やってみよう!PIA(プライバシー影響評価)!(概要編)
はじめに
個人情報保護法が改正され、プライバシーに関連する意識が社会的に高まる中でも、連日のように個人情報漏洩などのニュースが後を絶ちません。これはなぜなのでしょうか?
理由は様々にありますが、原因の一つとして挙げられるのが個人情報等を取り扱う業務におけるリスクコントロールが適切に実施出来ていない点にあるかと思います。
PIA(プライバシー影響評価)は個人情報及びプライバシーに係るリスク分析、評価、対応検討を行う手法であり、個人情報等を取り扱う組織にとって有効なリスクコントロールになります。
今回はPIA(プライバシー影響評価)の概要を説明したいと思います。
元米海軍データアナリスト(自称)。口癖はジャスティス。コスプレが大好き。
元プロボクサー。現役時代は「ハンマー・タコ」の異名で恐れられた。お酒が大好き。
イロイロとこじらせたまま中年になってしまった謎のイカ。ゲームが大好き。
ナンシーより緊急連絡!ザリガニ事業部は直ちに取り扱う個人情報を洗い出し、PIA(プライバシー影響評価)を実施せよ!
相変わらずナンシーはえぐいで……このクソ忙しいときにワシらの都合なんかちーとも考えんとらん……
PIA(プライバシー影響評価)って何?
まあちょうどええわ。イカ君に説明したるわ。
PIA(プライバシー影響評価)ってなんだ?
PIA: privacy impact assessment(プライバシー影響評価)(以下「PIAという。」)を簡単に説明すると、「個人情報等(個人を識別可能な情報)を取り扱う業務において、事前にリスク評価を行い、洗い出されたリスクを適切にコントロール(低減・回避)しよう」というリスク管理策の考え方になります。
個人情報取り扱いの初期段階でPIAを実施することにより、どのようなリスクがあり、どの程度の対策を実施しなければならないのかを見える化することができ、業務全体のプライバシーリスクマネジメントが可能になります。
ほげー。なるほど。個人情報を取り扱うなら事前にキチンと評価した上でやりなさいってことかな。
せやで。規則や法令でPIAを義務化している国もあって、個人情報の取り扱いは特に気つけなあかんのや。ちなみに個人情報いうても国によっていろんな定義があるので表現が難しいんやけど、概ね「個人を識別することが可能な情報」という理解でええと思うで。
「個人を識別することが可能な情報」?
何それ?具体的には?
これが結構あるんやで。
個人を識別することが可能な情報とは?
身分を証明したり、個人を識別したりするには、基本4情報(氏名、性別、生年月日、住所)を中心に確認する手法が従来は取られてきました。昨今では社会のIT化が進むにつれて、基本4情報が不足していたとしても様々な情報を組み合わせることで個人の特定が容易になりました。人には知られたくないプライバシー情報までもが大量に蓄積され、ビジネスに活用される事態となっていることから、このような情報も個人情報として適切に管理するべきという考え方になりつつあります。
銀行口座又はクレジットカード情報 |
バイオメトリック識別子 |
クレジットカード明細書 |
刑事上の有罪判決又は違反 |
犯罪捜査報告書 |
顧客番号 |
年齢又は弱者の特別なニーズ |
犯罪行為を行ったという容疑 |
健康診断情報 |
身体障害 |
医療費明細書 |
従業員の給与及び人事ファイル |
GPS位置情報、軌跡 |
IPアドレス |
通信システムから導き出される位置 |
病歴 |
公的識別子(パスポート番号等) |
個人の電子メールアドレス |
暗証番号(PIN)又はパスワード |
WEBサイトの利用追跡から導き出される個人的な興味 |
個人又は行動のプロファイル |
個人を識別可能な写真又は映像 |
製品又はサービスの選考 |
公共医療サービスで収集された情報 |
人種又は民族 |
宗教又は哲学的な信条 |
性的指向 |
労働組合への加入状況 |
誕生日 |
自宅住所 |
名前 |
なんかイロイロ出て来たけど、これって個人情報保護法の対象外っぽいのも含まれてない?
