事例② 非紛争の新ITサービス立上げ支援

紛争とは無関係に、新サービスの立上げプロジェクト対してコンサルティング的な開発工程管理支援を行った事例です。

 事案   医療系出版社であるA社は、ポータル系サイトの構築・運用で実績のあるベンダB社と組んで、医療・健康の情報提供サービスの共同開発、運用へと乗り出しました。共同開発は大きなトラブルもなく進んでいましたが、サービスの中核である個人向け健康相談サイトに本格的に取り組み始めたころから、医療・健康情報の取扱い、これに対応するシステム実装について問題が生じてきました。サービスで取扱う情報の一部が要配慮情報や匿名加工情報に当たり得ること、関連会社との役割分担のための情報授受が個人情報の第三者提供に当たり得ること、それらを含めた情報管理を担うシステム実装が安全管理ガイドラインの水準に達しておらず、仕様レベルからの見直しを要するものであること、などが判明したのです。そこで、開発を一時中断してこれらの問題を検討するため、ITSに依頼しました。

 解決  ITSはまず、個人情報の取扱いの法的側面について、一般的なデータマッピング図を作成しながら、情報の取得、保管、提供といったアクションごとに、情報の性質、法的な位置付け、必要な管理行為を整理しました。これにより、サービスの全体構造において関連会社や協力スタッフを含めて役割の過度の細分化がなされていたため、サービスのライフサイクルの中で情報が複雑に行き来し、第三者提供に伴う記録などの負担が無用に増えていることが分かりました。そこでITSは、関連会社間の役割の見直しにまで踏み込んで、情報の流れを簡素化するとともに、ログ取得の自動化や情報のアクセス制限など、運用を軽量化するための方策を提案しました。また、実装との関係では、安全管理ガイドラインへの対応と併せて、新規方策の実装に向けた仕様の見直し、プロジェクト管理の支援も行いました。

 ポイント  新ビジネスを企画する場合、フィージビリティ・スタディの一環として適法性や規制対応の検討を行うことは常識と言えますが、企画段階だけで終わってしまい、実装段階で十分な考慮が払われないことが少なくありません。例えば、新サービスと資金決済法との関係はどうか、サービス内の取引が「賭博」に当たらないか、といった大きなレベルでは検討がなされるのですが、そこで検討が途切れてしまいます。情報系であれば本事案のような個人情報の取扱い、取引系であれば消費者法制への対応など、実務レベルでの具体的な問題も軽視できません。厄介なのは、こうした法的要件がシステム実装のレベルにまで入り込んでくることです。これらは、サービス主体にもシステムベンダにも十分な経験がなく、盲点になりやすいため、注意が必要なところです。

※ この事例は説明用のもので、実際の事件とは一切関係がありません。