やってみよう!PIA(プライバシー影響評価)!(報告編)

セキュリティ

2023.12.04

     

今回はPIA(プライバシー影響評価)実施後にどのような報告をすべきかについて説明したいと思います。

ナンシー
ナンシー
元米海軍データアナリスト(自称)。口癖はジャスティス。コスプレが大好き。
タコちゃん
タコちゃん
元プロボクサー。現役時代は「ハンマー・タコ」の異名で恐れられた。お酒が大好き。
イカ君
イカ君
イロイロとこじらせたまま中年になってしまった謎のイカ。ゲームが大好き。
イカ君

ふんふん~♪
ヌルっと参上~♬ヌルっと解決~♪

タコちゃん

なんやイカ君えらいご機嫌やな

イカ君

だってPIA終わってひと段落したからさ

タコちゃん

甘いで。まだ報告書も作成してないんやろ?
PIAは報告書の公表とかリスク対応計画の監視なんかも必要になるんやで?
じゃあ今回は報告フェーズの説明サクッとやるで!

PIAの全体プロセス(おさらい)

PIA全体には、準備、実施、報告といった3つのプロセスがあることを説明しましたが、今回は報告の部分にフォーカスして説明いたします。

表1:PIA全体プロセスの例[1]
プロセス 概要
準備
  • PIA必要性の検討(PII(個人識別可能情報)取り扱い状況、法令、規制等)
  • 体制構築(責任者の任命、リスク基準の検討等)
  • 計画作成およびリソースの決定(PIA実施に係るコスト、リソース、期間、能力等)
  • 評価範囲の説明(PIA対象のプロセス、システム、プログラム等の説明)
  • ステークホルダーとの関わり(特定、協議計画策定、協議、フィードバック等)
実施
  • PII情報フロー(収集、保管、利用、提供、廃棄)の識別
  • ユースケースの内容分析(利用者のさまざまな行動に対する影響分析)
  • プライバシー安全対策要件のリスト(関連法令、規則、管理策、情報源等)
  • プライバシーリスクの特定(機密性、完全性、可用性の喪失等)
  • プライバシーリスク分析(脅威、脆弱性、影響、既存管理策等)
  • プライバシーリスク評価(プライバシーリスクマップ等)
  • プライバシーリスク対応措置(低減、保有、回避、移転等)
  • プライバシー管理策の決定(リスト化、適用宣言書等)
  • プライバシーリスク対応計画(管理計画、責任者承認、受容ステートメント等)
報告
  • PIA報告書作成(PIA報告書の作成、公表要素の決定等)
  • 利害関係者へのPIA報告書の公表(PIA報告書登録簿の管理等)
  • プライバシーリスク対応計画の実施(実装の完了、推奨事項のモニタリング等)
  • PIAのレビューまたは監査(可能な限り第三者によるPIA報告書レビューまたは監査等)
  • プロセス変更の反映(プロセスもしくは情報システムに重大な変更があった場合)

PIAの報告(6.5.1 報告書の作成、7 PIA報告書)

PIA報告のフェーズで重要になってくるのは報告書作成になります。
定められた範囲内での個人識別可能情報(以下「PII」という。)の取り扱い状況を報告するフェーズになりますが、ここで重要になるのは「誰に向けて報告するものなのか」「どこまで記載(開示)するか」になります。
例えば経営層向けに報告する前提であれば、技術的な要素の詳細な記載より、要点を簡潔に説明する記載が求められる傾向にあるため、場合によっては何パターンか作成する必要があるかもしれません。
また、記載の公開レベルについても詳細なPII取り扱いフローなどを公開してしまうと、悪意を持った人間に悪用されてしまうようなリスクも発生するため、記載内容と開示範囲も考慮する必要があります。

表2: PIA報告書で記載を検討すべき内容の例[1]
プロセス 概要
PIA報告書の構成(7.2)
  • PIA実施の目的
  • PIA対象としたプロセス、システム、プログラム
  • PIA実施スケジュール
  • PIA実施関係者(実施者、対応者)
  • PIA実施要領
  • 参考としたガイドライン、法令、規則、行動規範
  • PIA影響評価結果、リスク軽減策、代替策
PIAの範囲(7.3)
  • 実施されたPIAの範囲に係る説明(プロセス、システム、プログラム)
  • PII収集における通知方法
  • PIIが不要になった場合の措置、削除手順
  • システム要件情報
  • システム設計情報
  • 運用計画および手順に関する情報
  • リスク基準
  • 関連するリソース(ヒトモノカネ)
  • 利害関係者との協議
プライバシー要件(7.4)
  • PIAチームが満たす必要があると特定した要件に関連する情報源の一覧
リスクアセスメント(7.5)
  • 特定したリスク一覧
  • 想定される脅威とその発生可能性
  • 特定された各リスクに対する影響レベル
  • リスク評価
  • コンプライアンス分析(7.4と連携)
リスク対応計画(7.6)
  • リスク対応計画およびそれに含まれている管理策の実施段階
結論および意思決定(7.7)
  • 残留するプライバシーリスクの受容、対応計画におけるPIA推奨事項の非実施、PIA報告書の非公表要素に関して行われた意思決定のプロセス
PIAパブリックサマリ(7.8)
  • 機微な情報を削除し、公開してもいいレベルにサマリ化

