プライバシー影響評価(PIA)Part2 準備編

今回は前回のブログに引き続き、PIAの「準備」について紹介します。

計画

一般的なプロジェクトと同じく、PIAでもっとも重要なのが計画です。計画では、以下の要素を決定します。

  • PIAのスコープと詳細レベルの決定、参照すべき法令や規格,ガイドライン,組織の内部規程
  • PIA実施担当者(責任者)
  • PIA実施期間
  • PIAを実施するための予算および人員
  • 利害関係者との協議の範囲と時期
  • PIA 後に講じる必要がある手順(継続的なモニタリングのための是正対象項目や取り決めの実施など)

PIAのスコープ

PIAを実施する上で、スコープを特定することは、期間およびリソースを不必要に消費するのを防いでくれます。

スコープを決定する際、以下について判断する必要があります。

  1. プライバシーリスクとその影響は、プロジェクトのすべての側面に適用されるのか、プロ ジェクトの一部のみに適用されるのか?
  2. PIAは、関連するすべてのビジネスプロセスおよびテクノロジーを対象とすべきか? たとえば、プロジェクトが既存の技術やプロセスを以前と同じように使用しすでにプライバシーへの影響評価が実施され評価済みの場合、それらをPIAの実施対象から除外できるかもしれません。
  3. PIAは、既存のプログラム、プロセス、またはシステムに対する特定の変更のみを対象としているか? 特定の部分に関する変更の場合、プログラム、プロセス、またはシステム全体を考慮する必要はないかもしれません。
  4. 共同プロジェクトの一部の分析で別の分野を扱う場合、実施しようとしているPIAではプロジェクトの1つの側面にのみ焦点を当てればよいかもしれません。

特に2の文脈については、GDPRにおけるDPIAついて述べた条文である第35条 (1)においても、実施が義務付けられない場合として、以下のように言及されています。

取扱いの性質、範囲、過程及び目的を考慮に入れた上で、特に新たな技術を用いるような種類の取扱いが、自然人の権利及び自由に対する高いリスクを発生させるおそれがある場合、管理者は、その取扱いの開始前に、予定している取扱業務の個人データの保護に対する影響についての評価を行わなければならない。類似の高度のリスクを示す一連の類似する取扱業務は、単一の評価の対象とすることができる。

引用:一般データ保護規則(GDPR)の条文 (PDF : 981KB) 仮日本語訳 個人情報保護委員会

PIAの詳細レベル

どの程度詳細に実施するかについては、プロジェクトの規模と複雑さによって異なります。単純なプロジェクトの場合、PIA プロセスは迅速に完了するでしょうし、複雑なプロジェクトでは、よりフォーマルで時間と人員をかけて取り組むことになります。

OneTrustなどのアセスメントを自動化するソフトウェアを利用すれば、PIA用の質問票を2種類作成し、あらかじめ決められたルールや条件で、それぞれにナビゲートするような設計や運用フローにすることで、プロジェクトのリスクレベルに応じたPIAを実施する仕組みを構築することが可能です。

また、OneTrustでは、質問の回答に応じて、より詳細な内容を確認する質問を表示したり、不必要な質問を表示させないようにすることでPIAの回答者に対する負担を減らすことが可能です。

PIAを実施するためのチーム編成

一般的に、プロジェクトを管理している人は、PIA が確実に実行されるようにする責任があります。そのため計画フェーズでは、PIAを実施する上でどういった人材が必要となるかを検討し、チームを構成する必要があります。

PIAを実施するのに必要なチームの規模と、外部の専門知識をどれだけ必要とするかは、プロジェクトの性質と規模によって異なります。

PIAを正しく実施するには、リスク評価の質問に適切に回答することができる知識をもつ人材を各専門分野から集め、チームとしてアプローチしなければなりません。社内または外部からプライバシー、情報セキュリティ、テクノロジー、リスク管理、法律、倫理、業務プロセスや業界特有の知識など、幅広い専門知識が必要となる場合があります。

