執筆:弁護士 藤田 貴敬( AI・データ(個人情報等)チーム )
本記事では、プライバシー影響評価(PIA)の意義や効果、個人情報保護委員会における中間整理での検討状況を踏まえた改正の動向などを紹介しながら、PIAのポイントをわかりやすく解説します。
1.PIAとは
(1) PIAの意義
まずPIAとは、Privacy Impact Assessmentの略でプライバシー影響評価を意味しています。そして、個人情報保護委員会(以下「個情委」といいます。)が公表している「PIAの取組の促進について-PIAの意義と実施手順に沿った留意点-」(以下「PIA留意点」といいます。)によれば、個人情報等の収集を伴う事業の開始や変更の際に、プライバシー等の個人の権利利益の侵害リスクを低減・回避するために、事前に影響を評価するリスク管理手法をいうとされており、事業の企画・設計段階から個人情報等の保護の観点を考慮するプロセスを、事業のライフサイクルの中に組み込むことをいうともされています。
すなわち、個人に関わる情報を活用した製品やサービスの企画や設計段階において、データを取り扱うプロセスの「どこに」「どのような」プライバシーリスクがあるのかを特定し、そのリスクの評価やリスクを回避又は最小化するための適切な対策を講じるための一連の活動のことを指しているといえます。
なお、プライバシー影響評価のためのガイドライン(JISX9251)においては、PIAを、個人識別可能情報の処理に関する潜在的なプライバシー影響の、特定、分析、評価、協議、伝達及び対応の計画を立てるための全体的なプロセスであって、組織のより広範なリスクマネジメントの枠組みに組み込まれたものと定義されています。また、同ガイドラインにおいてPIAは、個人識別可能情報を処理するプロセス、情報システム、プログラム、ソフトウェアモジュール、デバイス、その他の取組みにおけるプライバシーに対する潜在的な影響をアセスメントするための手段であり、利害関係者と協議してプライバシーリスクに対応するために必要な行動を起こすための手段であること、取組みの可能な限り早い段階から始まるプロセスであり、取組みの結果に影響を及ぼす機会がまだあることから、プライバシー・バイ・デザイン を確実にするものであるともされています。
(2) PIAの目的と効果
PIAは、上記の意義から明らかなとおり、個人情報等の取り扱いに関する影響を評価し、評価結果を基に対策を講じることで、個人の権利利益の保護の実現と個人情報等漏えい事故等の事後的な問題発生の防止を図ることを主な目的としています。
そして、PIA留意点によれば、PIAを実施することにより、次のような効果が得られるとされています。
① 消費者を始めとする利害関係者からの信頼性の獲得
② 事業のトータルコストの削減
③ 従業者の教育を含む事業者の個人情報等の取扱いに関するガバナンスの向上
まず、①については、PIAを実施することにより、自社製品やサービスについてのプライバシーリスクを特定し、そのリスクについて対応することになるので、当該リスクが顕在化したことによる個人情報等の漏洩や不正利用などを事前に防ぐことができるというメリットがあります。これにより、漏洩や不正利用等が起きた際に生じる消費者を始めとする利害関係者からの不安や不満や自社のレピュテーションが低下することを防止することができ、ひいては、これらの者達からの信頼を獲得することができます。
次に、②については、上記のとおり企画・設計の段階で事前にリスクの特定、評価及び対応を行うことになるため、事業について手戻りが生じないというメリットがあります。すなわち、自社製品やサービスの開発がスタートしてしまうと、そこには相当程度の額の投資がされていることが通常であるところ、開発の途中や製品やサービスのリリース後にプライバシーリスクが発覚してしまった場合には、場合によっては、開発のやり直しが生じることになり、既に投下したコストが無駄になってしまうリスクがあります。PIAは企画・設計段階に行われるものであるため、開発のための多額の投資が行われる前にプライバシーリスクを特定し、必要に応じて製品又はサービスの方向性等を修正することができるので、上記リスクを回避することができ、結果として、開発等にかかるトータルコストを削減できることになります。
最後に、③については、PIAを通じて、従業者のプライバシーリテラシーが向上し、自社のプライバシーガバナンスが向上するというメリットがあります。従業者については、PIAの手続に実際に関わることにより、個人情報等の適正な取り扱いについての必要性について自覚を持つのみならず、その過程で法令の内容の確認等を行うことを通じて、プライバシーリテラシーを向上させることができます。また、PIAを通じて、経営層が、自社の個人情報等の状況、リスクポイントを把握することができるので、組織的にプライバシーに関する対策を講じることができ、その結果、自社のプライバシーガバナンスを向上させることができます。
(3) PIAの法的位置づけ