PIAの報告(6.5.2 公表)

前項のPIA報告書をベースに利害関係者に公表するフェーズになります。
どこまでの情報をどのように公開するのかは組織の判断によりけりですが、一般公開用、内部関係者限り用ぐらいを用意しておくと応用が利くかと思います。
また、PIA報告書の登録簿を作成し、PIAの実施日時、範囲、報告書作成日等の情報をまとめておくと今後の継続改善や他所が実施する際の先行事例等に活用できるメリットがあります。

表3: PIAパブリックサマリ[1]
PIA報告書(サマリ版)に記載されているといいかもリスト
プログラム、情報システムまたはプロセスの便益
処理および収集されるPIIの種類
PII処理が行われる法域
コンプライアンス分析の概要
プライバシー要件を遵守するための組織が実施する予定または実施したプライバシーリスク対応措置の概要
PII主体に推奨されるあらゆる措置
PIAおよびプログラム情報システムまたはプロセスに責任を負う組織
責任を負うPII管理者の連絡先の詳細
プログラム、情報システムまたはプロセスのために設置された利用者のプライバシーに関するヘルプラインまたはサポート機能の詳細

PIAの報告(6.5.3 プライバシーリスク対応計画の実施)

PIA報告書が組織として承認された後は、既に作成された「プライバシーリスク対応計画」などの計画実行フェーズに移ります。
前回説明した「PIAの実施(6.4.5.3 プライバシーリスク対応計画(管理計画、責任者承認、受容ステートメント等))」で作成した計画書に加えて、以下のような事項も考慮すると良いでしょう。

表4: PIAプライバシーリスク対応計画実施のガイダンス[1]
PII処理の実装前にやっておくといいかもリスト
プライバシーに関連する教育もしくは訓練
リスク対応等に係る予算の確保
プライバシーポリシー、プライバシー取り扱い宣言書等の情報公開
定めたプライバシーリスク対応計画の実施もしくは見直し(計画書に記載されたリスク対応等の推奨事項が難しい場合として代替案や実装しない理由等を追記)
推奨事項実施のモニタリング

PIAの報告(6.5.4 PIAのレビューおよび/または監査)

このフェーズはPIA報告書をインプットとして、可能な範囲で第三者によるレビューもしくは監査を実施し、PIAが適切に実施されたかを検証する内容になります。
第三者が関わることでPIA報告書の信頼性や透明性の確保に繋がることから、何らかの法令遵守、自主規制、ガイドライン、監督機関からの要求、取引条件等が求められる場合に特に有効です。
また、リスク対応計画の適切性なども客観的に判断できることから、予め何らかのしきい値を定めたレビューもしくは監査を実施することも有効です。

PIAの報告(6.5.5 プロセスへの変更の反映)

PIA評価範囲内のビジネスプロセスもしくは情報システムなどに変更があった場合に、必要に応じてPIA報告書を更新する手続きを整備しておきます。
いわゆる「変更管理」を整備することで、変更による全体プロセスへの影響度などをリスクアセスメントし、影響の大きさによっては初期段階からのPIA再実施等も考慮する必要があります。
大きな変更点が無い状況が続いていたとしても、例えば情報システムの脅威や脆弱性は常に変化し続けることから、定期的なチェックもしくは第三者監査等を実施することも有効です。
情報システムにおける変更管理はITIL[2]やITSMS[3]などに基本的な考え方が記載されていますので、興味がある方はこちらもチェックしておくといいと思います。

イカ君

……えー以上がザリガニ事業部で取り扱う個人情報であり、リスク軽減策として……

ナンシー

ふむふむ。うーん……えーと……
例えばだけど委託先管理は自主点検の報告書を受け取っているだけ?
結構機微データ預けているよね?最終委託先まで確認している?安全管理措置は?現場調査行った?

イカ君

ウグ……えーと……あにょう。そにょう……

タコちゃん

イカ君。ここは素直に受け入れてリスク分析と対応計画見直ししようや。
ありがたいコメントやで。

ナンシー

そう。別にイカ君個人を責めているわけではないのよ。
ちゃんとやっているのは分かっているから、頑張ってね!

おしまい

参考文献

  • 文中の商品名、会社名、団体名は、一般に各社の商標または登録商標です。

やってみよう!PIA(プライバシー影響評価)!(報告編)