お問い合わせ
何をお探しですか?
What’s New
  • ニュースリリース、お知らせ等
  • セミナー&イベント

2024年12月13日

コラム

Hyper-V ワークグループクラスター 2025

2024年12月2日

お知らせ

本社および品川オフィスの集約・移転、ならびに商号変更予定のお知らせ(2025年1月6日)

2024年11月13日

お知らせ

当社社員が翻訳協力した「原則から実践へ:ダイナミックな規制環境における責任あるAI」が公開されました
トピックス一覧へ

2024年12月12日 更新

2025年1月27日 開催

当社主催セミナー「生成AIビジネスの現状 ~最新の機能概要とビジネス化に向けた課題~」を開催

2024年12月10日 更新

2024年12月24日 開催

Hinemosでクラウド運用を実現するメリット (2024年12月24日)

2024年12月10日 更新

2025年1月28日 開催

当社主催セミナー「データ駆動型ビジネスの課題と解決法」を開催
セミナー&イベント一覧へ

やってみよう!PIA(プライバシー影響評価)!(準備編)

セキュリティ
お問い合わせ

2023.03.09

     

今回はPIA(プライバシー影響評価)を進めるためにどのような準備が必要なのかを説明したいと思います。

ナンシー
ナンシー
元米海軍データアナリスト(自称)。口癖はジャスティス。コスプレが大好き。
タコちゃん
タコちゃん
元プロボクサー。現役時代は「ハンマー・タコ」の異名で恐れられた。お酒が大好き。
イカ君
イカ君
イロイロとこじらせたまま中年になってしまった謎のイカ。ゲームが大好き。
イカ君

ナンシーが早くPIA実施しろだって。

タコちゃん

しゃーないな。そろそろ始めるか……
ところで前回紹介した参考基準はなんか読んだか?

イカ君

読んでもよくわからないから、ついついゲームしちゃうんだ……

タコちゃん

君ってヤツは……
まあ確かにわかりづらいやな。参考資料見ながらぼちぼちやってみるべ。
PIAはイロイロとメリットがあるんやで。

PIA(プライバシー影響評価)のメリットとは?

PIA: privacy impact assessment(プライバシー影響評価)(以下「PIAという」)を実施するメリットとは何でしょうか?前回説明したとおりPIAは基本的に義務でありませんが、実施することによるメリットは他にもいくつかあります。

  • ①お客様からの信頼性確保
    個人情報等の適切な取り扱いを行っていることの証明(必要に応じて公開)にもなり、組織の社会的責任、コンプライアンス、リスクコントロールを実施していることでお客様等からの信用を得ることができる。
  • ②リスクコントロール
    プロジェクトの出戻りや最悪の場合中止にもなりかねないリスクを初期段階で管理することで、対策コストの削減、対策期間の短縮、人員リソースの確保、関連トラブルの抑止等のメリットがある。
  • ③プライバシーガバナンスの向上
    個人情報等取り扱いの現状を知ることで、従業員の自覚、経営層の理解によるプライバシーガバナンス向上につながります。

図1:PIA導入によるメリット
図1:PIA導入によるメリット[1]

イカ君

図解してくれるとわかりやすいね。

タコちゃん

せやで。個人情報保護委員会のWEBサイトにはPIAの情報も載っているから、定期的にチェックするとええで。

イカ君

ほんで?
実際どうやんの?

タコちゃん

やり方はイロイロあるんやけど基本的なヤツ紹介するで。

PIAの全体プロセス

PIAの進め方は前回紹介した規格や法令等によって異なりますが、今回は最も汎用的だと思われるISO/IEC 29134:2017(JIS X 9251:2021 )プライバシー影響評価のためのガイドライン[2]の考え方を中心に説明します。大きく3つのプロセス(準備、実施、報告)に分かれています。

