初めてのプライバシー影響評価・PIA(概要編)

Acompanyでプライバシー法務を担当しています弁護士の宇根と申します。本記事はAcompany5周年アドベントカレンダーの記念すべき1日目の記事となります。

2022年9月からAcompanyにジョインし、その中で、プライバシーガバナンスや個人情報保護法周りの仕事をさせていただく機会が直近で多くなっています。
そこで、今回は、その中からPIA(Privacy Impact Assessment、プライバシー影響評価)を取り上げ、2回に分けて、いろいろ書いていきたいと思います(※1)。

ちなみに、以下のオウンドメディアでもPIAについて取り上げた記事がありますので、合わせてご覧ください。

想定読者

PIAを初めてやる方向けに、
①そもそもPIAとは?(今回記事)
②PIAを初めてやってみるにあたってのポイント(次回記事)
を書いていこうと思います。

そもそもPIAとは

プライバシーに関するリスク管理手法である

PIAとは「Privacy Impact Assessment」の略称であり、「プライバシー影響評価」と訳されます。
個人情報保護委員会がまとめている資料によると、PIA は「個人情報等の収集を伴う事業の開始や変更の際に、プライバシー等の個人の権利利益の侵害リスクを低減・回避するために、事前に影響を評価するリスク管理手法である」と定義されています。

昨今、パーソナルデータに関するプライバシー意識は高まっており、個人情報保護法を遵守するだけでは足らず(=パーソナルデータの不適切な利活用として炎上する)、それを超えて、プライバシーを含む個人の権利利益の保護を適切に図っていく必要があります。
ビジネスの設計としてプライバシー保護の視点を取り込む「プライバシー・バイ・デザイン」という考え方がありますが、それを実践するフレームワークとしてPIAがあり、PIAを実施することにより、プライバシー等の個人の権利利益の侵害リスクを低減・回避する対策を検討できることとなります。

PIAの効果

上記個人情報保護委員会の資料によると、PIA を実施することによる主な効果として、
① 消費者をはじめとする利害関係者からの信頼性の獲得
② 事業のトータルコストの削減
③ 従業者の教育を含む事業者の個人情報等の取扱いに関するガバナンスの向上
が挙げられています。

PIAを実施する中でリスクの抽出やリスクを低減するための対応策を検討することになりますが、それらは一つの部署で完結することはなく、事業部門、情報セキュリティ部門、法務部門など多くの部署が相互にコミュニケーションを取りながら実施していくことになります(PIAはそのためのコミュニケーションツールとして機能する側面もあります)。
このコミュニケーションの中で、各従業員のプライバシーに関する意識が醸成され、サービスにおけるプライバシー対策の感度が高まるとともに、事後的な仕様変更などが不要となり、コストが削減されていくことにつながるのだと思われます。

【PIAの種類】
PIAのフレームワークにはいくつかの種類があり、個人情報保護委員会が出している資料のほか、①GDPRに基づくDPIA(Data Protection Impact Assessment)、②ISO/IEC 29134:2017(JISX 9251:2021)、③公的部門における特定個人情報保護評価(マイナンバーに関するPIA)などがあります。
このうち、本記事は、個人情報保護委員会が出している資料に基づきPIAを実施する想定で執筆しています。

PIAのやり方

ここからは、個人情報保護委員会が出している以下の資料に基づき、PIAのやり方を簡単に見ていこうと思います。
PIAの取組の促進についてーPIAの意義と実施⼿順に沿った留意点ー
PIAの取組の促進についてーPIAの意義と実施⼿順に沿った留意点ー(概要)

「PIAの実施方法は、事業の規模、性質や取り扱われる個人情報等の内容等によって様々であると考えられる。したがって、本稿で示した実施手順によりPIAの手法が限定されるわけではなく、既に自主的にPIAを実施している事業者においては、その取組による蓄積を土台にしつつ、本稿で示した留意点等も参考にして更なる優良な取組が行われることが期待される。」と上記資料ではされており、これが唯一の正解というわけではないことにご留意ください。