PIAは、欧米を中心に先行して実施されている状況ですが、法制度として、初めて民間事業者に対してPIAの実施が義務付けられたのが、EUのGDPR(General Data Protection Regulation)になります。GDPR第35条1項では次のように規定されており、データ管理者に対して、データ保護影響評価(DPIA: Data Protection Impact Assessment)の義務が課されています。
第35条(データ保護影響評価)1項
取扱いの性質、範囲、過程及び目的を考慮に入れた上で、特に新たな技術を用いるような種類の取扱いが、自然人の権利及び自由に対する高いリスクを発生させるおそれがある場合、管理者は、その取扱いの開始前に、予定している取扱業務の個人データの保護に対する影響についての評価を行わなければならない
これに対して、日本においては、民間事業者にPIAを義務付けるような法制度はなく、PIAは、事業者が任意で実施するものになっています。
2.実施手順と留意点
PIA留意点によれば、PIAの一般的なプロセスを大別すると、以下の図のとおり、①PIAの準備、②リスクの特定及び評価、③リスクへの対応(低減)に分けることができるとされています。
※PIA留意点 Ⅱ.PIAの実施手順に沿った留意点 図表2を抜粋
(1) PIAの準備
このプロセスにおいては、PIAの実施要否の検討、PIAを実施するための体制の整備、取扱いフローの整理及び関係法令等の情報収集などを行うことが想定されています。以下ではそれぞれの実施事項について簡単に解説します。
ア PIAの実施要否の検討
まず、日本においては、上記の通り、民間事業者におけるPIAの実施は、法的義務ではありませんので、実施するかどうかについては民間事業者の裁量に委ねられています。そのため、どのような場合に実施すべきかについては悩ましい問題ではあります。
この点、GDPR第35条3項においては、DPIAは次のような場合に特に求められるとされています。具体的には、特に新たな技術を用いるような種類の取扱いが、自然人の権利及び自由に対する高いリスクを発生させる恐れがある場合に実施されることとなっています。
第35条3項
第1 項に規定するデータ保護影響評価は、とりわけ、以下の場合に求められる。
(a) プロファイリングを含め、自動的な取扱いに基づくものであり、かつ、それに基づく判断が自然人に関して法的効果を発生させ、又は、自然人に対して同様の重大な影響を及ぼす、自然人に関する人格的側面の体系的かつ広範囲な評価の場合;
(b) 第 9 条第 1 項に規定する特別な種類のデータ又は第 10 条に規定する有罪判決及び犯罪行為と関連する個人データの大規模な取扱いの場合;又は、
(c) 公衆がアクセス可能な場所の、システムによる監視が大規模に行われる場合。
また、日本の事業者においても、新規案件や新サービスを開始する際には必ずPIAを実施することとしていたり、独自のチェックリストを作成し、一定の基準に該当した場合には実施することとしているなどの例が見られます。
以上のとおり、現状は、PIAを実施するかどうかは、リリースを予定している製品やサービスの内容、取り扱う予定の個人情報等の性質などを考慮して、決定することになるかと思います。
イ 体制の整備
PIAを実施することを決定した場合は、PIAを実施するための体制を整備する必要があります。具体的には、実施責任者の任命、投入人員数などのリソース計画、スケジュールの策定などがあげられます。
PIAは、上記の通り、自社製品やサービスの企画・設計段階に行われるものであり、PIAの対象となる製品やサービスの規模等によって、どのような人材をアサインすべきか、どの程度のリソースを投下すべきか、また、どの程度の期間を要するかということは変わってきます。そして、適切な体制を整備するためには、経営層がPIAの必要性等を理解・認識した上で体制整備にコミットしていくことが極めて重要となります。
ウ 個人情報等のフローの整理
PIAは、上記のとおり、個人情報等の取扱いフロ―に関するリスクを特定・評価する活動ですので、その前提として個人情報等の取扱いフローを整理しておくことが必要となります。この整理にあたっては、PIA留意点では、以下のように、個人情報等の収集・保管・移転・利用・廃棄といったプロセスごとに整理し、フローを可視化・詳細化しておくことが有効であるとされています。
そして、フローの整理にあたっては、誰が、どのようなデータを、どのプロセスで扱うのかという点を意識して整理していくことがポイントになります。この点については、様々な方法があるかと思いますが、個情委から、個人情報の取扱い状況を可視化するためのデータマッピング・ツールキットが公表されていますので、こういったツールなどを活用しながら、個人情報等のフローを整理されるのがよいかと思います。
※PIA留意点 Ⅱ. PIAの実施手順に沿った留意点 2.PIAの準備(2)個人情報等のフローの整理 図表3を抜粋
エ 関係法令等の整理
