限、本人同意の取得などが基本
機密性(Confidentiality)
-
情報を「知るべき者」のみに限定し、外部への漏洩を防ぐ
-
契約書の秘密保持条項(NDA)やアクセス権限の管理が中心
-
特に企業秘密・財務情報・開発計画などが対象になりやすい
主なプライバシー規制(代表例)
| 規制名 | 対象地域・概要 | プロジェクトへの影響 |
|---|---|---|
| GDPR | EU域内の個人情報保護法 | 「明確な同意」「データ消去権」などが要求される |
| CCPA | 米カリフォルニア州のプライバシー法 | 開示請求・オプトアウトへの対応が必要 |
| 個人情報保護法(日本) | 日本国内の個人データ取り扱いを規定 | 利用目的の通知、委託先管理などが義務付けられる |
PII と PHI の定義と具体例
- PII(Personally Identifiable Information / 個人を特定可能な情報):
- 個人を特定(または追跡)できるあらゆる情報。
- 具体例: フルネーム、自宅住所、個人のメールアドレス、電話番号、社会保障番号(SSN)、パスポート番号、運転免許証番号、生年月日、指紋(生体データ)、銀行口座情報など。
- PHI(Personal Health Information / 個人健康情報):
- 個人を識別可能で、かつ個人の健康状態、医療の提供、または医療費の支払いにリンクした医療・健康情報。
- 具体例: 電子医療記録(カルテ)、処方箋の履歴、健康診断結果、アレルギー情報、医療保険の請求履歴、臨床試験の参加記録など。
- PII(名前、住所、銀行口座等)と PHI(病歴、薬歴、カルテ等)の明確な分類と違いを理解する。
- GDPR(EU)やCCPA(カリフォルニア)などのプライバシー規制が適用されるデータの性質を理解する。
関連模擬問題
【問1】
質問: 監査により、プロジェクトで重要なソフトウェアのライセンス数不足が判明しました。ライセンス提供元には、インストールの段階ではライセンスは必要なく、実際に使用する数のライセンスを購入すれば問題ないことを確認しています。プロジェクトマネージャーの次のアクションとして、最もふさわしいものは、次のうちどれですか。
選択肢:
- A. プロジェクトチーム内でソフトウェアを実際に使用する数を確認し、不足する数だけライセンスの追加購入をプロジェクトスポンサーに依頼する
- B. コストベースラインの変更が必要となるため、変更委員会の開催を要請する
- C. コストベースラインの変更を避けるため、ライセンス不足のソフトウェアをアンインストールして使用しないようにする
- D. ただちにプロジェクトスポンサーにライセンス購入を依頼する。今後のことを考え、プロジェクトチームメンバー全員のライセンス数を確保できるようにする
回答と解説を見る
正解は A です。
解説: この設問ではライセンス提供元から実際に使用する数だけ購入すればよいことを確認済みですので、まずは必要数の調査を行い、不足する数だけ追加購入することになります。仮に、インストールした数だけライセンスが必要な場合には、インストール済みのソフトウェア数を調査した後、不足した数の追加購入を進めることになります。
【問2】
質問: Dion Detective AgencyのプロジェクトマネージャーLeandreaは、プロジェクト中に収集した「個人の銀行情報や機密情報」を保護したいと考えています(カナダでのプロジェクト)。この情報を最もよく表すものはどれですか?
選択肢:
- A. GDPR
- B. IP
- C. PII
- D. PHI
回答と解説を見る
正解は C です。
解説: GDPR: GDPR (一般データ保護規則) は、広範なプライバシー保護を提供する欧州連合の規則です。GDPR は重要なプライバシー規則ですが、カナダは欧州連合に加盟していないため、カナダには適用されません。
IP: IPは知的財産を指し、個人情報の保護とは関係がないため、この場合適切ではありません。
PIIは、Leandreaが保護したい情報として最も適切な選択肢です。問題文で述べられているように、個人を特定できる情報(PII)には名前、住所、社会保障番号、電子メールアドレスなどが含まれます。また、銀行情報も機密性の高い個人情報に該当します。
PHI: PHI (個人健康情報) は、個人の健康および病歴の詳細を提供する情報です。地方、州、および国の法律では、この種類の情報に対して特定の保護が規定されていることがよくあります。銀行データは PHI に含まれません。