1.PIAの実施要否の検討

事業者内において個人情報が関係する施策は数多くあるはずであり、すべての施策に関しPIAを実施していたらリソース不足になるおそれもありますので、社内で一定の基準を作成する等し、実施要否をまずは検討します。

2.PIAの準備

(1)体制の整備
PIAを実施するため、実施責任者の任命、投入人員数などリソース計画、スケジュールの策定等を行います。
PIAは、上記のとおり、規制、システム面等様々な視点から評価を行う必要があるので、様々な部門の担当者を巻き込む必要があります。

(2)個人情報等のフローの整理
施策のプライバシーリスクを評価する前提として、個人情報等がどのように 取り扱われるかを関係者間で適切に共有して確認できるように、個人情報等のフローを整理します。

フローのイメージ(https://www.ppc.go.jp/files/pdf/pia_promotion.pdfより引用)

(3)関係法令等の整理
リスク評価の出発点となる規制等を洗い出します。
プライバシーリスクを考えるうえでは、個人情報保護法といった法律レベルだけではなく、当該事業分野に関する指針や業界自主ルール、社内規程レベルも重要となりますので、施策に関係する規制は幅広く洗い出す必要があります。

3.リスクの特定

上記で整理したフローと、同じく上記で整理した関係法令等をもとに、プライバシーリスクを洗い出していきます。リスクの洗い出しにおいては、関係法令等からだけではなく、事業者側のオペレーションなどに伴い想定されるリスク、消費者・利用者側の利用方法などに伴うリスク要因なども踏まえて洗い出すことが重要です。
なお、個人情報保護委員会の資料によると、リスクの例として、以下のようなものが挙げられています。

  • 利用目的の通知や同意の取得が本人に分かりやすい形で行われるか。

  • 本人が、自らの個人情報等がどのように取り扱われることとなるか、利用目的から 合理的に予測・想定できるか。

  • 個人情報等が過剰に収集される可能性がないか。

  • 本人からの各種請求への対応は滞りなく行われるか。

  • 権限のない者が個人情報等に不正にアクセスする可能性がないか。

  • 個人情報等の紛失、盗難又は不正に持ち出される可能性がないか。

  • 不適正な個人情報等の編集、紐づけ、分析等の利用が行われる可能性がないか。

  • 不必要に保有し続ける情報がないか。

4.リスクの評価

上記で特定したリスクに関し、PIA実施時点での取扱状況や措置等を踏まえ、「影響度」と「発生可能性」という観点を掛け合わせてリスク評価を行います。
このリスク評価をもとにリスク評価表とリスクマップを作成します。

評価表とリスクマップのイメージ(https://www.meti.go.jp/policy/it_policy/privacy/ppc2.pdfから引用)

5.リスクへの対応

上記リスクマップで、影響度が「重大」以上、または、発生可能性が「ある程度高い」以上となったリスクについて、リスクの低減・回避策を検討・対応し、リスクを保有できるレベルまで影響度または発生可能性を落とし込みます。

6.PIA報告書のとりまとめ等

PIA の実施結果については、PIAの目的に応じ報告書としてとりまとめ、経営陣へ報告をしたり、場合によっては対外公表したりすることが考えられます。
なお、報告書には、上記で整理したフロー、PIAの実施範囲、実施方法、特定したリスク、当該リスクの評価結果、対応策等について記載することが考えられます。

PIAを実際にやってみてつまづくポイント

以上、とても簡単にではありますが、個人情報保護委員会が出しているPIAのやり方を取り上げました。

しかし、PIAをいざ実際にやってみようとすると、上記のフローどおりにはなかなか事が進まないことも多いかと思います。
そこで、次回の記事では、自らの経験から、PIAを初めて実際にやってみた中で気付いたポイントやつまづいたポイントをもとに、それらを織り込んだPIAのやり方を書いてみたいと思います。

【本記事に関するお問合せ先】
弁護士 宇根 駿人(une@legal-guild.com)


※1:本記事は、株式会社Acompanyの許可のもと執筆していますが、本記事に関する記載は弁護士宇根駿人個人の見解であり、株式会社Acompanyほか私が所属する団体とは一切関係がありません。

いいなと思ったら応援しよう!