PIA(Privacy Impact Assessment)とは?概要から取組方法まで解説!
近年、デジタル技術の急速な発展に伴い、個人情報(PII)の収集や処理を行うケースがますます増加しています。利用者はその利便性を享受できる一方で、知り得ないところで個人情報(PII)が利活用されていることに不信感が高まっています。このような状況を受けEUのGDPRを始めとして、各国はそれぞれプライバシー関連法を制定していますが、事業者には、外形的に法令に遵守するだけでなく、利用者や社会に対する影響を考慮した個人情報(PII)の利活用が強く求められるようになっています。
このように、個人情報(PII)の取扱いには、法令違反に該当するリスクはもちろん、それを超えて利用者不信を招き、ひいては事業継続に大きな影響を与えるリスクがあります。
こうしたリスクを最小限に抑えるために、プロジェクトやシステムの導入前には、個人情報(PII)の影響評価(PIA)が有用とされていますが、多くの事業者に浸透しているわけではなさそうです。
そこで、本記事では、このPIAの意義や概要について紹介いたします。
1. PIAとは
PIA(Privacy Impact Assessment)はプライバシー影響評価や個人情報保護評価と訳されることがあります。PIAに確立した定義はないと思われますが、次に紹介する各文献において共通するのは、PIAはプライバシーリスクに関するリスクマネジメントの方法であるという点です。また、PIAをプライバシー・バイ・デザイン(Privacy by Design)のフレームワークの中の1つのツールであると捉えることも合理的です(GDPR第25条参照)。
参考:「プライバシー・バイ・デザイン(Privacy by Design)とは?概要から企業の導入事例まで解説!」
1-1.個人情報保護委員会による定義
事前の対策を重視し、事業全体を通じて計画的にプライバシー保護の取組を実施する「プライバシー・バイ・デザイン(Privacy by Design)」の考え方が国際的にも重視されていますが、個人情報保護委員会は、この「プライバシー・バイ・デザイン」の考えを実践する手法の一つがPIA(Privacy Impact Assessment、個人情報保護評価)であるとしています。
PIAは、個人情報等の収集を伴う事業の開始や変更の際に、プライバシー等の個人の権利利益の侵害リスクを低減・回避するために、事前に影響を評価するリスク管理手法であると説明されています。
引用:「PIAの取組の促進について-PIAの意義と実施手順に沿った留意点-」
1-2.総務省・経済産業省による定義
総務省・経済産業省「DX時代における企業のプライバシーガバナンスガイドブックver1.3」では、プライバシー影響評価(PIA: Privacy Impact Assessment)とは、個人情報及びプライバシーに係るリスクの特定、分析・評価を通じて、その対応検討を行う手法であると説明されています。
引用:「DX時代における企業のプライバシーガバナンスガイドブックver1.3」
1-3.JIPDEC(一般財団法人日本情報経済社会推進協会)による定義
JIPDEC「プライバシー影響評価(Privacy Impact Assessment)〜ISO/IEC29134:2017のJIS化について〜」では、PIAは、潜在的なプライバシーへの影響を事前にアセスメント(評価)するための⼿段であり、ステークホルダーと協議してプライバシーリスクに対応するために必要な⾏動を起こすための⼿段であると説明されています。また、PIAを実施することは、プライバシーバイデザインを達成することであるとも説明されています。
引用:「プライバシー影響評価(Privacy Impact Assessment)〜ISO/IEC29134:2017のJIS化について〜」
1-4.総務省「パーソナルデータの利用・流通に関する研究会」における定義
総務省「パーソナルデータの利用・流通に関する研究会」では、PIAは、個人情報の収集を伴う情報システムの導入にあたり、プライバシーへの影響度を「事前」に評価し、その構築・運用を適正に行うことを促す一連のプロセスであると説明されています。
引用:「報告書」
2.PIAが必要とされる背景
EUのGDPRにおいては、特に新たな技術を利用したデータの取扱いが個人の権利や自由に対し高いリスクを及ぼすおそれがある場合にDPIA(Data Protection Impact Assessment)を実施する義務が課されています(GDPR第35条(1))。例えば、①プロファイリングを含む自動処理に基づく個人的側面の体系的かつ広範な評価であって、それが法的効果を生じさせるかそれと同様に重大な影響を与える場合、②センシティブ情報を大規模に取扱う場合、③公共のアクセス可能なエリアにおいて大規模な体系的監視を行う場合がハイリスクであるとされています(同条(3))。