PIA を実施するチームは、適用対象となるプライバシー法、個人情報の取り扱いに適用される可能性のあるその他の法律や規制 (州または準州の法律など)、およびより広範なプライバシーの側面にも精通している必要があります。そのため、チームには、プロセスを支援するために、社内または契約している外部の認定プライバシー専門家を含めるのが望ましいでしょう。

プロジェクトの説明

PIA対象のプロジェクトを説明するためのドキュメントは、社内・外のステークホルダーがプロジェクトについて理解できるように、簡潔かつ十分な詳細レベルで記述する必要があります。

また、プロジェクトで何を達成しようとしているのかというゴールを明確に理解することで、PIAプロセスの他の部分においても、それぞれのタスクの意図をより明確化するのに役立ちます。

プロジェクトの説明に必要な情報として、以下が含まれます。

  • プロジェクトの責任者
  • プロジェクトによりもたらされるもの
  • 何を達成するのか
  • 組織またはコミュニティにとっての利益
  • そのプロジェクトが、関連するプロジェクトのプログラムの一部かどうか。

これらの情報は、プロジェクト概要設計書などの管理文書に記載されており、そこから情報を得ることができます。

利害関係者の特定と協議

ここでいう利害関係者は企業活動によって影響を受ける主体(株主、従業員、顧客、NGOなどの団体)を指します。

プロジェクトでは、ネガティブキャンペーンや、組織または1人以上の主要な利害関係者によるサポートの撤回によって崩壊するリスクがあります。そのため、利害関係者と協議するスコープや時期を決めておくことは非常に重要です。

ステークホルダー・エンゲージメント

利害関係者との協議のスコープや時期を決定後、各利害関係者との協議を行う上で重要となるのが「ステークホルダー・エンゲージメント」です。これは、準備段階で利害関係者をエンゲージメント(合意形成を図りその結果を約束)することで、プロジェクトのリスクを多角的に特定するアプローチです。

ステークホルダー・エンゲージメントにより、外部の利害関係者の視点を理解することで、プロジェクトの目的をよりよく理解するのを助けてくれます。また、利害関係者の視点をプロジェクトの設計に反映する効果も期待できます。あるプロジェクトについて反対が予想される利害関係者であっても、彼らの関心を積極的に把握し巻き込むことで、情報提供が必要な部分を特定し、事前にプロジェクト反対派によるネガティブキャンペーンを回避するよう働きかけることができます。

特に多国籍企業の場合は、OECD多国籍企業行動指針に基づいた「責任ある企業行動のためのOECDデュー・ディリジェンス・ガイダンス」が参考になるかと思います。

さいごに

PIAの計画段階において、スコープとして含める必要があるかどうかや詳細レベルについて議論することは、不要な労力を減らし、PIAの実施にかかる組織の負担を軽減するのに役立ちます。

スコープや詳細レベルを特定する際は、前回とりあげたPIAの実施有無を判定する「しきい値分析」もそうですが、恣意的に要不要を判断するのではなく、PIAが必要とされる法規制の内容をよく理解した上で、法規制に沿った運用を心がけてください。(PIAがプライバシー法規制で義務付けられている場合は特に重要になります。)

また、利害関係者の特定と協議で触れた「ステークホルダー・エンゲージメント」については、それだけで1つのテーマになるほどの大きなテーマです。特に多国籍企業など、多くの利害関係者が係るようなプロジェクトにおいて、利害関係者の視点を製品やサービスの設計や意思決定に組み込むことで、プロジェクトの早期に潜在的なリスクを特定し、対応することが重要です。

次回のブログでは、PIAをテーマに引き続き「実行」フェーズについて紹介します。

この記事をシェアする

OneTrust は、プライバシー分野でNo.1のソリューションです。

その理由は、機能の網羅性にあります。

OneTrustのソリューションに興味がありましたら

お気軽にお問い合わせください