やってみよう!PIA(プライバシー影響評価)!(概要編)

セキュリティ

2022.12.19

     

はじめに

個人情報保護法が改正され、プライバシーに関連する意識が社会的に高まる中でも、連日のように個人情報漏洩などのニュースが後を絶ちません。これはなぜなのでしょうか?
理由は様々にありますが、原因の一つとして挙げられるのが個人情報等を取り扱う業務におけるリスクコントロールが適切に実施出来ていない点にあるかと思います。
PIA(プライバシー影響評価)は個人情報及びプライバシーに係るリスク分析、評価、対応検討を行う手法であり、個人情報等を取り扱う組織にとって有効なリスクコントロールになります。
今回はPIA(プライバシー影響評価)の概要を説明したいと思います。

ナンシー
ナンシー
元米海軍データアナリスト(自称)。口癖はジャスティス。コスプレが大好き。
タコちゃん
タコちゃん
元プロボクサー。現役時代は「ハンマー・タコ」の異名で恐れられた。お酒が大好き。
イカ君
イカ君
イロイロとこじらせたまま中年になってしまった謎のイカ。ゲームが大好き。
ナンシー

ナンシーより緊急連絡!ザリガニ事業部は直ちに取り扱う個人情報を洗い出し、PIA(プライバシー影響評価)を実施せよ!

タコちゃん

相変わらずナンシーはえぐいで……このクソ忙しいときにワシらの都合なんかちーとも考えんとらん……

イカ君

PIA(プライバシー影響評価)って何?

タコちゃん

まあちょうどええわ。イカ君に説明したるわ。

PIA(プライバシー影響評価)ってなんだ?

PIA: privacy impact assessment(プライバシー影響評価)(以下「PIAという。」)を簡単に説明すると、「個人情報等(個人を識別可能な情報)を取り扱う業務において、事前にリスク評価を行い、洗い出されたリスクを適切にコントロール(低減・回避)しよう」というリスク管理策の考え方になります。
個人情報取り扱いの初期段階でPIAを実施することにより、どのようなリスクがあり、どの程度の対策を実施しなければならないのかを見える化することができ、業務全体のプライバシーリスクマネジメントが可能になります。

イカ君

ほげー。なるほど。個人情報を取り扱うなら事前にキチンと評価した上でやりなさいってことかな。

タコちゃん

せやで。規則や法令でPIAを義務化している国もあって、個人情報の取り扱いは特に気つけなあかんのや。ちなみに個人情報いうても国によっていろんな定義があるので表現が難しいんやけど、概ね「個人を識別することが可能な情報」という理解でええと思うで。

イカ君

「個人を識別することが可能な情報」?
何それ?具体的には?

タコちゃん

これが結構あるんやで。

個人を識別することが可能な情報とは?

身分を証明したり、個人を識別したりするには、基本4情報(氏名、性別、生年月日、住所)を中心に確認する手法が従来は取られてきました。昨今では社会のIT化が進むにつれて、基本4情報が不足していたとしても様々な情報を組み合わせることで個人の特定が容易になりました。人には知られたくないプライバシー情報までもが大量に蓄積され、ビジネスに活用される事態となっていることから、このような情報も個人情報として適切に管理するべきという考え方になりつつあります。

表1:個人識別可能情報の例(PII:personally identifiable information)[1]
銀行口座又はクレジットカード情報
バイオメトリック識別子
クレジットカード明細書
刑事上の有罪判決又は違反
犯罪捜査報告書
顧客番号
年齢又は弱者の特別なニーズ
犯罪行為を行ったという容疑
健康診断情報
身体障害
医療費明細書
従業員の給与及び人事ファイル
GPS位置情報、軌跡
IPアドレス
通信システムから導き出される位置
病歴
公的識別子(パスポート番号等)
個人の電子メールアドレス
暗証番号(PIN)又はパスワード
WEBサイトの利用追跡から導き出される個人的な興味
個人又は行動のプロファイル
個人を識別可能な写真又は映像
製品又はサービスの選考
公共医療サービスで収集された情報
人種又は民族
宗教又は哲学的な信条
性的指向
労働組合への加入状況
誕生日
自宅住所
名前
イカ君

なんかイロイロ出て来たけど、これって個人情報保護法の対象外っぽいのも含まれてない?