整理した取扱いフローを前提に、取扱いによって生じるリスクを特定・評価するために、特定・評価の根拠や要件を洗いだして整理しておくことが必要となります。具体的には、適用される個人情報保護法を始めとする関係法令を整理しておく必要があります。また、法令だけではなく、自社に適用される可能性がある特定の事業分野に適用されるガイドライン、業界自主基準、自社の規程、契約、関連するセキュリティ管理のルール等を洗い出して整理しておく必要があります。
また、適用される法令の洗い出しにあたっては、スムーズに進めるため、自社の法務部門との連携や場合によっては弁護士などの外部専門家などに協力を仰ぎながら進めて行くことが考えられます。
なお、諸外国法が適応される場合には、個情委が調査を実施している国については、個情委のウェブサイト(諸外国・地域の法制度)に公表もされているため、これらの内容を参考にしつつ、国内及び現地の弁護士などを活用しながら、情報収集を進めて行くことが考えられます。
(2) リスクの特定及び評価
ア リスクの特定
次に、整理したフロー段階ごとに、事業者側のオペレーションなどに伴い想定されるリスク要因、消費者・利用者側の利用方法に伴うリスク要因なども踏まえてリスクを洗い出し、整理することが求められます。PIA留意点では、次のような着眼点に従って、リスクの洗い出しをすることが考えられる旨が記載されています。
・ 利用目的の通知や同意の取得が本人に分かりやすい形で行われるか。
・ 本人が、自らの個人情報等がどのように取り扱われることとなるか、利用目的から合理的に予測・想定できるか。
・ 個人情報等が過剰に収集される可能性がないか。
・ 本人からの各種請求への対応は滞りなく行われるか。
・ 権限のない者が個人情報等に不正にアクセスする可能性がないか。
・ 個人情報等の紛失、盗難又は不正に持ち出される可能性がないか。
・ 不適正な個人情報等の編集、紐づけ、分析等の利用が行われる可能性がないか。
・ 不必要に保有し続ける情報がないか。
また、PIA留意点では、以上を踏まえたリスクの洗い出しを行い、以下の表のように整理することが有効である旨が記載されています。整理にあたっては、要求されている内容が、何を根拠に要求されているのかを明確にし、根拠ごとに区別して整理するのが望ましいともされています。
図表4 リスク整理表のイメージ
個人情報保護法 | ○○事業ガイドブック | その他 | |
|---|---|---|---|
収集 | ・利用目的が通知・公表されているか | ・同意の取得や通知が本人に分かりやすい形で行われているか | ・事業に不要な情報まで収集していないか |
保管 | ・内容の正確性が確保されているか | ・示されているセキュリティ対策がなされているか | ・各種請求対応は円滑に行われるか |
利用 | ・目的外の利用がないか | ・推奨されている手順に沿って利用がなされているか | ・処理のログが取られているか |
提供 | ・第三者提供時にあたり同意を取得することとされているか | ・移転先が本人に明示されているか | ・移転する情報は必要かつ最小限なものとなっているか |
廃棄 | ・必要ない情報は廃棄されているか | ・保存期間が設定されているか | ・廃棄時に複数人で確認されるか |
※PIA留意点 Ⅱ. PIAの実施手順に沿った留意点 3.リスクの特定 図表4を抜粋
イ リスクの評価
上記で特定したリスクについて、影響度(事故の深刻さや企業の損失額など)と発生可能性の観点から、評価を実施します。PIA留意点では、評価の実施後、各リスクの分布を総覧的に把握し、対応の優先度の検討を行いやすくするため、以下のようなリスク評価表やリスクマップを作成することが考えられます。
図表6 評価表のイメージ
| 特定したリスク | 取扱状況、措置等 | 影響度 | 発生可能性 |
|---|---|---|---|---|
収集 | ①利用目的の通知や同意の取得が本人に分かりやすい形で行われるか | 図も含めてアプリケーション上に内容を表示し、チェックを入れる設計となっている | 1 | 1 |
②事業に不要な情報まで収集されていないか | 一部、利用目的と関係のない情報を取得する設計となっている | 2 | 1 | |
… | … | … | … | |
保管 | ⑤○○事業ガイドブックに示されているセキュリティ対策がなされているか | 一部、実施できていないセキュリティ対策がある | 3 | 4 |
… | … | … | … | |
利用 | ⑨処理のログが取られているか | ログは取るようにしているが、容易に編集・削除できるようになっている | 3 | 2 |
… | … | … | … | |
… | … | … | … | … |
廃棄 | ㉒必要ない情報は廃棄されているか | サービス提供後、〇月以内に廃棄されることとしている | 1 | 1 |
… | … | … | … |
※PIA留意点 Ⅱ. PIAの実施手順に沿った留意点 4.リスクの評価 図表6及び7を抜粋
(3) リスクへの対応
ア 対応方法
