Columnコラム

プライバシー影響評価の基本と、今取り組むべき理由

2022年5月18日

ご相談・無料お見積り

ビッグデータ・AIなど技術の進化とともに、パーソナルデータを様々なビジネスに活用するケースが増えています。一方で、パーソナルデータの活用に関しては各国で法整備が進み、厳格な取扱いが求められるほか、利用者も自身のパーソナルデータがどう取り扱われるのか、プライバシーに気を配るようになってきました。
こういったなかで、パーソナルデータを適切に取り扱うための取り組みとして挙げられるのが「プライバシー影響評価」です。プライバシー影響評価とはいったいどういうものなのか、パーソナルデータを取り巻く動向から、プライバシー影響評価の基本、今取り組むべき理由について解説します。

パーソナルデータを取り扱う際のリスクを評価する「プライバシー影響評価」

パーソナルデータに関する取得~利用・提供~保管~廃棄の各プロセスを評価

プライバシー影響評価(Privacy Impact Assessment、PIA)とは、パーソナルデータを取り扱うサービス・製品を開発する際に、プライバシーリスクを評価する取り組みのことです。具体的にどのようなデータを取り扱うのか、プライバシーを侵害するリスクや影響はないかを評価し、リスクを軽減する対策を講じるところまでが含まれます。評価にあたっては「利用者からどのように同意を取るか」といったパーソナルデータの取得から、利用・提供、保管、廃棄までの各プロセスについて、そのリスクや影響を検討していきます。また、取り扱うパーソナルデータの種類(住所・氏名といった個人情報か、病歴などセンシティブなものかなど)を考慮して評価を実施します。単体でデータを取得・保管するだけでは問題がなくても、組み合わせや活用方法によって利用者が不快に感じるケースもあるため、特に新規性が高い事業・サービスでは、事前に慎重を期して評価することが推奨されます。

世界各国でプライバシー影響評価の義務化が進んでいる

プライバシー影響評価は、世界各国の法律や規制でも採用され始めています。EUのGDPRで民間企業に対して特定のケースにおけるDPIA(Data Protection Impact Assessment)が義務化され、世界各国でプライバシー影響評価の義務化が広まりつつあります。
現在の個人情報保護法では義務化されていませんが、個人情報保護法は3年ごとに改正されるため、今後日本においても民間企業に対してプライバシー影響評価が義務化される可能性は否めません。総務省・経産省は「DX時代における企業のプライバシーガバナンスガイドブック」を公表し、企業におけるプライバシーガバナンスの構築を推奨しています。また、個人情報保護委員会でも、「PIAの取組の促進について」という資料を公開しており、プライバシー影響評価の意義や手順を示しています。
プライバシー影響評価は法対応の点でも重要ですが、プライバシー影響評価を行うことで、リスクを低減・回避することにつながり、サービスの品質が高まるという考え方もあります。企業としてプライバシー保護に積極的に取り組み、利用者からの信頼を獲得する為にも、パーソナルデータを取扱うならばプライバシー影響評価は有効な手法であると言えるでしょう。

プライバシー影響評価における2つの注意点

「プライバシー影響評価の要否」をどう判断するか

プライバシー影響評価の実施ステップは大きく「プライバシー影響評価の要否判断」「事前準備」「実行」「フォローアップ」に分けられます。プライバシー影響評価を実施すべきかどうかを判断する最初のステップは重要です。パーソナルデータを扱わない事業であればプライバシー影響評価は不要ですが、対象データ自体がいわゆる「個人情報」に該当しなくても、個人の活動履歴をプロファイリングするなど、利用者を分析・推測するようなケースはプライバシー影響評価の対象とすべきです。そのため判断の際は、「どのデータを使うか」だけではなく、サービスの内容やデータの使い方まで考慮しなければなりません。AIなど新しい技術を採用したサービスや、これまで馴染みがないサービスなどは特に注意が必要です。

プライバシー影響評価をどの段階で実施するか

プライバシー影響評価は予防的に実施する取り組みであるため、新規サービス・製品の企画・構想時に実施することが望ましいとされています。プライバシーのリスクはサービスの根幹に関わることも多く、開発が進んでからでは、対策の反映が難しくなります。サービスの構想が定まった段階で、プライバシー影響評価を実施し、その結果を設計にフィードバックする形がベストです。
ただし、パーソナルデータのライフサイクル全体を通じてリスクを軽減することが目的ですから、評価を始める前に、取得・保管・活用・廃棄の各プロセスについてある程度定まっている必要があります。新規サービス・製品の企画・構想を進めるなかで、一連のプロセスやデータ利用方法が定まった段階でプライバシー影響評価を実施するとよいでしょう。

プライバシー影響評価を効率的に実施・管理するために

各国のプライバシー関連法律にも対応したOneTrust

プライバシー影響評価を実施するにあたっては、評価のプロセスやリスクを一元的に管理できるツールの活用をお勧めします。プライバシー管理ソフトウェア「OneTrust」では、あらかじめGDPRや、米国カリフォルニア州消費者プライバシー法(CCPA)など、多くの法・制度に対応し、評価のためのテンプレートが用意されているため、効率的かつ確実な評価が可能になります。
カスタマイズ性の高さもOneTrustの特長であり、ある設問の回答を受けて、追加の設問を出す、といったフローも定義できます。また、まずは全プロジェクトに対して「プライバシー影響評価を実施するかどうか」を判断する1次評価を実施し、必要と判断されたものに対して2次評価を実施する、といった使い方も可能です。
回答内容に対するコメント機能もあり、申請者(事業部門)と承認者(プライバシー保護組織など)間のコミュニケーションもOneTrust上に集約できます。どういった経緯で評価したのか、どう改善したのかといった情報がメールなどに分散することがなく、スムーズな評価や振り返りをサポートします。

OneTrust画面イメージ:コミュニケーションをOneTrust上に集約

図:OneTrust画面イメージ。追加情報の依頼や不明点の質問などコミュニケーションすることが可能

リスク状況はマトリクスで可視化でき、「リスクが高いものが何件あるのか」を一目で把握できるほか、「どこまで下げるべきか(目標)」などの管理にも対応。こういった機能を活用することで、リスクをどこまで下げればよいのかの基準を社内で定め、定量的な管理・判断が可能になります。

OneTrust画面イメージ:リスク状況

図:OneTrust画面イメージ。ダッシュボード全体のリスクを把握。目標とするリスクレベルの設定などにより特定されたリスクへの対処をサポート

日本国内の法律に精通したNRIが、適切なプライバシー影響評価を支援

OneTrustはスムーズな評価実施をサポートするツールですが、ツールさえあれば確実に評価できるとは限りません。OneTrustの販売代理店でもあるNRIは、日本の個人情報保護法やプライバシー関連の規格、ガイドラインにも精通しており、日本企業で必要となる評価項目をまとめたNRI独自のテンプレートなどを提供し、ツール導入から、プライバシー影響評価の実施までをサポートします。また、コンサルティングのノウハウも活かし、「プライバシー影響評価でどのような設問とすべきか」などの設計から支援し、適切にプライバシーのリスクを評価できる仕組みを実現します。

プライバシー影響評価(PIA)の導入支援なら、asleadにお任せください

asleadではプライバシー影響評価(PIA)導入に関するサービスの開発・導入実績を豊富に持っています。お客様に合わせた最適なご提案をさせていただきますので、まずはお気軽にお問い合わせください。

ご相談・無料お見積り

お問い合わせ

onetrust に関するご相談は、下記よりお気軽にお問い合わせください。

お問い合わせフォーム ※個人情報は、お問い合わせ対応に利用致します。
お問い合わせ