プライバシー影響評価(PIA)Part3 実施編

前回のPIAの「準備」編からだいぶ時間があいてしまいましたが、PIAの「実施」編について紹介したいと思います。

PIAを開始する前に

PIAの実施にあたっては、データ処理活動やプロジェクトに対して適用される法規制とそれ以外に遵守すべき義務を考慮する必要があります。法規制を遵守するためには、その法規制を正しく理解する必要があるため、プライバシーや法律の専門家のサポートが不可欠です。

例えば、GDPRではDPIAについて最低限含めるべき項目として以下の項目が規定されています。

DPIA(GDPR)で最低限求められる項目

GDPR 35条7項では、DPIA(データ保護影響評価)実施時に、少なくとも以下の項目を含めることが規定されています。

The assessment shall contain at least:

7. 評価は、少なくとも以下の事項を含めるものとする:

(a) a systematic description of the envisaged processing operations and the purposes of the processing, including, where applicable, the legitimate interest pursued by the controller;

(a) 予定されている取扱業務及び取扱いの目的の体系的な記述。該当する場合、管理者の求める正当な利益を含む;

(b) an assessment of the necessity and proportionality of the processing operations in relation to the purposes;

(b) その目的に関する取扱業務の必要性及び比例性の評価

(c) an assessment of the risks to the rights and freedoms of data subjects referred to in paragraph 1; and

(c) 第1項で定めるデータ主体の権利及び自由に対するリスクの評価;並びに、

(d) the measures envisaged to address the risks, including safeguards, security measures and mechanisms to ensure the protection of personal data and to demonstrate compliance with this Regulation taking into account the rights and legitimate interests of data subjects and other persons concerned.

(d) データ主体及び他の関係者の権利及び正当な利益を考慮に入れた上で、個人データの保護を確保するための、及び、本規則の遵守を立証するための、保護措置、安全管理措置及び仕組みを含め、リスクに対処するために予定されている手段

出典:一般データ保護規則(GDPR)の条文 (PDF : 981KB) 仮日本語訳 個人情報保護委員会

リスクの検討と評価の仕組み

PIAを実施する目的は、リスクの特定、評価、必要に応じて対応することにあります。そのためPIAを実施する際に使用するExcelなどの評価シートを使用した評価の結果、それが不十分だったり、不適切だった場合に、リスクを特定するとともに、プライバシーに対するリスク度合いをスコアで評価する必要があります。

一般的には、個別のリスクごとに、「発生する可能性」と「それが起こった場合の影響度」とのマトリックスで表現することが多いかと思います。以下の図は、プライバシー管理プラットフォームの「OneTrust」内で用いられるリスクスコア(4×4)のリスクマトリックスです。

OneTrustのリスクスコアマップ

とはいえ、リスクマトリックスは、初期のリスク評価には有用なツールですが、万能ではないということを認識し、より包括的なリスクの理解と処理を確実にするために、他のリスクマネジメント手法やアプローチで補完することが重要です。

リスクマトリックスを使用する際の問題点として以下の内容が挙げられます。

  • 評価が主観的である: リスクマトリックスは、リスクの可能性と影響を評価するために主観的な判断に頼ります。
  • 解像度が低い: リスクマトリックスでは、リスクを「高」、「中」、「低」のレベルに 分類することが多く、リスクの重要なニュアンスや意味を見落とす可能性があります。また、可能性や影響度といった 限られた軸のみの観点ため、それ以外の重要な情報が欠落してしまう可能性があります。
  • 不確実性の取り扱いが不十分である:リスクマトリックスでは、リスク評価に内在する不確実性や変動性に適切に対処できない可能性があります。
  • リスクの相互依存性を考慮していない: リスクは相互に関連していることが多く、相互に影響しあう可能性があります。しかし、リスクマトリックスでは通常、相互依存関係を明示的に考慮することなく、リスクを単独で評価しています。このため、リスクプロファイル全体の理解が不完全になり、1つの問題が他へも波及し、全体に影響するようなリスクの特定が妨げられる可能性がある。

PIAの実施

ようやく本題のPIAの実施について紹介していきます。

PIAの実施方法としては、一般的にWordやExcelなどの質問票に回答する形式か、OneTrustなどのソフトウェアを使用して行うかのいずれかが一般的かと思います。

日本では、ExcelやWordによる評価シートを担当者(情報管理者、ITセキュリティ部門担当)に送付、回答、上長などの承認または差し戻し・却下といったやり取りしながら実施している企業も多いかと思いますが、こうしたマニュアルでのやり取りは、OneTrustのようなツールを使用することで自動化することが出来るだけでなく、プロセスをデジタル化することで記録やリスクの管理という面においても非常に有効です。

ここでは、OneTrustを導入することで、PIAの実施プロセスをどのように自動化・効率化してくれるかについて紹介します。

OneTrustを使用するメリット① 評価プロセスの自動化

OneTrustを使用することで、PIAの実施プロセスを通して、評価の開始から完了(承認)までのプロセスを自動化し、管理することが可能です。

組織のプライバシー業務を管理する事務局は、これまでのように、評価シートをExcelで作成、各部門の情報管理者にメールで通知し、回答を記入後、Excelファイルを承認者(部門長など)やIT部門のセキュリティ担当にメールを送るといった一連のプロセスをマニュアルで行う必要がなくなります。

また、リマインドメールや回答された条件にもとづいたアラート等を配信するように設定することも可能です。

OneTrustを使用するメリット② 記録の保存とデータマッピングとの連携

回答したデータは、データ処理活動、アセット(情報資産)、ベンダーなど関連するOneTrsutのインベントリ・データベースに記録することが可能です。これらのインベントリは、データマッピング機能を使って直接更新したり、新しい情報を追加・更新していくことで、PIA以外にデータ処理活動やアセット、ベンダーなどのデータ処理活動に関連する情報の管理台帳として活用することも可能です。

