特集

責任(accountability=落とし前)

▼JIS X 9250の制定
2017年4月の特集で「ISO/IEC29100の概要」をご紹介しました。そのISO/IEC29100に対応するJIS(日本工業規格)であるJIS X 9250が6月20日に制定されました。

*日本工業規格(JIS)を制定・改正しました(平成29年6月分)
http://www.meti.go.jp/press/2017/06/20170620001/20170620001.html

規格名称は「情報技術-セキュリティ技術-プライバシーフレームワーク(プライバシー保護の枠組み及び原則)」です。規格の序文には次のように書かれています。

この規格は,2011年に第1版として発行されたISO/IEC 29100を基にして,技術的な内容及び構成を変更することなく作成した日本工業規格である。

要するにISO/IEC 29100の日本語訳ですので、ISO/IEC 29100と同様に、プライバシーに関する共通的な用語の特定、PII(personally identifiable information:個人識別可能情報)の処理に関する関係者及びその役割の定義等が示されています。

 

▼「説明責任」の誤解
JIS X 9250はプライバシーの11の原則を示しているのですが、その原則の10番目に「責任(accountability)」があります。今回はこの言葉について少しだけ掘り下げてみます。

“accountability” について、日本規格協会は「審議中に特に問題となった事項」の一つとして次のように解説しています。

“responsibility”は、一般的な意味の“責任”とした。一方、“accountability”は、“説明責任”と訳される場合が多いが、この規格において、“accountability”の対象とする範囲は説明にとどまらない。
“最終的な”又は“包括的な”責任のある状態という意味で使用されている。この意味を表す適切な日本語が他に見つからなかったが、審議の結果、“accountability” が、1980年にOECD(経済協力開発機構)で採択された“プライバシー保護と個人データの国際流通についてのガイドライン”の第8原則などにおいて、“責任”と訳されることが多いことから,整合性を確保するため、“責任”を採用した。
ただし,“responsibility”との区別が困難となるため,“責任(accountability)”と補足した。

「責任(accountability)」が苦肉の策の表現であることが読み取れます。この “accountability” をGoogle翻訳にかけたところ日本語訳は「説明責任」と出ました。一方、 “responsibility” は「責任」でした。分かるような分からないような違いです。

筆者の記憶では「説明責任」という言葉は今世紀に入ってから広く使われるようになりました。こんな場面です。

  • 不祥事を起こした人に対して説明責任を果たせと言って糾弾する。
  • 糾弾された人は謝罪会見を開いて説明。厳しい質問にも答えた。だから説明責任を果たしたと言う。
  • それに対して糾弾する側は、いや待て、まだ説明責任を果たしていないぞ不誠実だぞ、と追及する。

・・・このような使われ方です。なんだか噛み合っていない感じがします。

元々の “accountability” とは、説明すれば責任が果たされるような概念なのでしょうか?日本語の「説明責任」とはそういうものだと言えばそれまでなのですが、何か誤解があるようです。

 

▼「結果責任」と「実行責任」
accountability” と “responsibility” 、この2つの言葉の違いは何でしょうか?筆者は、“accountability” は「結果責任」、“responsibility” は「実行責任」という訳語が適切ではないかと考えています。

前者は決定や行為の結果への責任で、後者は作業を最後までやり遂げることへの責任です。accountableな人は、業務執行を承認したり却下したりする権限を持ちます。権限を行使して、仕事の結果生み出される価値と、価値を生み出すために投じるコストとのバランスを評価して判断します。つまり、仕事上の結果及び影響について賞賛も責めも引き受ける立場です。
accountability” を引き受けるということは、何か起きた時に説明さえすればよいという単純なものではありません。「落とし前をつける」ぐらいの重みがあります。「説明責任」の噛み合わなさはこの辺りに起因しています。

他方のresponsibleな人は、仕事の実行面の権限や判断をある程度任されます。日本語の「責任」は、読んで字の如く「責めを任される」と、受動的なニュアンスがありますが、responsibleな人は仕事を完遂する義務を負うかわりに、仕事上の問題解決に関する判断を自ら行います。

また、accountableな人は、実質的な仕事を誰かに任せて、responsibilityを委譲することができます。 よく「権限移譲」という時の「権限」はたいてい “responsibility” です。しかし、結果に対する賞賛を受ける権利、責めを受ける義務は自分の元に残ります。

結果への権利を持つからには、委譲して任せた相手が自分の意図した通りに仕事してくれているか、仕事ぶりをちゃんとウォッチしなければなりません。ゆえに “accountability” を「監督責任」と訳す人もいます。

 

▼セキュリティにおけるaccountability
セキュリティにおける “accountability” を考えてみましょう。
例えば、開発委託先が出してきた納品物にセキュリティの脆弱性があったがそのまま本番リリースしたとします。この場合、基本的にサービス提供者である者がaccountableです。したがって、リリース後にセキュリティ脆弱性が露見してユーザーに被害が出た時に、「委託先がやったことだから知らない」という言い訳は通用しません。一方の開発委託先は、委託元からの委託内容(委託契約上の義務)に関してresponsibleです。

上司と部下の関係でも同様です。組織による違いはあるかもしれませんが、上司は部下が起こしたセキュリティ事故についてaccountableです。

部下は上司の指示に従ってセキュリティ管理策を徹底することにresponsibleです。何の権限もなく、ただ命じられたことだけを実行する人は、結果の責めを負わされるべきではないでしょう。より責められるべきは、命令した側です。

もちろん、上司からやれと言われれば実行者である部下が何もかも免責されるわけではありません。違法行為に手を染めれば、たとえそれが命令であっても罪を問われることになります。「自分が知らぬ間に担当者がやったことだ」と責任逃れをしようとする人は、accountabilityを持つにもかかわらず(知らないふりをしているかもしれませんが)、responsibilityに範囲を絞って誤魔化そうとしています。“accountability” を持つ人は、自らの権限が影響を及ぼす範囲の不作為や放置の責めを受けるべきです。

JIS X 9250に話を戻しますと、「救済」が責任(accountability)の確立の重要な一部分をなすと書かれています。救済、すなわち事業者がPII(個人識別可能情報)を取り扱った結果を受けてPII主体に対してどうやって「落とし前をつける」か、と捉えると腑に落ちるものがあります。