表1:PIA全体プロセスの例[2]
プロセス 概要
準備
  • ・PIA必要性の検討(PII(個人識別可能情報)取り扱い状況、法令、規制等)
  • ・体制構築(責任者の任命、リスク基準の検討等)
  • ・計画作成およびリソースの決定(PIA実施に係るコスト、リソース、期間、能力等)
  • ・評価範囲の説明(PIA対象のプロセス、システム、プログラム等の説明)
  • ・ステークホルダーとの関わり(特定、協議計画策定、協議、フィードバック等)
実施
  • ・PII情報フロー(収集、保管、利用、移転、削除)の識別
  • ・ユースケースの内容分析(利用者のさまざまな行動に対する影響分析)
  • ・プライバシー安全対策要件のリスト(関連法令、規則、管理策、情報源等)
  • ・プライバシーリスクの特定(機密性、完全性、可用性の喪失等)
  • ・プライバシーリスク分析(脅威、脆弱性、影響、既存管理策等)
  • ・プライバシーリスク評価(プライバシーリスクマップ等)
  • ・プライバシーリスク対応措置(低減、保有、回避、移転等)
  • ・プライバシー管理策の決定(リスト化、適用宣言書等)
  • ・プライバシーリスク対応計画(管理計画、責任者承認、受容ステートメント等)
報告
  • ・PIA報告書作成(PIA報告書の作成、公表要素の決定等)
  • ・利害関係者へのPIA報告書の公表(PIA報告書登録簿の管理等)
  • ・プライバシーリスク対応計画の実施(実装の完了、推奨事項のモニタリング等)
  • ・PIAのレビューまたは監査(可能な限り第三者によるPIA報告書レビューまたは監査等)
  • ・プロセス変更の反映(プロセスもしくは情報システムに重大な変更があった場合)
タコちゃん

今回は準備のプロセスを説明するで。

イカ君

準備だけでもイロイロあるね。

タコちゃん

せや。準備は重要やで。ざっくり言うとPIAをどこまでやるのか、提供できるリソースはどの程度なのか、バランスを取りながら計画を作成するんやで。

PIAの準備(6.2 PIA必要性の決定)

まずはPIA実施の必要性について検討することから始まります。
個人識別可能情報(以下「PII(Personally Identifiable Information)」という。)を取り扱っているのか?いないのか?取り扱っている場合は法令・規則等(個人情報保護法等)にどの程度関わるものなのか?組織のプライバシーポリシーに準拠しているか?PIAをやるべきか?やるならどの程度の範囲と粒度でやるべきか?必要な人材、コスト、期間はどの程度か?などになります。
PIA必要性の検討もよくわからないという場合は、現状分析的な意味合いで予備評価(予備PIA)を実施する場合もあります。
実施基準(しきい値分析)をあらかじめ定めておいてチェックするというやり方もありますが、自組織だけで対応が難しい場合は、初期段階から知見のある有識者(学識者、コンサル、弁護士等)と協力しながら進めるとよいでしょう。また、一般的にPIAはPIIを業務やシステム上で取り扱う以前に実施することが効果的とされますが、それ以後でも問題ありません。自主点検や監査のようなイメージで定期的にPIAを実施することも効果的かと思われます。

表2:PIA実施タイミングの例[3]
PIA実施タイミングの例
PIIを新たに取得、保有、利用、拡大し従来のPIIの範囲を拡大する
PIIの取得方法を変更する
PIIを取得、保有、利用、提供、廃棄する既存の業務手順に大きな変更がある
PIIを取得、保有、利用、提供、廃棄の処理手順が変更されることによって想定外のPIIが利用または廃棄され、PIIを繰り返し取得する必要性が発生する
第三者からPIIを提供され、又は当該データベースを第三者と連携して利用する
取得されたPIIが、目的外で利用されることがある
システムを利用する過程で生成した情報が、保有しているPIIと結合して、プライバシーに影響する情報を生成する
システムの新規構築又は変更において、PIIが格納されるデータベースのアクセス制御、および管理のためのセキュリティ対策に大きな変更が発生する
従来のPII管理システムに、特定技術等を適用することにより、PIIが本人識別のできる形に変換されるなどプライバシー侵害が予期される
構築予定のシステムが、位置情報、生体情報など個人識別符号等を取得し、サービスを提供する場合、プライバシー侵害が予期される

PIAの準備(6.3.1 PIAチームの設置及び指示)

PIAを実施すると判断した場合、次のステップは体制の構築になります。
PIA実施の責任者(評価者)を任命し、PIAを実施できる体制構築を進める必要があります。
PIA体制にはPIA実施責任者を中心としたPIAチーム、PII取り扱い部門、法務部門、システム部門、外部有識者などで構成され、経営層はPIA実施に必要なリソースを提供することが重要になります。
また、PIA体制構築と並行して、関係者で協議しながらリスク基準も定めていきます。

