やってみよう!PIA(プライバシー影響評価)!(準備編)
2023.03.09
今回はPIA(プライバシー影響評価)を進めるためにどのような準備が必要なのかを説明したいと思います。
元米海軍データアナリスト(自称)。口癖はジャスティス。コスプレが大好き。
元プロボクサー。現役時代は「ハンマー・タコ」の異名で恐れられた。お酒が大好き。
イロイロとこじらせたまま中年になってしまった謎のイカ。ゲームが大好き。
ナンシーが早くPIA実施しろだって。
しゃーないな。そろそろ始めるか……
ところで前回紹介した参考基準はなんか読んだか?
読んでもよくわからないから、ついついゲームしちゃうんだ……
君ってヤツは……
まあ確かにわかりづらいやな。参考資料見ながらぼちぼちやってみるべ。
PIAはイロイロとメリットがあるんやで。
PIA(プライバシー影響評価)のメリットとは?
PIA: privacy impact assessment(プライバシー影響評価)(以下「PIAという」)を実施するメリットとは何でしょうか?前回説明したとおりPIAは基本的に義務でありませんが、実施することによるメリットは他にもいくつかあります。
- ①お客様からの信頼性確保
個人情報等の適切な取り扱いを行っていることの証明(必要に応じて公開)にもなり、組織の社会的責任、コンプライアンス、リスクコントロールを実施していることでお客様等からの信用を得ることができる。 - ②リスクコントロール
プロジェクトの出戻りや最悪の場合中止にもなりかねないリスクを初期段階で管理することで、対策コストの削減、対策期間の短縮、人員リソースの確保、関連トラブルの抑止等のメリットがある。 - ③プライバシーガバナンスの向上
個人情報等取り扱いの現状を知ることで、従業員の自覚、経営層の理解によるプライバシーガバナンス向上につながります。
図1:PIA導入によるメリット[1]
図解してくれるとわかりやすいね。
せやで。個人情報保護委員会のWEBサイトにはPIAの情報も載っているから、定期的にチェックするとええで。
ほんで?
実際どうやんの?
やり方はイロイロあるんやけど基本的なヤツ紹介するで。
PIAの全体プロセス
PIAの進め方は前回紹介した規格や法令等によって異なりますが、今回は最も汎用的だと思われるISO/IEC 29134:2017(JIS X 9251:2021 )プライバシー影響評価のためのガイドライン[2]の考え方を中心に説明します。大きく3つのプロセス(準備、実施、報告)に分かれています。
| プロセス | 概要 |
|---|---|
| 準備 |
|
| 実施 |
|
| 報告 |
|
今回は準備のプロセスを説明するで。
準備だけでもイロイロあるね。
せや。準備は重要やで。ざっくり言うとPIAをどこまでやるのか、提供できるリソースはどの程度なのか、バランスを取りながら計画を作成するんやで。
PIAの準備(6.2 PIA必要性の決定)
まずはPIA実施の必要性について検討することから始まります。
個人識別可能情報(以下「PII(Personally Identifiable Information)」という。)を取り扱っているのか?いないのか?取り扱っている場合は法令・規則等(個人情報保護法等)にどの程度関わるものなのか?組織のプライバシーポリシーに準拠しているか?PIAをやるべきか?やるならどの程度の範囲と粒度でやるべきか?必要な人材、コスト、期間はどの程度か?などになります。
PIA必要性の検討もよくわからないという場合は、現状分析的な意味合いで予備評価(予備PIA)を実施する場合もあります。
実施基準(しきい値分析)をあらかじめ定めておいてチェックするというやり方もありますが、自組織だけで対応が難しい場合は、初期段階から知見のある有識者(学識者、コンサル、弁護士等)と協力しながら進めるとよいでしょう。また、一般的にPIAはPIIを業務やシステム上で取り扱う以前に実施することが効果的とされますが、それ以後でも問題ありません。自主点検や監査のようなイメージで定期的にPIAを実施することも効果的かと思われます。
| PIA実施タイミングの例 |
|---|
| PIIを新たに取得、保有、利用、拡大し従来のPIIの範囲を拡大する |
| PIIの取得方法を変更する |
| PIIを取得、保有、利用、提供、廃棄する既存の業務手順に大きな変更がある |
| PIIを取得、保有、利用、提供、廃棄の処理手順が変更されることによって想定外のPIIが利用または廃棄され、PIIを繰り返し取得する必要性が発生する |
| 第三者からPIIを提供され、又は当該データベースを第三者と連携して利用する |
| 取得されたPIIが、目的外で利用されることがある |
| システムを利用する過程で生成した情報が、保有しているPIIと結合して、プライバシーに影響する情報を生成する |
| システムの新規構築又は変更において、PIIが格納されるデータベースのアクセス制御、および管理のためのセキュリティ対策に大きな変更が発生する |
| 従来のPII管理システムに、特定技術等を適用することにより、PIIが本人識別のできる形に変換されるなどプライバシー侵害が予期される |
| 構築予定のシステムが、位置情報、生体情報など個人識別符号等を取得し、サービスを提供する場合、プライバシー侵害が予期される |
PIAの準備(6.3.1 PIAチームの設置及び指示)
PIAを実施すると判断した場合、次のステップは体制の構築になります。
PIA実施の責任者(評価者)を任命し、PIAを実施できる体制構築を進める必要があります。
