個人データを、ビジネスを守る、IIJ

個人情報保護委員会 事業者によるPIA(個人情報保護評価)実施を推奨


個人情報保護委員会は、2021年6月30日、事業者による個人情報保護評価(PIA、Privacy Impact Assessment)の実施を促進するため、「PIAの取組の促進について―PIAの意義と実施手順に沿った留意点-」と題する資料(以下、「本書」という)を公表した。

以下、本書の内容を紹介する。なお、掲載する図表はいずれも本書から抜粋したものである。

背景

事業者等における個人情報等(本書では、個人情報保護法上の個人情報を含む個人に関するあらゆる情報を「個人情報等」としている)の取扱いについては、個人情報等の侵害が発生した場合の事後的な対応コストが大きく、当該侵害が発生する前の状態に戻すことや失墜した消費者からの信頼を回復することは容易ではない。このため、事業者としては、事業の設計段階において個人の権利利益の保護を組み込み、コストの増大や信用棄損を事前に予防することが重要となる。そのための有効な手段の一つがPIAである。

GDPRでは、一定の場合に事業者にPIAが義務付けられており(Data Protection Impact Assessment、GDPR第35条)、国際規格の分野でもPIAに関するガイドラインが発行されている(ISO/IEC29134:2017, JIS X 9251:2021等)が、日本では、事業者に対して法令上PIAを義務付けする規定はなく、事業者の自主的な取組みに委ねられている。しかし、事業者にPIAの意義や実施手順が理解されておらず、現状では、PIAが十分に浸透しているとはいえない。このような状況を踏まえ、個人情報保護委員会は、PIAの促進を企図し、本書においてPIAの意義と実施手順を示したものである。

PIAの意義

PIAとは、個人情報等の収集を伴う事業の開始や変更の際に、個人の権利利益の侵害リスクを低減・回避するために、事前に影響を評価するリスク管理手法をいう。

PIAは、新規事業の企画・設計段階で実施されることが想定されているが、PIA実施の必要性が認められればいつでも実施することが可能であり、また、既存事業の見直しについても有効な方策である。PIAの実施においては、個人情報等の取扱いにより影響を受ける消費者との関係を整理し、場面ごとに個人情報等のリスクを適切に評価しなければならない。

PIA実施による主な効果は、■消費者をはじめとする利害関係者からの信頼性の獲得、■事業のトータルコストの削減、■従業者の教育を含む事業者の個人情報等の取扱いに関するガバナンスの向上、が挙げられる。

PIAの実施手順に沿った留意点

事業の実施・見直し等においてPIAを実施するか否かは、当該事業の内容に応じて決定されるべきである。

PIAの準備

■体制の整備

PIAを実施することを決定した場合は、実施責任者の任命、投入人員数などのリソース計画、スケジュールの策定など、実施のための体制整備が必要となる。経営層は、PIAの必要性を理解・認識した上で、必要なリソースを割り当てることに積極的に関与するべきである。

■個人情報等のフローの整理

また、事業者における個人情報等のフローの整理を行う。この際、消費者や委託先等を関係主体としてフローの中に組み込んだ上で、個人情報等の収集・保管・移転・利用・廃棄といったプロセスごとに、フローを可視化・詳細化しておくことが有効である。

■関係法令等の整理

さらに、リスク評価の前提として、個人情報保護法等の関係法令、当該事業分野に関して公的機関が示した指針、業界自主ルール、自社の規定・契約・関連するセキュリティ管理策等を整理することが必要となる。

(図表:フロー図のイメージ)

リスクの特定

次に、前記フローの各プロセス(個人情報等の収集・保管・移転・利用・廃棄)ごとにリスクを洗い出して整理し、当該事業者による個人情報等の取扱い上問題となりうるリスクを特定する。

この際、リスク整理表を作成することが有効である。リスク整理表においては、下記のとおり、法令・公的機関の指針・業界自主ルール等を明確に区別して問題となりうるリスクを記載することが望ましい。

(図表:リスク整理表のイメージ)

リスクの評価

次に、特定されたリスクについて、「影響度」及び「発生可能性」の観点から評価を行う。評価の際は、(影響度)「1.無視できる 2.限定的 3.重大 4.甚大」、(発生可能性)「1.非常に低い 2.一定の可能性 3.ある程度高い 4.非常に高い」といった数段階の基準を設定し、特定された各リスクを評価する。

(評価表のイメージ)

この際、下記図表のようなリスクマップの作成も考えられる。

(図表:リスクマップのイメージ)

リスクへの対応

次に、評価されたリスクについて大まかな対応方針を決定する。

(図表:対応方針の例)

対応が必要と判断されたリスクについては、具体的な対応策を検討する。

(図表:対応策の例)

PIA報告書の作成等

PIA実施結果については、消費者等への説明責任と透明性を確保するために、簡潔でわかりやすい報告書のサマリーを作成し、対外公表することが有効である。事案に応じて、報告書の内容に関し、消費者団体等の第三者機関の確認を得ることも重要となる。

今後の展望

本書は、事業者・消費者・認定個人情報保護団体等に対し、PIAの意義及び実施手順を認知させることを目的としている。

特に事業者においては、本書の公表を契機として、今後、積極的にPIAを導入し、効果的なリスク対策を通じて信頼性の獲得・トータルコストの削減・ガバナンスの向上を実現すると共に、個人情報等の適正な利活用を図ることが求められているといえる。

【個人情報保護委員会の公表資料】
https://www.ppc.go.jp/files/pdf/210630_shiryou-2-2.pdf

https://www.ppc.go.jp/files/pdf/210630_shiryou-2-1.pdf

おススメ

おススメコンテンツ

関連情報

コンテンツ

改正個人情報保護法関連ニュース

【論説・特集】令和3年個人情報保護法改正のまとめ(官民を通じた個人情報保護制度の見直し)

【セミナー】第8回オンラインセミナー「改正個情法とデジタルマーケティング」

【セミナー】透明・公正〜データ利活用の内外規制環境変化と法遵守のポイント(主催:トレジャーデータ株式会社)

BizRis有料会員のメリット

有料会員様向けのアドバイザリーサービス

GDPRや中国CS法、カリフォルニア消費者プライバシー法に関するコンサルティングを行っている専門家が、プライバシー保護規制のちょっとした疑問からドキュメントの作成支援に至るまで、BizRis有料会員様の実務上の様々なご相談にお答えします。

関連記事