初めてのプライバシー影響評価・PIA（実践編）

Acompanyでプライバシー法務を担当しています弁護士の宇根と申します。本記事はAcompany5周年アドベントカレンダーの２日目の記事となります。

Acompany5周年アドベントカレンダー

昨日の記事では、プライバシー影響評価・PIAとは何か？ということについて書きました。

今回の記事では、私が実際にPIAをした中で気付いたポイントやつまづいたポイントを踏まえ、PIAのやり方の一具体例を書いていきたいと思います。

PIAのやり方おさらい

PIAは、
１．PIAの実施要否の検討
２．PIAの準備
（１）体制の整備
（２）個人情報等のフローの整理
（３）関係法令等の整理
３．リスクの特定
４．リスクの評価
５．リスクへの対応
６．PIA報告書のとりまとめ等
というフローを進んでいくものでした（前回記事参照）。

しかし、いざ上記のフローでPIAをやってみようと思ったとき、私には、つまづくポイントがいくつかあり、また、「ここはこうした方が分かりやすいのではないか？」といった気付きポイントがありました。
そこで、以下では、そのつまづきポイント・気付きポイントをご紹介します。

初めてPIAをやるにあたってのポイント

ポイント①：体制の整備は後回し

初めてPIAをやる場合、どの部署に関わりがありそうか、どれくらいのリソースが必要そうかなど、具体的な後工程がイメージできないため、体制の整備は後回しにするのがポイントと思われます。
また、ひとまずPIAをやってみるという段階かと思いますので、PIAの実施要否の検討（基準作り）も後回しでよさそうです。

ポイント②：PIAを実施する主体を確認する

PIAを実施する案件では、様々なステークホルダー（自社のほか、データ分析の委託先、データの連携先など）が登場しますが、誰目線でリスク評価をするかによってリスクの特定（洗い出し）の視点も変わってくるため、PIAを実施する主体（誰目線でPIAをするのか）をまず決めるのがポイントと思われます。

ポイント③：個人情報等のフローのほかにデータリストがあった方が分かりやすい

個人情報保護委員会の資料では、個人情報等のフローの整理が言及されていますが、その他にデータリストも作成するのがポイントと思われます。
データリストでは、個人情報保護委員会が出しているデータマッピングツールキットを参考に、PIAを実施する案件で使用するデータの取扱部署、データの項目、利用目的、データの性質（要配慮個人情報なのか等）、データの主体、取得方法等を記載しておくと、関係者間で共有・議論するときのコミュニケーションツールとして利用しやすいものになると思われます。

ポイント④：リスクの特定は色んな人を巻き込んで行う

ひとまずPIAをやってみるという段階だと、法務部門やプライバシー部門のご担当の方が小規模に動くことが多いと思われます。
しかし、プライバシーリスクの特定（洗い出し）においては、様々な目線からリスクを特定することが有用です。
例えば、法務部門は法的観点から、事業部門はビジネス観点から、セキュリティ部門はセキュリティ観点から、カスタマー対応部門は消費者観点からプライバシーリスクを特定するのにそれぞれ長けていると言え、PIAを充実したものとするためには、様々な観点からリスクを特定するのがポイントです。
なお、PIAを実施する案件の進捗によっては、スキームも決まっておらず、リスクの特定が難しい場合もあるかと思いますが、その場合でも、ひとまず最後までPIAを実施するのが良いと思います。
PIAはやって終わりの作業ではなく、ビジネス設計の進捗に応じアップデートしていくもの（「プライバシー・バイ・デザイン」を実践するためのコミュニケーションツール）ですので、最初の段階では粒度が粗いものでも何ら問題ないと思われます。

ポイント⑤：リスクの評価にあたっては、現状（AsIs）と現状を放置したときに懸念される事故も検討する

リスクの評価にあたっては、当該リスクに対する現状（AsIs）と、それを放置したときに懸念される事故（個人情報漏洩、第三者提供に関する法令違反など）も合わせて検討・書き出しておくと、関係者間で共有・議論するときのコミュニケーションツールとしてより利用しやすいものになると思われます。
なお、PIAを実施する案件の進捗によっては、現状が全く何も決まってないこともあるかと思いますが、ポイント④記載のとおり、その場合でも、ひとまず最後までPIAを実施するのが良いと思います。

ポイント⑥：PIAをひとまずやった後に、体制整備等からもう一度検討する

PIAを一通り実施すると、関係しそうな部署や対応にかかる工数、スケジュール感が何となく見えてくると思いますので、そこで改めて体制整備等からPIAをやり直すと、効率的にPIAが実施できると思われます。
繰り返しになりますが、PIAはやって終わりの作業ではなく、ビジネス設計の進捗に応じアップデートしていくものですので、少なくとも初めのうちは、同一案件であってもPIAのフローを繰り返し実施しブラッシュアップしていくのが有用であり、プライバシーに関する意識の社内醸成等にもつながるものと思われます。

PIAのやり方（個人的なおすすめフロー）

上記のポイントを踏まえ、初めてPIAをやるにあたっては、以下のようなフローをたどると良いのでは、と思っています。

（１．PIAの実施要否の検討）
２．PIAの準備
（１）PIA実施主体の特定
（２）データリストの作成
（３）個人情報等のフローの整理
（４）関係法令等の整理
３．リスクの特定（他部門からも簡単にヒアリング）
４．リスクの評価（現状理解→懸念される事故洗い出し→リスク評価）
５．リスクへの対応策検討
６．上記を踏まえ実施体制の検討・声かけ
７．リスクの特定から再検討しブラッシュアップしていく
８．PIA報告書のとりまとめ等

以上、実際にPIAをした中で気付いたポイントやつまづいたポイントを踏まえ、PIAのやり方の一具体例を書いてみました。
PIAの実施方法は様々であり、これが唯一の正解というわけでは全くないですが、「プライバシーガバナンスの一環として初めてPIAをやることになったけど何から手を付けてよいか分からない」といったPIA初心者の方のお役に少しでも立てば幸いです。

少し宣伝

Acompanyでは、プライバシーガバナンスに関するホワイトペーパーを公開するなど、プライバシーを保護する技術だけでなく、プライバシーガバナンスのサポートにも力を入れています。

プライバシーテックスタートアップAcompany、プライバシー影響評価（PIA）に関するホワイトペーパーを公開 - Acompany Co., Ltd. | プライバシーテック

また、Acompanyでは積極的に採用も行っています！
技術×法律の融合でデータ利活用とプライバシー保護の両立を目指すプレイヤーはまだまだ稀有であり、チャレンジングな経験を積める会社だと思いますので、ご興味ある方はぜひお声がけください。

Acompany Careers // 採用情報

【本記事に関するお問合せ先】
弁護士　宇根 駿人（une@legal-guild.com）

---

※：本記事は、株式会社Acompanyの許可のもと執筆していますが、本記事に関する記載は弁護士宇根駿人個人の見解であり、株式会社Acompanyほか私が所属する団体とは一切関係がありません。