参考:原文 "Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is "likely to result in a high risk" for the purposes of Regulation 2016/679"、和訳「データ保護影響評価(DPIA)及び取扱いが2016/679規則の適用上、「高いリスクをもたらすことが予想される」か否かの判断に関するガイドライン」
また、2021年8月に成立し同年11月1日から施行されている中国の個人情報保護法(PIPL)においても、①センシティブ情報を取り扱う場合、②個人情報の自動的決定を実施する場合、③個人情報の委託や提供を行う場合、④越境移転を行う場合、⑤その他個人の利益に重大な影響を及ぼす個人情報の取扱いを行う場合には、事前に個人情報保護影響評価を行うことが義務付けられています(PIPL55条)。GDPRより広くDPIAが必要になりそうです。
参考:「外国制度(中華人民共和国)」
参考:「【2022年最新】中国の個人情報保護法(PIPL)が成立、知っておくべきポイントは?」
他方、我が国においては、マイナンバー法が行政機関の長等(同法2条14項)の公的部門に対して特定個人情報保護評価(個人のプライバシー等の権利利益に与える影響を予測した上で特定個人情報の漏えいその他の事態を発生させるリスクを分析し、そのようなリスクを軽減するための適切な措置を講ずることの宣言)を実施する義務を課していますが(同法28条)、民間部門に対してPIA等の実施を義務付ける法令は存在していません。
参考:「特定個人情報保護評価」
それにもかかわらず、2019(令和元)年12月13日付け「個人情報保護法 - いわゆる3年ごと見直し - 制度改正大綱」において民間の自主的取組の促進としてPIAの実施が推奨され、2022(令和4)年4月1日付けで一部変更された「個人情報の保護に関する基本方針」においてはPIAを実施することによるデータガバナンスの体制構築が重要とされるに至っています。
このように、我が国の民間部門においてもPIAが推奨される背景は何でしょうか。
これには大きく3つあると考えられています。
① 社会的信用の獲得
② 事業のトータルコストの削減
③ ガバナンスの向上
参考:「PIAの取組の促進について-PIAの意義と実施手順に沿った留意点-」
2-1.社会的信用の獲得
PIAを実施することにより、次のような証明を得ることで利用者の不安や不満が軽減し、レピュテーションリスクが低減します。つまり、PIAは民間部門の事業者が社会的信用を獲得する手段として有効です。
・民間部門の事業活動が法令やガイドラインに遵守していること
・プライバシーリスクを低減するための適切な対応を実施していること
また、PIAの実施結果の公表により、説明責任を果たすことができ、透明性を高めることにも繋がります。事業者と利用者の間の情報の非対称性が解消され、利用者が自らの情報がどのように事業者に利用されるのかを知ることで、利用者の不安感を抑えることも期待できます。
このように、事業者の商品やサービスに関するプライバシーリスクを低減させ、むしろプライバシーに親和的なものにすることは、個人や社会からの信頼獲得につながります。プライバシーに関する取組をコストとしてではなく、製品やサービスの品質や企業価値を高めることとして捉え直すことが求められています。
参考:「DX時代における企業のプライバシーガバナンスガイドブックver1.3」
2-2.事業のトータルコストの削減
例えば、事業が開始された後や事業開始間際に迫ったタイミングでリスクが発覚又は顕在化した場合、プロセスやシステム等の修正のほか利用者への補償等に多大なコストがかかる可能性があります。
他方、事業の企画・設計の段階、つまり多額の投資を実行する前にPIAを実施し、プライバシーリスクを把握した場合、より低コストで必要な軌道修正を行うことが可能となります。
このように、PIAは結果として事業のトータルコストを抑えることを可能にします。
2-3.ガバナンスの向上
事業担当者が事業の企画段階でPIAに携わることで、プライバシーリスクマネジメントの必要性について自覚を持つことが期待できるほか、その過程でプライバシー保護に関連する法令やガイドラインに関する教育効果も期待できます。
また、 経営層にとっても、PIAの実施によりプライバシーリスクを把握することで組織としてのプライバシーガバナンス(※)の向上に資することとなる点で歓迎されるべきです。
※プライバシー問題の適切なリスク管理と信頼の確保による企業価値の向上に向けて、経営者が積極的にプライバシー問題への取組にコミットし、組織全体でプライバシー問題に取り組むための体制を構築し、それを機能させること(「DX時代における企業のプライバシーガバナンスガイドブックver1.3」)