上記のとおり、評価したリスクについてどのような対応を行っていくかを次に検討することになります。洗い出したリスクに対する対応方法としては、一般論としては、リスク回避、リスク低減、リスク移転(リスク共有)、リスク保有(リスク受容)の4つがあげられます。これらのいずれか、あるいは複数の対応方法を組み合わせてリスクへの対応を行うことになります。以下それぞれの対応方法について簡単に説明します。
・リスク回避
リスクを発生させる原因自体を取り除くという対応方法です。具体的な対応方法としては、検討している事業からの撤退(自社製品又はサービスのリリース中止)、リスクポイントとなっている項目を排除した上で製品又はサービスをリリースするなどといった方法が考えられます。
・リスクの低減
リスクの影響を最小限に抑えるという対応方法です。具体的な対応方法としては、リスクポイントとなっている取扱いプロセスについて、厳格なルールを設定し、取り扱う者に教育を実施したり、セキュリティソフトを導入するなどして、当該プロセスから発生するリスクの影響を押さえるという方法などが考えられます。
・リスクの移転
リスクの移転を第三者に移す対応方法です。具体的な対応方法としては、リスクポイントとなっているプロセスをよりセキュリティレベルの高い第三者に委託したり、サイバーセキュリティ保険をかけたりするという方法などが考えられます。
・リスクの保有
リスクを受け入れる対応方法です。そもそもすべてのリスクに対応することは、リスク対策にかかるコストの観点から難しい場合が多いため、リスクの影響度や発生可能性が低い場合には、割り切ってリスクを容認するということも一つの対応方法です。
イ 対応方針の決定
上記のリスクへの対応方法を踏まえて、整理した特定したリスクへの対応方法を決定します。企業ごとに方針は異なりますが、基本的な方針としては、影響度が高く、発生可能性も高い場合には、リスク回避という対応方法をとることが考えられます。そして、影響度が低く、発生可能性も低い場合には、リスク保有という対応方法をとることが考えられます。
それ以外の部分については、特定したリスクの性質を見ながら、リスク移転の対応とリスク低減の対応に切り分けていくことになります。
リスクの対応方法を検討し、対策を講じた後は、リスクの評価において作成したリスク評価表やリスク評価マップを修正する必要があります。修正後の内容から新しいリスクがさらに生じる可能性がありますので、その点も確認した上で、再度リスクの特定、評価、対応といったプロセスを回し、生じ得るリスクについて許容できるレベルまで整理しきることが肝要です。
ウ 外部への公表
最後に、実施したPIAの内容については、報告書として取りまとめて、経営層に報告した上で、自社の対応方法として経営層のオーソライズを受けるということは当然として、当該内容について、対外的に公表するという方法も、PIAの目的をより実効的にすることから有益なものになります。
すなわち、PIAの内容を公表することにより、自社製品やサービスのプライバシーリスクに関する対応方法等や方針が明らかとなりますので、消費者を始めとするステークホルダーへの説明責任を果たし、透明性を確保することにも寄与することができることになります。
3.中間整理での検討状況
上記で、PIAの概要や手法について解説しましたが、最後にPIAに関する改正の方向性についてみていきたいと思います。中間整理では、以下のような考え方が示されております(以下、執筆者下線)。
PIA・個人データの取扱いに関する責任者は、データガバナンス体制の構築において主要な要素となるものであり、その取組が促進されることが望ましい。他方、これらの義務化については、各主体における対応可能性や負担面などを踏まえ、慎重に検討を進める必要がある。
PIA については、民間における自主的な取組という現状の枠組みを維持しつつ、その取組を一層促進させるための方策について、PIA の出発点となり得るデータマッピングを活用していくことを含め、検討を進める必要がある。
…(以下省略)
上記の個情委の考え方からすれば、PIAの取組みは推進されることが望ましいものの、諸外国のように法的な制度として、事業者に義務化していくことについては慎重な姿勢を採っているといえます。私見ではありますが、今回の改正においてはPIAが法的義務にまでなることはないのではないかとは思います。ただし、いずれも確定した改正内容ではないため、今後の議論や改正案の整理には注目しておく必要があります。
4.まとめ
以上のとおり、PIAの概要と実施する際のポイントになります。GVA法律事務所ではPIA対応などを始めとする個人情報保護法やデータ保護法に関する相談、情報セキュリティに関する相談など様々な内容についてご相談もいただけます。ご不明点やご相談などありましたら、お気軽にお問い合わせください。
以上
監修
弁護士 阿久津 透
(個人情報保護法、電気通信事業法といったデータ・通信に関する分野を中心に担当。 データ分析やマーケティング施策実施における法規制の対応、情報漏えい対応などデータの利活用に関する実務対応を行っている。 その他、スタートアップファイナンス、企業間紛争も対応。)
