プライバシー影響評価（PIA）Part1 概要編

はじめに

今回のブログのテーマは、PIA (プライバシー影響評価) です。

PIAは、設計段階で組織がプライバシーを確​​保し、機能させるためのプロセスです。

PIAは、新しいビジネスプロセスの導入、事業買収、新製品開発時など事前にプライバシーリスクを評価する際に主に実施されますが、既存のプロセスが変更される場合 (例: ビジネス組織が別の事業エリアにビジネスを拡大する場合など) にも実施されます。

今回のブログでは、PIAの「概要」について紹介し、次回以降、「準備」、「実行」、「報告」に分けて紹介したいと思います。

PIA とDPIAの違い

PIAとセットで、 EUのGDPRで規定されているDPIA（データ保護影響評価） という言葉を見ることも多いのではないでしょうか？

いずれも、プライバシーリスクを評価するという意味で同じですが、PIAが一般的なプライバシーリスクの評価プロセスを指すのに対し、DPIAは、EUのGDPRで組織に義務付けられたプライバシーリスクを評価するためのプロセスを指します。

組織は、以下、GDPR35条の(1)および(3)で規定されているデータ処理に該当する場合に、事前に DPIA を実行する必要があります。 

1. 取扱いの性質、範囲、過程及び目的を考慮に入れた上で、特に新たな技術を用いるような種類の取扱いが、自然人の権利及び自由に対する高いリスクを発生させるおそれがある場合、管理者は、その取扱いの開始前に、予定している取扱業務の個人データの保護に対する影響についての評価を行わなければならない。類似の高度のリスクを示す一連の類似する取扱業務は、単一の評価の対象とすることができる。

出典：一般データ保護規則（GDPR）の条文 (PDF : 981KB)　仮日本語訳　個人情報保護委員会

3. 第1項に規定するデータ保護影響評価は、とりわけ、以下の場合に求められる：(a) プロファイリングを含め、自動的な取扱いに基づくものであり、かつ、それに基づく判断が自然人に関して法的効果を発生させ、又は、自然人に対して同様の重大な影響を及ぼす、自然人に関する人格的側面の体系的かつ広範囲な評価の場合； b) 第9条第1項に規定する特別な種類のデータ又は第10条に規定する有罪判決及び犯罪行為と関連する個人データの大規模な取扱いの場合；又は、 (c) 公衆がアクセス可能な場所の、システムによる監視が大規模に行われる場合。

出典：一般データ保護規則（GDPR）の条文 (PDF : 981KB)　仮日本語訳　個人情報保護委員会

PIAが注目される背景

IAPPのサイトによると、2023年に入り、アメリカではすでにPIAの実施義務が法制化されているカリフォルニアやバージニアをはじめ、2023年7月1日以降はコロラドやコネティカットでも対象事業者に対してPIAの実施が義務付けられる（発効）ようになっています。

日本では？

一方、日本は、公的部門において、特定個人情報保護評価の実施が法定されているものの、民間に対してPIA実施を義務づける法規制はありません。しかしながら、個人情報保護委員会が民間においても自主的取組みとしてPIAの実施を推奨しています。

個人情報保護委員会は、日本の民間企業に対して取り組みを推奨する理由として以下を挙げています。

PIAを実施するには、人的リソース等の一定のコスト負担を要するが、事後的に消費者から批判に晒されたり、関係当局による是正指導等の対象となるなどして、事業自体を断念するような例もある中、個人情報等を取り扱う事業を円滑に行っていくために、消費者の信頼を得ることは不可欠であり、そのためにもPIAは有効な手法である。

出典： PIAの取組の促進について ―PIAの意義と実施⼿順に沿った留意点―, 個人情報保護委員会 , 2021 年6月

また、PIAを実施することで、以下の効果を得ることが期待できると示されています。

①消費者をはじめとする利害関係者からの信頼性の獲得

法令遵守やリスクを低減するために適切な対応を実施した旨の証明となり、社会的な信⽤を得ることに資する。また、結果の公表等により、説明責任を果たし透明性を⾼め、消費者・事業者間の情報の⾮対称性の解消にも資する。

②事業のトータルコストの削減　

多額のシステム投資や事業の中⽌を決定する前に、必要な対応が可能。結果として、事業のトータルでのコスト負担抑制。

③従業者の教育を含む事業者のガバナンスの向上

従業者が⾃覚を持つとともに、経営層も個⼈情報等の取扱状況等を把握することで、ガバナンス向上。

出典： PIAの取組の促進について-PIAの意義と実施手順に沿った留意点-（概要） (page 2), 個人情報保護委員会 , 2021年6月

ガイドラインとしては、JIS（日本産業規格）がISO/IEC 29134（プライバシー影響評価のガイドライン）を基に作成したものがあります。

すべてのデータ処理活動にPIAは必要か？

すべての処理活動についてPIAを実施すると、とてつもない費用と労力を割くことになります。そこで各データ処理活動ごとに、PIAを実施する必要があるかどうかを選別するためのステップが「しきい値評価（Threshold Assessment）」です。