タコちゃん

イカ君するどいなあ……
個人情報保護法とプライバシー保護はカブリがあるんやけど、プライバシー保護の方がより範囲が広くて、PIAはプライバシー保護も考慮して実施せなあかんのや。

プライバシー保護の観点で考慮すべき範囲

プライバシー保護の観点で考慮すべき範囲は、個人情報保護法上で守られるべき範囲に限定されず、取り扱う情報や技術、環境によって絶えず変化するプライバシーも含まれます。プライバシーとは、他人に知られたくない情報(私事、私生活情報等)を個人の秘密として管理できる権利でもあり、このような情報を取り扱うのならば、個人情報保護法による本人同意等のルール遵守は必要最低限のことであり、プライバシーガバナンスまで踏み込んだ対応が必要になってきます。

図1:プライバシー保護の観点で考慮すべき範囲[2]
図1:プライバシー保護の観点で考慮すべき範囲[2]

イカ君

ほげー。個人情報保護法対応だけでも結構キツかったのに、プライバシー保護まで考えると大変だなあ……

タコちゃん

裏を返すと自分の知らないところで自分のプライバシーを侵害するような情報がぎょーさん流通しているってことや。現実知ったらびっくりするで。

イカ君

でも個人情報保護法と違って義務じゃないんでしょ?
PIAは?

タコちゃん

現時点(2022年)での日本では確かに義務ではなく、推奨している段階やね[3]
ただ欧米中心に他国ではPIA義務化の方向に進んでいるようやし、日本でも個人情報保護法は3年ごとに見直しがかかるから、将来的には義務化されるかもしれないんやで。知らんけど。

イカ君

まあ、なんとなくPIAやっておいた方がいいことは分かった気がするけど、実際どうやるの?

タコちゃん

まずはどんな基準や手法があるのか調べてみるんやで。

PIA実施の基準

PIAを実施するにはまずどのような基準があるのでしょうか?
法令、規則、国際標準規格など参考になる基準はいくつかあり、取り扱う個人識別可能情報(以下「PII」という。)の質と量、国(越境)、適用分野(公的、公共的、民間)、規制、業種業態、関連システム、サプライチェーン等を考慮して検討すると良いでしょう

表2:PIA実施参考基準の例[4]
NO. 規格・法令 概要
1 ISO/IEC 29134 :2017
情報技術 セキュリティ技術
プライバシー影響評価のためのガイドライン
PIAの準備、プロセス、報告書構成などの基本的な考え方や実施のガイダンスが記載されている国際標準規格。
2 ISO 22307:2008
金融サービス
プライバシー影響評価
金融分野におけるプライバシーを保護する影響評価の要求事項として、初めて国際標準規格として発行されたもの。
3 ISO/IEC 29100 :2011
情報技術 セキュリティ技術
プライバシーフレームワーク
プライバシーフレームワーク(プライバシー保護の枠組み及び原則)が記載されている国際標準規格。
4 JIS Q 15001:2017
個人情報保護マネジメントシステム
プライバシーマーク(Pマーク)で求められる個人情報保護マネジメントシステム要求事項が記載されている。日本工業規格。
5 欧州
GDPR(EU一般データ保護規則)
DPIA
GDPR第35条等では、PIAに相当するDPIA(Data Protection Impact Assessment)が義務付けられている。
6 米国
・電子政府法等
・CPRA
電子政府法第208条、国土安全保障法222条等にて行政機関はPIA実施が義務付けられている。
カリフォルニア州で施行予定のCPRA (California Privacy Rights Act)でPIAが義務付けられる予定。
イカ君

なんかイロイロあってどれにすりゃいいのかわからないんですけど……

タコちゃん

まずはPIAに特化している1をベースにして考えて、具体的なチェックリスト作成なんかは4とか業種業態ごとのガイドラインとか参考にするとええと思うで。
もし国またぎでPIIを取り扱う場合は、5とか6のようにその国の法令や規則も確認せなあかんのやで。

イカ君

分かった。とりあえず基準関係を読み込んでみるかな。
ありがとう。

次回はPIAの準備について説明する予定です。

参考文献

  • [1]ISO:ISO/IEC 29100:2011 “Information technology-Security techniques-Privacy framework”
  • [2]総務省、経済産業省(2022):「DX 時代における企業のプライバシーガバナンスガイドブックver1.2」
  • [3]個人情報保護委員会(2021):「PIA の取組の促進について―PIA の意義と実施⼿順に沿った留意点―」
  • [4]瀬戸洋一、長谷川久美(2020):「ISO/IEC 29134対応 プライバシー影響評価実施マニュアル」
  • 文中の商品名、会社名、団体名は、一般に各社の商標または登録商標です。

やってみよう!PIA(プライバシー影響評価)!(概要編)