PIAの悩みどころ

宇根 駿人

Acompanyでプライバシー法務を担当しています弁護士の宇根と申します。
この記事は#アカンクリスマスアドベントカレンダー2023 30日目の記事となります。

Acompany5周年アドベントカレンダーにて、以下のPIAの記事を執筆しました。

あれから半年ほど経ち、プライバシー影響評価(PIA)の実行支援を通じて、当社にも新たな知見が蓄積してきました。
一方、新たな悩みどころも出てきており、本記事を執筆するに至りました。

なお、以下のいずれの悩みどころも「悩ましいなぁ」というところで終わっており、本記事を読んだからといって悩みどころが解決するというものではありません。
というのも、「PIA の実施方法は、事業の規模、性質や取り扱われる個人情報等の内容等によって様々」(https://www.ppc.go.jp/files/pdf/pia_promotion.pdfより引用)なので、以下の悩みどころにも(おそらく)唯一の解があるわけではない(各社の事情により複数の解がある)と思っています(自分の中で解が見出せてないだけではないか、というのは棚にあげつつ)。

なので、「●●の点について、よく分からなかったけど、他にも悩んでいる人がいて安心した」、「確かにこのポイント悩むよね。分かる分かる。」といった視点で、本記事がPIA実務のお役に立てば嬉しいな、と思っております。


PIAの悩みどころ

1. セキュリティリスクはどこまで検討すべきか

PIAは、「Privacy Impact Assessment」の略称であり、まずもっては、プライバシーに関するリスク評価をするフレームワークだと思われます。
一方、プライバシー保護にあたっては、セキュリティリスク(セキュリティ対策)も重要であることは当然であり、PIAの中では、セキュリティリスク(例えば、「権限のない者が個人情報等に不正にアクセスする可能性がないか」といった観点)もリスク評価の対象になると思われます。

そのため、プライバシーリスクもセキュリティリスクもどちらも評価対象として検討すべき、ということになるとは思うのですが、セキュリティリスクについては、ISMS等の別の規格も存在します。
この場合、PIAにおいては、どこまでセキュリティリスクを評価対象とすべきなのでしょうか?
「当社はISMS等を取得しているから、セキュリティリスクはそちら考慮済みで、PIAでは評価対象としない」というパターンがあるかもしれませんし、「当社はISMS等を取得しているが、PIAの対象案件ごとの個別のセキュリティリスクは考慮できていないので、当該案件固有のセキュリティリスクについては、PIAで評価対象とする」というパターンもあるかもしれません。
また、「ISMS等とPIAは別物であるから、セキュリティリスクも幅広くPIAの評価対象とする」ということもあるかもしれません(ただ、この場合は、工数がかなり掛かることが予想され、かつ、セキュリティ部門の方にもPIAのプロジェクトにコミットいただく必要が出てきそうです)。

このように、どこまでセキュリティリスクを評価対象とすべきかは、PIAを実施するにあたって、一つ悩ましいポイントだと思っています。

2. PIAは誰が何のために実施するのか

「PIA は、事業の企画・設計段階から個人情報等保護の観点を考慮するプロセスを、事業のライフサイクルの中に組み込むこと」(https://www.ppc.go.jp/files/pdf/pia_promotion.pdfより引用)と表現されるなど、基本的には事業の企画・設計段階からの実施が想定されています。
そして、PIAを実施する中で企画している事業のリスクの抽出やリスクを低減するための対応策を検討することになりますが、それらは一つの部署で完結することはなく、事業部門、情報セキュリティ部門、法務部門など多くの部署が相互にコミュニケーションを取りながら実施していくことになります。
以上のことから、PIAは、当該事業のPJメンバーが自ら行い、当該事業のプライバシーリスクを低減するために行われるものといえるかと思います。

一方、事業部門が企画した事業にリスクがないか、という観点で法務部門などがPIAを実施するケースも想定されます。
この場合は、PIAは、当該事業のPJメンバーではなく、客観的な立ち位置から別部門がPIAを行うものといえるかと思います。

このように、
・誰が(PJメンバーなのか、第三者なのか等)
・どのような観点で(プライバシーバイデザインの考えを実践するためなのか、客観的にリスク評価をするためなのか等)
実施するかという点で、PIAと一口にいっても、バリエーションがありうると思います。
そして、これに応じ、PIAの進め方も自ずと変わってくる部分もあると思われ、悩ましいポイントの一つかと思っています。

3. リスク評価は客観性を担保できるのか

PIAでは、抽出したリスクに関し、PIA実施時点での取扱状況や措置等を踏まえ、「影響度」と「発生可能性」という観点を掛け合わせてリスク評価を行います。
影響度と発生可能性の基準としては、個人情報保護委員会のPIAの資料だと、以下のような例が示されています。

https://www.ppc.go.jp/files/pdf/pia_overview.pdfより引用

この基準自体は一つ参考になるものですが、では具体のリスクをいざ評価するとなると、評価者の主観が入らざるを得ないと思われます。
例えば、「利用目的の記載がユーザーにとって分かりにくい」というリスクがあった場合、それは、影響度としては重大なのか/限定的なのか、発生可能性としては、非常に高いのか/ある程度高いのか、といった点です。

この点は、「影響度」と「発生可能性」の基準を作りこみ、関係者間で合意しておくということしかない気もしますが、PIAを実施するうえで悩むポイントの一つだと思っています。

お決まりの宣伝

Acompanyの法務では、プライバシー影響評価(PIA)の実行支援なども行なっており、プライバシーガバナンス周りで多くの経験を積める環境が整っています。プライバシー・データ周りの法務や事業にご興味がある方はぜひお声がけください!

この記事が気に入ったらサポートをしてみませんか?