しきい値評価

しきい値評価は、「プロジェクト」の潜在的なプライバシーへの影響を判断し、それに基づき PIA が必要な「プライバシー リスクの高い」プロジェクトとなる可能性があるかどうかなど、リスク レベルを把握するのに役立つ予備的な評価です。

※「プロジェクト」：　組織が実施するあらゆるプライバシーに影響を与える可能性のある活動や取り組みを指します

プロジェクトに個人情報の新たな処理方法や変更が含まれる場合は、しきい値評価を行う必要があります。

しきい値評価の目的は、実際のリスクのレベルを明らかにすることではなく、プライバシー リスクが高くなりそうな要因を識別することです。

PIAを実施するケース

PIAを実施するケースについて、以下に一般的なケースを紹介します。

注意しておきたいのは、各国で求められる法要件が異なるため、適用される法要件やガイドラインに合わせて、実施が求められるということです。

1. 新しいシステムまたはテクノロジーの導入
2. 既存のシステム・プロセスの変更（個人データを関与する既存のシステムやプロセスに重大な変更を加える場合）
3. 新しい法律または規制の導入（法規制への準拠）
4. データの共有や転送（委託先や第三者）
5. 監視技術の導入（CCTVカメラ、顔認識システム、従業員のモニタリング）
6. 合併や買収
7. 公共部門の取り組み（政府機関や公的部門による、個人データの収集や利用を伴う新しい取り組み、政策、プログラムの開発または実施）
8. 大規模なデータ処理（大量の個人情報を含む大規模なデータ処理）
9. プライバシーリスクが高い業界やセクターでのプロジェクト
10. 特別な配慮を必要とする個人情報（遺伝データ、生体データ、人種・民族的出自、宗教・信条、健康情報など）の処理

いつ実施する？

PIAの目的は、事前にリスクを評価することにあります。そのため、実際にデータを処理する前に実施するのが望ましいとされています。GDPRでは、DPIA（Data Protection Impact Assessment）について35条(1)で取り扱いの開始前に実施することが明記されています。プロジェクトや処理業務の設計フェーズにおいて、可能な限り早期に実施されるのが望ましいでしょう。

PIAは、一度実施したら終わり？

答えは「No」です。PIAは継続的なプロセスです。そのため、実施後は常にそれがうまく機能しているかを評価する必要があります。PIA実施後も対応策が計画通りうまく機能しているかどうかを定期的にレビューし、必要に応じて調整を行う必要があります。

例えば、GDPRで義務付けられているDPIAの場合、旧WP29（現EDPB: European Data Protection Board）がまとめたガイドラインにて、DPIAの実施義務について、自然人の権利および自由に対する高いリスクをもたらす可能性があり、かつ、処理の性質、範囲、背景および目的を考慮した上で、リスクについて変化のあった既存の処理に対して適用されるとしています。

The requirement to carry out a DPIA applies to existing processing operations likely to result in a high risk to the rights and freedoms of natural persons and for which there has been a change of the risks, taking into account the nature, scope, context and purposes of the processing.

出典: Guidelines on Data Protection Impact Assessment (DPIA) (wp248rev.01) P13, 2017年10月

また、同ガイドラインでは、DPIAは継続的にレビューされ、定期的に評価を実施することをグッドプラクティスとして挙げています。

As a matter of good practice, a DPIA should be continuously reviewed and regularly re-assessed. Therefore, even if a DPIA is not required on 25 May 2018, it will be necessary, at the appropriate time, for the controller to conduct such a DPIA as part of its general accountability obligations.

出典: Guidelines on Data Protection Impact Assessment (DPIA) (wp248rev.01) P14, 2017年10月

また、CNIL（フランスのデータ保護機関）が公開しているPIAの方法論では、「PIAは継続的な活動であるとともに、時間の経過とともに（たとえば毎年）モニタリングするとともに、重要な変化が発生すればいつでもアップデートする必要がある」と述べています。

初回のPIA実施後、どのような場合にPIAを実施するか？

初回のPIAを実施後、PIAをどういった場合に実施するかの例として以下が挙げられます。

• プロジェクト、システム、データ処理活動に重要な変更がある場合
• 新たなリスクが特定された場合
• プロジェクトが追加のデータ処理活動、新しいデータソース、より多くの個人を対象とする場合
• 新しい技術やシステムが導入され、それがプライバシーに影響を与える可能性がある場合

さいごに

今回のブログでは、PIAの概要とともに、実際にPIAを実施した場合に出てくる様々な疑問についても取り上げてみました。

次回のブログでは、PIAを実施する前の「準備」について紹介します。