3.PIAのプロセス
PIAのプロセスは、次の5つに大別できます。
① PIAの必要性の判断
② 準備
③ プライバシーリスクの評価
④ プライバシーリスクへの対応
⑤ PIAのフォローアップ
PIAもリスクマネジメントの一環であることから、特に③と④が重要となります。
(引用:「DX時代における企業のプライバシーガバナンスガイドブックver1.3」)
3-1.PIAの必要性の判断
事業者のすべての事業活動にPIAが必要とは限りません。
それぞれの事業者において、事業の内容・性質や業界の動向、そして社会の関心等諸般の事情を踏まえて一定の基準や要件を設定することが重要です。
一例を挙げれば、次のようなものについてはPIAが必要となるものと思われます(GDPR35条(3)も同旨です)。
・センシティブ情報を取り扱う場合
・プロファイリングを用いた分析を行う場合
・他の事業者とともに個人情報(PII)を取り扱う場合
なお、新商品や新サービスを企画立案する場合、プライバシーリスクが皆無ということは考えづらいことから、その場合にPIAが必要とする基準を策定するのは合理性があると思われます。
参考:「PIAの取組の促進について-PIAの意義と実施手順に沿った留意点-」
参考:「個人情報保護に関する民間の自主的取り組みの在り方に関する調査(報告書)(令和4年3月)」
3-2.準備
PIA実施の準備として体制整備(専門性をもった人員の確保等)が必要なことはもちろんですが、それと同じくらい重要なのは個人情報(PII)の流れ(フロー)について整理することです。
個人情報(PII)のフローを整理する際に、次の点に着目することが有効とされています。
・個人情報(PII)のフローのプロセス(収集、保管・利用・提供、廃棄)ごとに分析する
・個人情報(PII)の取扱いに関与する当事者を漏れなく挙げる
(引用:「PIAの取組の促進について-PIAの意義と実施手順に沿った留意点-」)
また、PIAの準備として、個人情報保護法を始めとする関連法令の整理や社会規範の変化に対しアンテナを張っておくことも必要となります。
なお、個人情報(PII)のフローを整理することにより、データマッピング(※)の準備にも資することになります。データマッピングを行うことで当該データに適用される法令の遵守状況を確認し、当該データの取扱状況等に起因するリスクに応じた必要な対応を実施することが可能になります。ガバナンス向上のために有用であることはもちろん、法改正への対応要否を検討する場合にも非常に有用です。
※事業者が取り扱うデータを事業者全体で整理して、取扱状況等を可視化する作業のこと。これを行うことで個人情報保護法23条の安全管理措置の1つである組織的安全管理措置の「個人データの取扱状況を確認する手段の整備」(ガイドライン通則編10-3(3))に資することになる。(「データマッピング・ツールキット(本編)」)
(引用:「個人情報保護に関する民間の自主的取り組みの在り方に関する調査(報告書)(令和4年3月)」)
3-3.プライバシーリスクの評価
プライバシーリスクの評価は、特定・分析・評価の3つのステップから成り立っています。
基本的にはリスクマネジメントに関するISO31000やJISQ31000と同じ発想です。
① プライバシーリスクの特定
プライバシーリスクの特定の際の着眼点として次のようなものが挙げられていますが、基本的には、プライバシーが侵害されるリスク(個人情報(PII)の漏えい等)と透明性の欠如に基づき事業者による個人情報(PII)の利活用に対し不信感を持たれるリスクの2つに分けられると思われます。
- プライバシーが侵害されるリスク
・権限のない者が個人情報(PII)に不正にアクセスする可能性がないか
・個人情報(PII)の紛失、盗難又は不正に持ち出される可能性がないか
・不適正な個人情報(PII)の編集、紐づけ、分析等の利用が行われる可能性がないか
・不必要に保有し続ける情報がないか
・利用目的外の目的のために個人情報(PII)が処理される可能性がないか
・本人の同意や適法性の根拠なく個人情報(PII)が第三者に提供される可能性がないか
・越境移転が生じる可能性がないか - 事業者による個人情報(PII)の利活用に対する不信感を持たれるリスク
・利用目的の通知や同意の取得が本人に分かりやすい形で行われるか
・本人が、自らの個人情報(PII)がどのように取り扱われることとなるか、利用目的から合理的に予測・想定できるか
・個人情報(PII)が過剰に収集される可能性がないか
・本人からの各種請求への対応は滞りなく行われるか
これらの着眼点を踏まえてリスクの洗い出しを行い、次のような「リスク整理表」を作成することが有効とされています。
(引用:「PIAの取組の促進について-PIAの意義と実施手順に沿った留意点-」)
② プライバシーリスクの分析