イカ君するどいなあ……
個人情報保護法とプライバシー保護はカブリがあるんやけど、プライバシー保護の方がより範囲が広くて、PIAはプライバシー保護も考慮して実施せなあかんのや。
プライバシー保護の観点で考慮すべき範囲
プライバシー保護の観点で考慮すべき範囲は、個人情報保護法上で守られるべき範囲に限定されず、取り扱う情報や技術、環境によって絶えず変化するプライバシーも含まれます。プライバシーとは、他人に知られたくない情報(私事、私生活情報等)を個人の秘密として管理できる権利でもあり、このような情報を取り扱うのならば、個人情報保護法による本人同意等のルール遵守は必要最低限のことであり、プライバシーガバナンスまで踏み込んだ対応が必要になってきます。
図1:プライバシー保護の観点で考慮すべき範囲[2]
ほげー。個人情報保護法対応だけでも結構キツかったのに、プライバシー保護まで考えると大変だなあ……
裏を返すと自分の知らないところで自分のプライバシーを侵害するような情報がぎょーさん流通しているってことや。現実知ったらびっくりするで。
でも個人情報保護法と違って義務じゃないんでしょ?
PIAは?
現時点(2022年)での日本では確かに義務ではなく、推奨している段階やね[3]。
ただ欧米中心に他国ではPIA義務化の方向に進んでいるようやし、日本でも個人情報保護法は3年ごとに見直しがかかるから、将来的には義務化されるかもしれないんやで。知らんけど。
まあ、なんとなくPIAやっておいた方がいいことは分かった気がするけど、実際どうやるの?
まずはどんな基準や手法があるのか調べてみるんやで。
PIA実施の基準
PIAを実施するにはまずどのような基準があるのでしょうか?
法令、規則、国際標準規格など参考になる基準はいくつかあり、取り扱う個人識別可能情報(以下「PII」という。)の質と量、国(越境)、適用分野(公的、公共的、民間)、規制、業種業態、関連システム、サプライチェーン等を考慮して検討すると良いでしょう
NO. | 規格・法令 | 概要 |
---|---|---|
1 | ISO/IEC 29134 :2017 情報技術 セキュリティ技術 プライバシー影響評価のためのガイドライン |
PIAの準備、プロセス、報告書構成などの基本的な考え方や実施のガイダンスが記載されている国際標準規格。 |
2 | ISO 22307:2008 金融サービス プライバシー影響評価 |
金融分野におけるプライバシーを保護する影響評価の要求事項として、初めて国際標準規格として発行されたもの。 |
3 | ISO/IEC 29100 :2011 情報技術 セキュリティ技術 プライバシーフレームワーク |
プライバシーフレームワーク(プライバシー保護の枠組み及び原則)が記載されている国際標準規格。 |
4 | JIS Q 15001:2017 個人情報保護マネジメントシステム |
プライバシーマーク(Pマーク)で求められる個人情報保護マネジメントシステム要求事項が記載されている。日本工業規格。 |
5 | 欧州 GDPR(EU一般データ保護規則) DPIA |
GDPR第35条等では、PIAに相当するDPIA(Data Protection Impact Assessment)が義務付けられている。 |
6 | 米国 ・電子政府法等 ・CPRA |
電子政府法第208条、国土安全保障法222条等にて行政機関はPIA実施が義務付けられている。 カリフォルニア州で施行予定のCPRA (California Privacy Rights Act)でPIAが義務付けられる予定。 |
なんかイロイロあってどれにすりゃいいのかわからないんですけど……
まずはPIAに特化している1をベースにして考えて、具体的なチェックリスト作成なんかは4とか業種業態ごとのガイドラインとか参考にするとええと思うで。
もし国またぎでPIIを取り扱う場合は、5とか6のようにその国の法令や規則も確認せなあかんのやで。
分かった。とりあえず基準関係を読み込んでみるかな。
ありがとう。
次回はPIAの準備について説明する予定です。
参考文献
- [1]ISO:ISO/IEC 29100:2011 “Information technology-Security techniques-Privacy framework”
- [2]総務省、経済産業省(2022):「DX 時代における企業のプライバシーガバナンスガイドブックver1.2」
- [3]個人情報保護委員会(2021):「PIA の取組の促進について―PIA の意義と実施⼿順に沿った留意点―」
- [4]瀬戸洋一、長谷川久美(2020):「ISO/IEC 29134対応 プライバシー影響評価実施マニュアル」
- ※文中の商品名、会社名、団体名は、一般に各社の商標または登録商標です。