インベントリレコードは、誰がいつ何を更新したか(更新前と更新後の値)についてもアクティビティに記録されるため、重大な変更があった場合、それがいつ誰もしくはどのPIAを経由して更新されたかを把握することが可能です。

個人情報のフロー図を作成する

個人情報のフロー図を作成する最大のメリットは、データ処理活動の担当者の気づいていない、もしくは見落としているリスクをあぶりだすことにあります。

個人情報保護委員会の資料では、消費者や委託先等の利害関係者(社外)を網羅的に把握するために、下記の図のように「収集・保管・移転・利⽤・廃棄等のプロセスごとに、個⼈情報等のフローを整理しておく」こと、「個人情報のフローを整理することで、消費者や委託先等の利害関係者を関係主体として組み込む」ことの必要性について述べています。

また、データ処理活動を体系的に記述することで、データ主体、組織・グループ、情報資産、ベンダーなどのビジネスのさまざまな部分にどのように関係し、どう相互に作用するのかを視覚的に把握することができます。

出典:PIAの取組の促進について-PIAの意義と実施手順に沿った留意点-(概要)(page4), 個人情報保護委員会 , 2021年6月

OneTrustを使用するメリット③ データリネージ図の自動生成

個人情報のフロー図を作成する」で紹介した情報フロー図ですが、OneTrustのデータマッピングの各インベントリにあるデータリネージ機能を使用することで、データの流れを図として表現することが可能です。

図は一から作成する必要はなく、PIAの質問にいくつかのデータリネージ図を生成する上で前提となる質問を含めることで、PIAの回答にもとづき、自動的に図を生成することが可能です。もし、図が不十分だったり、追加で補足したい場合、リネージの描画機能を使用し、マニュアルで描画することがも可能です。

PIAで特定されたリスクへの対応

PIAを実施した結果、特定されたリスクに対して、対応策、対応期限、リスクの対応責任者を決めて、ドキュメントにまとめます。

ここで特定された全てのリスクを完全に取り除くことがゴールではありません。リスクベースドアプローチリスク評価の結果に基づきリスクに見合った措置をとることで、リスクを軽減するという考え)により、優先順位にもとづきリスクを取り除いたり、軽減するための対応策を検討し、実施します。

OneTrustを使用するメリット④ リスクの特定から対応策まで

OneTrustの自動化のメリットとして、評価の回答に応じて、OneTrust上でのリスクアイテムの作成・リスクスコアリング、さらにコントロールと呼ばれるリスクを軽減するために実施される対策や保護策を設定します。さらに必要に応じてタスクの割り当て、目標とするリスクレベルに軽減するためのコントールと追加タスクの実施状況についてリスクワークフロー機能を使用し、最新の進捗状況を一元管理することが可能です。

また、リスクスコアがルールにもとづいて自動で判定されることで、特定されたリスクのうち、どれを優先的に対応すればよいのかの優先順位付けが可能になります。

レポート

PIAの実施結果について、容易に解釈できる実用的なドキュメント形式にまとめます。

PIAのレポートについては、外部に公開する必要はありませんが、公的機関等では、透明性を高めるため、外部に公開している場合があります。

日本の公的機関でも、レポートを公開しています。以下は、加賀市がChat GPTの行政利用についてPIAを実施したレポートです。

OneTrustを使用するメリット⑤ OneTrustのレポート機能

OneTrustを使用すれば、PIAの完了後、実施結果をレポートにまとめる部分についても、主に社内向けの用途ではあるものの、レポート機能でPIAの各確認項目と回答結果について、PDF形式でレポートの作成が可能です。(Excelによる列ベースのレポートも可能)

対応とレビュー:継続的なプロセスとして

PIAは実施して終わりではなく、実施後の継続的な見直し、更新が必要です。リスクに対して推奨される対応策(コントロールやタスク)に問題が生じた場合には、PIAを見直し、更新するためのアクションをとる必要があります。

言い換えると、PIAは継続的なプロセスです。そのため、実施後は常にリスク対策がうまく機能しているかを評価する必要があります。対応策がうまくいっているかどうかを評価し、必要に応じて調整していく必要があります。

OneTrustを使用するメリット⑥ PIAの継続実施をサポート

OneTrustには、PIAの実施後に自動化ルールを設定し、残存するリスクのうち、一定のスコアのものについて、対応を促したり、現在のステータスを確認するためにリマインドを送る機能があります。また、定期的に評価を開始する場合などに有効な機能として、前回のPIAの回答をコピーした状態で変更部分だけを回答者に修正してもらい、提出することで回答者の負担を軽減する機能もあります。

さいごに

前回からだいぶ空いてしまいましたが、今回はPIAの実施について紹介しました。PIAを実施する際にOneTrustのようなツールを利用すれば、PIAの実施プロセスおよび実施結果をOneTrust上で一元管理することが可能です。

もし、現状のExcelを使用したPIAの業務プロセスに煩わしさを感じていたり、PIAの最新のステータスや進捗度合いが把握しづらいと感じている方は、既存のPIAプロセスをOneTrustで自動化してみてはいかがでしょうか?

もし、興味のある方は、この機会にぜひオンラインのデモにお申し込みください。

この記事をシェアする

OneTrust は、プライバシー分野でNo.1のソリューションです。

その理由は、機能の網羅性にあります。

OneTrustのソリューションに興味がありましたら

お気軽にお問い合わせください