図2:PIA実施体制の例
図2:PIA実施体制の例

表3:リスク評価基準の例(影響度)[1]
影響度レベル 概要
4 甚大 利用者に回復不可能な多大な不利益が生じ、これに従い、企業の信用失墜や経済的損失が生じる
(心理的・身体的疾患、口座番号、暗証番号の流出等)
3 重大 利用者に一定の不利益は生じるものの、回復可能であり、企業の信用等の影響はそれほど大きくない
(迷惑メールの受信、アカウントの乗っ取り等)
2 限定的 一部の利用者に不安感を与え、企業の信頼等に影響が及ぶ可能性があるが、その範囲は限定的
(サービスへのアクセス拒否、利用方法に関する説明不足等)
1 無視可 利用者への不利益の程度は極めて小さく、企業への影響は無視できるレベル
(同意取得時にアプリケーション上にチェックを入れる煩わしさ等)
表4:リスク評価基準の例(発生頻度)[1]
4 非常に高い 安全管理等に不備があるため、リスク発生が容易に想定される
(セキュリティ対策の不備で情報漏洩等が発生する等)
3 ある程度高い 安全管理等の一部に不備があるため、リスク発生の可能性がある
(ノートPCや携帯電話などのモバイルの紛失等)
2 一定の可能性 安全管理措置により、リスク発生の可能性は低い
(注意喚起のメッセージが表示される中でのメール誤送信等)
1 非常に低い リスク発生の可能性は極めて低い
(入館証読取機でセキュリティ対応のとられた室内の書類紛失等)

PIAの準備(6.3.2 PIA 計画の作成及び PIA を実施するために必要なリソースの決定)

体制構築でPIA実施責任者等を定めた後は、何をどこまで実施するのか計画書を作成します。PIA実施に係る範囲、コスト、リソース、期間、能力等を鑑みて無理のない計画を立てる必要があります。

表5:PIA実施計画書の例
項目 内容
目的 PIA実施の必要性や背景を説明
PIA対象 PIA実施の対象プロセス、システム、業務、場所、サプライチェーン等を考慮する
評価基準 ISO/IEC 29134、JIS Q 15001、NIST Privacy Framework等
実施期間 〇〇/〇〇~〇〇/〇〇
PIA実施体制 外部委託先も含めた実施体制(専門家との協力体制)
想定スキル PIA実施における実働者が保有するべきスキル要件(実務経験、資格等)
想定成果物 PIA報告書、改善提案書等
想定リソース PIA実働チームのアサイン、外部有識者の参画、人員調整等
想定コスト ¥〇〇〇

PIAの準備(6.3.3 アセスメント対象の説明)

PIA対象のプロセス、システム、プログラム等の説明資料を作成します。
システム構成図、ネットワーク構成図、業務フロー、データライフサイクル、データ処理(通知、同意、拒否、アクセス、修正、削除等)等の情報から、PIIがどのように処理されたり伝送されたりするのかを第三者でもわかるように説明資料を準備しておく必要があります。

図3:システム構成図の例
図3:システム構成図の例[4]

PIAの準備(6.3.4 利害関係者のエンゲージメント)

ステークホルダー(利害関係者)の特定、ステークホルダーとの協議計画の策定、ステークホルダーとの協議、ステークホルダーからのフィードバック等の対応を行います。
評価範囲にもよりますが、PIIの処理もしくはPIIの処理によって影響を受けるステークホルダーを洗い出した上で協議計画を策定し、協力を求めていくのがいいかと思います。
また、こうしたステークホルダーとの協議、フィードバックはPIA報告書などでまとめておくと今後の継続改善に生かせると思われます。

表6:PIAステークホルダーの例[2]
PIAステークホルダーの例
人事、法務、情報セキュリティ、財務、事業運営部門、広報、内部監査(特に規制された環境における)などの従業者
PII 主体(もしくはPIIの処理によって影響を受ける可能性のある個人)
労働者および消費者の代表者
下請事業者
ビジネスパートナー
アプリケーションおよびデータベース管理者および作業者
コンピュータまたはネットワーク管理者および作業者
保守要員
PIA に関連する適切な関心をもっている他の組織の人々
イカ君

なんか準備だけでヘロヘロなんですけど……

タコちゃん

しゃーないんや。昔の偉い人も「木を切るために6時間もらったら、斧を研ぐのに4時間、切るのに2時間使う」言うとるやろ?それだけ準備は重要ってことやで?知らんけど。

ナンシー

ザリガニ事業部は業務で個人情報取り扱うから早めにPIAやってね?
あと、イカ君はザリガニ事業部の個人情報保護事務局担当者なんだから文句言わない。

次回はPIAの実施について説明する予定です。

参考文献

  • [1]個人情報保護委員会(2021):「PIA の取組の促進について―PIA の意義と実施⼿順に沿った留意点―」
  • [2]ISO:ISO/IEC 29134:2017 “Guidelines for privacy impact assessment” 
  • [3]日本情報経済社会推進協会(2021):「PIA(プライバシー影響評価)の進め方」
  • [4]経済産業省、総務省:「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」
  • ※文中の商品名、会社名、団体名は、一般に各社の商標または登録商標です。

やってみよう!PIA(プライバシー影響評価)!(準備編)