PIA体制にはPIA実施責任者を中心としたPIAチーム、PII取り扱い部門、法務部門、システム部門、外部有識者などで構成され、経営層はPIA実施に必要なリソースを提供することが重要になります。
また、PIA体制構築と並行して、関係者で協議しながらリスク基準も定めていきます。
図2:PIA実施体制の例
| 影響度レベル | 概要 | |
|---|---|---|
| 4 | 甚大 | 利用者に回復不可能な多大な不利益が生じ、これに従い、企業の信用失墜や経済的損失が生じる (心理的・身体的疾患、口座番号、暗証番号の流出等) |
| 3 | 重大 | 利用者に一定の不利益は生じるものの、回復可能であり、企業の信用等の影響はそれほど大きくない (迷惑メールの受信、アカウントの乗っ取り等) |
| 2 | 限定的 | 一部の利用者に不安感を与え、企業の信頼等に影響が及ぶ可能性があるが、その範囲は限定的 (サービスへのアクセス拒否、利用方法に関する説明不足等) |
| 1 | 無視可 | 利用者への不利益の程度は極めて小さく、企業への影響は無視できるレベル (同意取得時にアプリケーション上にチェックを入れる煩わしさ等) |
| 4 | 非常に高い | 安全管理等に不備があるため、リスク発生が容易に想定される (セキュリティ対策の不備で情報漏洩等が発生する等) |
| 3 | ある程度高い | 安全管理等の一部に不備があるため、リスク発生の可能性がある (ノートPCや携帯電話などのモバイルの紛失等) |
| 2 | 一定の可能性 | 安全管理措置により、リスク発生の可能性は低い (注意喚起のメッセージが表示される中でのメール誤送信等) |
| 1 | 非常に低い | リスク発生の可能性は極めて低い (入館証読取機でセキュリティ対応のとられた室内の書類紛失等) |
PIAの準備(6.3.2 PIA 計画の作成及び PIA を実施するために必要なリソースの決定)
体制構築でPIA実施責任者等を定めた後は、何をどこまで実施するのか計画書を作成します。PIA実施に係る範囲、コスト、リソース、期間、能力等を鑑みて無理のない計画を立てる必要があります。
| 項目 | 内容 |
|---|---|
| 目的 | PIA実施の必要性や背景を説明 |
| PIA対象 | PIA実施の対象プロセス、システム、業務、場所、サプライチェーン等を考慮する |
| 評価基準 | ISO/IEC 29134、JIS Q 15001、NIST Privacy Framework等 |
| 実施期間 | 〇〇/〇〇~〇〇/〇〇 |
| PIA実施体制 | 外部委託先も含めた実施体制(専門家との協力体制) |
| 想定スキル | PIA実施における実働者が保有するべきスキル要件(実務経験、資格等) |
| 想定成果物 | PIA報告書、改善提案書等 |
| 想定リソース | PIA実働チームのアサイン、外部有識者の参画、人員調整等 |
| 想定コスト | ¥〇〇〇 |
PIAの準備(6.3.3 アセスメント対象の説明)
PIA対象のプロセス、システム、プログラム等の説明資料を作成します。
システム構成図、ネットワーク構成図、業務フロー、データライフサイクル、データ処理(通知、同意、拒否、アクセス、修正、削除等)等の情報から、PIIがどのように処理されたり伝送されたりするのかを第三者でもわかるように説明資料を準備しておく必要があります。
図3:システム構成図の例[4]
PIAの準備(6.3.4 利害関係者のエンゲージメント)
ステークホルダー(利害関係者)の特定、ステークホルダーとの協議計画の策定、ステークホルダーとの協議、ステークホルダーからのフィードバック等の対応を行います。
評価範囲にもよりますが、PIIの処理もしくはPIIの処理によって影響を受けるステークホルダーを洗い出した上で協議計画を策定し、協力を求めていくのがいいかと思います。
また、こうしたステークホルダーとの協議、フィードバックはPIA報告書などでまとめておくと今後の継続改善に生かせると思われます。
| PIAステークホルダーの例 |
|---|
| 人事、法務、情報セキュリティ、財務、事業運営部門、広報、内部監査(特に規制された環境における)などの従業者 |
| PII 主体(もしくはPIIの処理によって影響を受ける可能性のある個人) |
| 労働者および消費者の代表者 |
| 下請事業者 |
| ビジネスパートナー |
| アプリケーションおよびデータベース管理者および作業者 |
| コンピュータまたはネットワーク管理者および作業者 |
| 保守要員 |
| PIA に関連する適切な関心をもっている他の組織の人々 |
なんか準備だけでヘロヘロなんですけど……
しゃーないんや。昔の偉い人も「木を切るために6時間もらったら、斧を研ぐのに4時間、切るのに2時間使う」言うとるやろ?それだけ準備は重要ってことやで?知らんけど。
ザリガニ事業部は業務で個人情報取り扱うから早めにPIAやってね?
あと、イカ君はザリガニ事業部の個人情報保護事務局担当者なんだから文句言わない。
次回はPIAの実施について説明する予定です。
参考文献
- [1]個人情報保護委員会(2021):「PIA の取組の促進について―PIA の意義と実施⼿順に沿った留意点―」
- [2]ISO:ISO/IEC 29134:2017 “Guidelines for privacy impact assessment”
- [3]日本情報経済社会推進協会(2021):「PIA(プライバシー影響評価)の進め方」
- [4]経済産業省、総務省:「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」
- ※文中の商品名、会社名、団体名は、一般に各社の商標または登録商標です。