実態等に即したプライバシー保護の自主的な取り組み　～ PIA のススメ

先日、個人情報保護委員会から「PIA の取組の促進について」という資料が公表されました。

その資料の中にも明記されていますが

「個人情報保護法に規定する義務は、
　あらゆる分野を対象とする法の性格上、
　必要最小限度の規律である」

とのことから、
法的義務ではありませんが、

「実態等に即した個人の権利利益の保護についての、自主的な取り組み」が期待されています。

その、自主的な取り組みの一つに、
「プライバシー影響評価（ PIA ）の実施」
があげられています。

では、
この PIA の実施が、どの様に自主的な取り組みにつながるのでしょうか？

ということで、
本日は「 PIA の意義」について整理してみました。

Ⅰ．PIA の意義

PIA （Privacy Impact Assessment、個⼈情報保護評価）とは

PIA は、個人情報等の収集を伴う事業の開始や変更の際に、プライバシー等の個人の権利利益の侵害リスクを低減・回避するために、事前に影響を評価するリスク管理手法。

「個人情報保護法に規定する義務は、あらゆる分野を対象とする法の性格上、必要最小限度の規律である」ことから、事業者においては、個人情報保護法の遵守の範囲にとどまらず、取り扱う個人情報等の性質、利用方法、取扱いの実態等に即した個人の権利利益の保護についての自主的な取組が期待されている。

　改正法において不適正利用の禁止規定が新設され、違法又は不当な行為を助長し、又は誘発するおそれがある方法による個人情報の利用が禁止されたことからも、事業者においては、形式的な法令遵守を超えて、個人情報等の取扱いの性質等に着目した、実質的な個人の権利利益の保護を行った上での、適正な利活用が求められている。

　個人情報等を取り扱うにあたっては、事後における対処療法的な対応ではなく、個人情報等の保護を含む個人の権利利益の保護を事業の設計段階で組み込み、事後の改修費用の増嵩や信用毀損等の事態を事前に予防することが肝要である。

　事前の対策を重視し、事業全体を通じて計画的にプライバシー保護の取組を実施する考えは「プライバシー・バイ・デザイン（Privacy by Design）」と呼ばれ、国際的にも重視されている。

「プライバシー・バイ・デザイン」の考えを実践する手法の一つが、 PIA（Privacy Impact Assessment、個人情報保護評価）である。

PIA を実施するには、人的リソース等の一定のコスト負担を要するが、事後的に消費者から批判に晒されたり、関係当局による是正指導等の対象となるなどして、事業自体を断念するような例もある中、個人情報等を取り扱う事業を円滑に行っていくために、消費者の信頼を得ることは不可欠であり、そのためにも PIA は有効な手法である。

💡 「プライバシー対策は、コストとしてではなく、商品やサービスの品質を高めることとして捉えるべきである」

PIA を実施する主な効果

PIA は、個人情報等の取り扱いに係る影響を評価し、評価結果を基に対策を講じることで、個人の権利利益の保護の実現と事後的な問題発生の防止を図るものであるが、PIA を実施することによる主な効果としては、以下が挙げられる。 

① 消費者をはじめとする利害関係者からの信頼性の獲得

　個人情報等の取扱いに係るリスクが顕在化したり、事故が発生した場合、消費者等の不安や不満が高まり、場合によっては事業の継続が困難となる場合も考えられる。

　PIA は、個人情報保護法等の法令を遵守していることや、個人の権利利益を侵害するリスクを低減するために適切な対応を実施した旨の証明となり、消費者等の不安や不満を軽減し、レピュテーションリスクを低減する手段として有効であり、事業の実施にあたり、事業者が個人情報等を保護する取組を行っているという社会的な信用を得ることに資する。

　結果の公表等により、説明責任を果たし透明性を⾼め、消費者・事業者間の情報の⾮対称性の解消にも資する。

② 事業のトータルコストの削減

　事業の企画・設計の段階で PIA を実施し、個人情報等の取扱いに係るリスクを把握した場合、多額のシステム投資をする前に、必要な軌道修正を行うことが可能となる。

　一度事業が開始された後に実際に消費者の権利利益の侵害が発生すると、当該消費者への補償や、システムの修正に多大なコストがかかることにもなり、場合によっては、やむなくその事業を中止せざるを得なくなり、これまでの投資が全て無駄になることにもなりかねない。

　PIA は、こうした事態を未然に防止するための有効な手段であり、結果として事業のトータルでのコスト負担を抑えることが可能となる。

③ 事業者の個人情報等の取扱いに関するガバナンスの向上

　実際に事業に取り組む従業者が事業の企画段階で PIA に携わることで、個人情報等の適正な取り扱いの必要性について自覚を持つのみならず、その過程で法令の内容の確認等を行うことを通じて、教育効果ももたらされると考えられる。 

　経営層にとっても、PIA の実施により、自社の個人情報等の取扱状況とそのリスクを把握することができるため、組織としての個人情報等の取扱いに関するガバナンスの向上に資することとなる。

　実際に PIA を実施している事業者から、
「社内における個人情報等の利活用実態を把握できるようになり、個別の案件においてチェック機能が働くようになった」
「業務に携わる社員のデータ活用におけるプライバシー保護意識が向上するとともに、個別案件について、部門を横断して助言ができるようになった」
といった効果が確認されている。

 

PIA の効果は相互に関連する

☘ PIA の実施が結果的にコストの削減につながるとともに、消費者をはじめとする利害関係者の信頼を醸成する。

☘ こうした効果は経営層・従業者の更なる意識付けにつながり、個人情報等の取扱いに関するガバナンスの向上に資する。ガバナンスが向上すれば、更に PIA の取組が進み、それが新たなコスト削減や更なる信頼性の向上を生む。

☘ PIA の実施により、様々な効果が創出されるとともに、その効果の好循環が生まれることが期待される。

引用文献

個人情報保護委員会　法令・ガイドライン等【 PIA の取組の促進】より

◆ PIA の取組の促進について- PIA の意義と実施手順に沿った留意点- (PDF : 2427KB)

◆ PIA の取組の促進について- PIA の意義と実施手順に沿った留意点-（概要） (PDF : 1876KB)

どうやら有用そうだし、必要そうなのは判りました。

既に、プライバシーマーク取得企業やマイナンバー取扱事業者には、PIAの実施が求められています。

また、欧州 GDPR でも、PIA に類似する DPIA（Data Protection Impact Assessment、データ保護影響評価）の実施が義務化されています。

もはや PIA の実施は、世界的な潮流なのだと思います。

しかし、
「個人情報保護法ガイドライン」を遵守するだけでも精一杯の企業が多い中、あまねく企業に対して義務化するとどうなるか…

そんな配慮から、今回の改正では義務化せず、まずは啓蒙することに留めたのだろうと思われます。

ですが、
事業規模が大きいサービスや、社会的に影響の大きい企業には、暗に PIA の実施を要請している様に感じます。

とはいえ、
義務では無いのであれば、
ひとまず様子見の企業が多いだろうと予想します。

ですが、
政府は、 DFFT（Data Free Flow with Trust、信頼ある自由なデータ流通）を推進したいと考えています。

その実現には、プライバシー保護、データ保護、知的財産権等の課題を解決しなければなりません。

つまり、
将来、義務化されたときに慌てないよう、今から少しずつでも取り入れていく必要がありそうです。

【 あわせて確認しておきたい関連記事はこちら】

本日のアウトプットはいかがでしたか？
少しでも参考になりましたら
❤️（スキ）で応援いただけると大変励みになります

では、また！