特定したプライバシーリスクの程度を分析する必要があります。
その際には、そのリスクにかかる結果の重大性/影響度(severity)と発生可能性(likelihood)の2つの軸から推定することが一般的です。
(引用:「PIAの取組の促進について-PIAの意義と実施手順に沿った留意点-」)
重大性/影響度や発生可能性に関する基準については、事業者ごとに置かれている状況等を踏まえ独自に策定することが望まれます。
また、基準によりプライバシーリスクの分析を行う際には、独善的なものにならないよう、異なる部署の複数の担当者がそれぞれ行うなど、一定の客観性を担保する仕組みを構築することも重要です。分析結果をナレッジとして蓄積しておくことも有用です。
③ プライバシーリスクの評価
特定したプライバシーリスクにかかる結果の重大性/影響度と発生可能性について分析し、その評価表やリスクマップを作成することが推奨されています。
(評価表)
(リスクマップ)
(引用:「PIAの取組の促進について-PIAの意義と実施手順に沿った留意点-」)
3-4.プライバシーリスクへの対応
プライバシーリスクへの対応方法には次の4つがあるとされています。
① リスク保有:基準内のリスクとして追加的な対策や条件の見直し等をしない
② リスク低減:適切な対応策を講じることでリスクを基準内に収める
③ リスク回避:事業からの撤退又は条件の変更
④ リスク移転:外部事業者へのリスクの移転
ここで重要な点は、プライバシーリスクへの対応は当該リスクを皆無にすることを目的とするのではなく、当該リスクを事業者が受容可能なリスクの範囲内に収めることです。
この受容可能なリスクの範囲は事業者ごとに異なります。例えば、プライバシーリスクにかかる結果の重大性/影響度と発生可能性を掛け合わせた数値が4以下であればリスク保有との判断を下すのか、あるいは当該数値が4以下でも重大性/影響度又は発生可能性のいずれか1つでも4(甚大/非常に高い)があった場合はリスク保有せず低減等の対応をとるのか、事業者ごとに頭を悩ませる必要があります。
3-5.PIAのフォローアップ
PIAの実施結果を報告書として取りまとめ、経営層への報告を行うことにとどまらず、ステークホルダーへの説明責任と透明性の観点から、PIAの結果(サマリ)を対外公表することが有効であるとされています。対外公表については、報告書のサマリーを作成し、簡潔で分かりやすい形で公表することが有効であるとされています。
4.PIAの今後
2020(令和2)年6月に成立・公布された「個人情報の保護に関する法律等の一部を改正する法律」(令和2年改正法)の附則第10条にはいわゆる3年ごと見直しの規定が置かれており、令和2年改正法が施行された2022(令和4)年4月1日から3年の間に諸般の事情を考慮して必要な法改正等を行うための検討が行われます。
現在、個人情報保護委員会において、いわゆる3年ごと見直しに基づく検討が開始されています。
参考:第261回個人情報保護委員会
個人情報保護委員会が示している「個人情報保護法いわゆる3年ごと見直し規定に基づく検討」によれば、2023年11月下旬から関係団体等ヒアリングが実施され、2024年春頃に「中間整理」を公表する予定となっています。
PIAは「データ利活用に向けた取組に対する支援等の在り方」のうち、「民間事業者等の取組を促す動機付けの仕組みや支援」に関連して検討される見込みです。
(引用:「個人情報保護法いわゆる3年ごと見直し規定に基づく検討」)
先のいわゆる3年ごと見直し(2015(平成27)年改正法附則第12条に基づく検討)においては、「個人情報保護法いわゆる3年ごと見直し制度改正大綱」 にあるように、PIAを努力義務化することに積極的な意見もあった反面(例えばJIPDEC〔中間整理パブコメNo.265〕)、「評価の項目や手法等を規定して義務化することは、かえってこうした自主的な取組を阻害するおそれもあるため、このような民間の動向を踏まえつつ、民間の自主的な取組を促すことが望ましい」として、令和2年改正法においてPIAの努力義務化はされなかったという経緯があります。
現在行われているいわゆる3年ごと見直しヒアリングにおいても、PIAの努力義務化に対して賛否両論あり、今後の検討から目を離せません。
参考:第262回個人情報保護委員会(日本情報経済社会推進協会(JIPDEC))
参考:第266条個人情報保護委員会(電子情報技術産業協会(JEITA))
参考:第271回個人情報保護委員会(日本インタラクティブ広告協会(JIAA))
まとめ
次回の個人情報保護法の改正においてPIAが努力義務化されるかどうかにかかわらず、社会一般のプライバシー保護の要請は高まるばかりであり、PIAの考え方を意識するのとしないのとでは大きな差が生まれます。
プライバシーリスクに関して少しでも不安を感じる事業者は、この機会にPIAについて検討してみてはいかがでしょうか。