Interview/

Chie Hayashi

自己紹介をお願いします
2018年にLINEに中途入社して、情報セキュリティ室という部門でプライバシー関連の業務を担当するPrivacy Impact Assessmentチームのマネージャーをしている林千愛です。法学部出身なのに新卒でシステムエンジニアになった後、ITの内部統制やセキュリティ、プライバシーに関するコンサルティングのようなことをしていました。今は、LINEでユーザーデータの保護に関する業務を主に担当しています。

情報セキュリティの領域では、私が見ているユーザーデータ保護以外にも色々と担当しているチームがあるのですが、今回は全体的な話も含めて私からお話しをさせていただきます。
情報セキュリティ職が担う業務や役割について教えて下さい
情報セキュリティ室は、事業に関するもの・ユーザーに関するもの・社員に関するものなど、会社の中のあらゆる情報を適切に取り扱うための取り組みやルールづくりや事業支援、そして全社へのコンサルテーションなどを行う組織です。情報を適切に保護してセキュリティリスクを軽減する守りの部分と、情報を適切に活用するガイドラインづくりなどで会社や事業に貢献する攻めの部分、双方を持ち合わせています。

私が所属するPrivacy Impact Assessmentチームは、「個人情報」というキーワードに関して、ユーザーに安心してLINEが提供する各種サービスを使ってもらうための様々な取り組みを支援しています。具体的には、サービスの展開やデータの利活用といったシチュエーションの中で、ユーザー情報をはじめとする個人情報を適切に取得して廃棄するまでのライフサイクルの確認や、取得する情報や利活用の内容に関して、ユーザーとのコミュニケーションや同意の取得方法などをコンサルテーションするのが役割ですね。例えば、サービスの立ち上げであれば、「どんなデータをユーザーから取得するのか?」「どう管理し、活用するのか?」「どのくらいの期間保持が必要で、どのように削除していくか?」「そのデータを業務委託やパートナーなどの社外に提供する可能性はあるのか?」といったことを事業部と確認・検討します。そして、法令に基づいてどのような同意の取得が必要か、ユーザーの目線に立ってどのようなコミュニケーションが必要か、どのような点を取り切れる契約が必要か、といったことをガイドします。法令の観点、情報管理の観点、そしてユーザーの目線を合わせて持ち、事業の成功を支援していくようなイメージです。もちろん、できないことはできないと言わないといけない立場ですが、保守的になり過ぎることが事業の成長やユーザー体験を阻害する可能性もあります。そのあたりのバランスをうまく取っていくのが、大事な役割ですね。

情報セキュリティ室には他にも複数のチームがあります。プライバシーポリシーの設計・策定や、対外的な情報発信や法令対応プロジェクトのマネジメントを行うプライバシー戦略チーム。取得したデータの管理面をテクニカルにサポートするプライバシー・エンジニアリングチーム。社内の全ての情報資産を保護するための仕組み作りと運用業務を行う社内セキュリティチーム。捜査機関やその他公的機関に対する情報開示、その管理を行っている行政照会チーム。これらのチームが連携して業務を行っています。情報セキュリティという括りで、プライバシーを含めてこのように統括された組織体制を作っているのは比較的珍しいケースだと思います。ただ、各種データのライフサイクルにおけるリスク管理を一つの組織としてワンストップに行っていく、という合理性を持った体制だと思いますし、LINEという会社が情報セキュリティという観点を非常に重要な部分と捉えている現れでもあります。
LINEで情報セキュリティ担当として働く価値や得られる経験を教えて下さい
ひとつは、LINEは多事業かつグローバルに展開しているので、情報セキュリティの分野においても活動のフィールドが非常に広いことです。

LINEというサービスは今や、様々なサービスに接続する玄関口のような役割を果たしていて、グループや海外法人を含めて本当に多くのサービスが提供されています。そういった中で、国内外の法令や業界規制など、前例の無い部分をどのように決めて実行していくか、新しく発生するかもしれない未知のリスクにどう対応していくべきか、このような良い意味で不安定なフェーズを多く経験することは、必ずプロフェッショナルとしての成長につながります。非常に魅力的な環境だと思います。

一方でそれは、決まっていることやマニュアルに頼り切りにならず、自律的にリスクの識別とコントロールをしていくということなので、頭が痛い問題にぶつかる事ももちろんあります。ただ、プライバシー保護という比較的新しく今世の中でより活発になっている分野において、未決の部分を決めていくこと、ルーティンワークに落としきれない部分に取り組むことこそ、スペシャリストとしての能力を発揮できるところです。

もうひとつLINEらしい部分を挙げます。LINEのユーザー数は日本国内のサービスの中でトップクラス、リテラシーの高い方も低い方も老若男女の偏りもなく、一般的に広く利用されています。なおかつプライバシーに関わる部分についてユーザーの注目度も非常に高いです。サービスをリリースしたときや新しく情報取得の同意を求める時などに、「ユーザーはどんな風に感じたのか」という手応えを色々な媒体やSNSなどでリアルタイムに知ることができます。ネガティブな意見に冷や汗をかくこともありますが、自分の仕事の先に数千万のユーザーがいて、生の反応が見えるというのは、中々得難い体験だと思いますね。

個人情報保護や情報の利活用設計、会社や組織のセキュリティマネジメント、あらゆる観点で情報セキュリティの不確定な部分に取り組むことができます。大変なことは多いです、本当に。でも、この分野で自力をつける、プロフェッショナルになるという強い想いがある人には本当に素晴らしい機会が多く提供されます。新卒でこれから入社される人はもちろん、情報セキュリティの第一線で今活躍している人にとっても、LINEでの経験はとても有意義なはずです。
情報セキュリティ担当に求めるスキル・素養は何ですか
基本的な部分だと、セキュリティやプライバシーに関連する技術やプロセス、法令に興味を持って学生時代にある程度の知識があること。何らかの活動をした経験があればなお良いです。基礎となる法令や情報の知識がないと、業務を通じて感じられる気づきや成長が得られないので、興味を持つだけではなくしっかりと身につけるアクションまでつながっていることは求めたいと思っています。

ソフトスキル的な部分だと、先入観なくフラットに話を聞くことができたり、ポジティブな雰囲気でコミュニケーションを行うことができるかどうか。前例がない取り組みや相談だと、どうしても保守的な判断に偏りがちだと思いますが、我々に求められていることは適切に実現するためのサポートです。一見難しそうなことであっても実現するためにはどうすれば良いか、という発想と態度で周囲の事業部などに接することができるかどうかは、とても重要なポイントです。また、散在している情報や主張の異なる意見などをロジカルにまとめるのが得意な方も向いていると思います。事業企画やサービス企画、開発、デザインなど、多様な人と関わりながら最適解を探すことを楽しめると良いですね。

あと、これが一番大事ですが、成長したいという強い想いがある方に来てほしいです。今決まっているやり方やルールを覚えて活用して終わりという領域ではなく、常に新しい変化がある領域なので、成長やスキル獲得に貪欲な人を迎えられると嬉しいです。
最後にメッセージを
私たちの部署には、様々なキャリアの背景を持つ人たちがいます。弁護士もいますし、コンサルティングファーム出身の人、エンジニアリングの経験がある人もいます。そういう人たちがそれぞれの専門性を活かして仕事をしていて、色々なナレッジや経験に触れて仕事ができる恵まれた環境だと思います。業務の経験が豊富な先輩たちもいますしね。

情報セキュリティに興味がある、成長要因や刺激がたくさんある環境で正解が決まっていない分野にどんどんチャレンジしていきたい、そんな人はぜひ応募してみてください!お待ちしています!