最近、企業が個人情報の取り扱いで炎上するケースが増えている。炎上リスクを防ぐため、いま注目されているリスクマネジメントの方法が、「PIA(プライバシー影響評価:Privacy Impact Assesment)」だ。
しかし、PIAを「知らない」という企業や、知っていても「PIAを実施するための人材や知識が足りない」という企業が大半となっている。
そこで今回は、コンサルティングファームでのセキュリティコンサルタントを経て、LINEなど複数の事業会社にてPIAの実務経験を持つ法律事務所LEACTの世古修平氏に、「PIAの意義と役割」について、前後編にわたり解説してもらった。
プロフィール
世古修平弁護士
法律事務所LEACT 弁護士。
総合系のコンサルティングファーム(セキュリティコンサルタント職)を経て現職。法律事務所LEACTでは、セキュリティ・プライバシー領域の案件を中心に活動中。LINE株式会社 プライバシーカウンセル。
https://www.seko-law.info/

炎上事件を生む、企業とユーザー間の「ズレ」
ーー近年、企業が個人情報の取り扱いについて炎上するケースが増えているように感じます。なぜこのような炎上事件が発生してしまうのか、教えていただけますか?
世古氏:一言で言えば、企業とユーザーの間に「期待値のズレ」があるからだと考えています。
新たな事業を企画する際、企業側は意識的にせよ無意識的にせよ「この程度ならユーザーは許容してくれるだろう」と一定の想定を置きながら企画を進行することが多いでしょう。ユーザーにインタビューする方法もありますが、プロダクトのユーザー全員にインタビューを実施することは現実的ではありません。
一方、ユーザー側は企業の内情をすべて知っているわけではないため、「この企業なら、これくらいのことはしてくれるだろう」といった具合に、期待を持ってプロダクトを使い始めると思われます。
そのため、「①企業が、ユーザーの期待値をきちんと把握していない場合」や、「②企業が、ユーザーとの間で生じた期待値のズレを埋められない場合」には炎上につながることがあるのではないかと考えています。
炎上リスクを避けるには

ーーこのような炎上事件を回避するために、私たちは何をすればいいでしょうか?
世古氏:先ほど申し上げた2つの原因に沿って考えてみましょうか。
まず①の場合には、プロダクトの企画段階でそのプロダクトを使うユーザーを意識的に想定しておくことだと思います。これは事業部だけでなく、法務部含めた間接部門にも本来は求められることだと思います。検討を進める上で、「そのプロダクトは、自分の家族にも紹介できるものか?」と問いかけてみることは、ユーザーの存在に自覚的になるための一つの方法です。
次に②の場合では、企画をした人とは別にユーザーとの期待値の間にズレがないかをチェックする人を置くことが有用だと思います。自分が作ったものに対してはどうしても甘さが出たり、「ユーザーは自分と同じ解釈をするはずだ」と過信してしまうことがあるため、第三者目線でチェックすることが大切です。
その上で期待値のズレが避けられない場合には、企業側の取組みをユーザーの期待水準まで引き上げるか、ユーザー側に期待水準を下げてもらうための情報発信を行う必要があるでしょう。
ユーザー側に期待水準を下げてもらうというのは、何も後ろめたいことではありません。企業側の取組みを説明し、なぜその取組みで十分だと考えているかをユーザーにきちんと説明するということです。これはできていないことをできているかのように説明するより、よっぽど誠実なコミュニケーションだと思います。
最近、プライバシーの問題に取組むための組織や制度を整える企業が増えています。たとえばCPO(Chief Privacy Officer)やDPO(Data Protection Officer)を設置するといった企業のプレスリリースを見るようになりました。もちろんこのように「形」を整えることも大切ですが、より大切なのは、ユーザー側の期待値を正しく想定して、ズレを埋めるという文化を社内で確立することです。
ーーつまり、企業側はユーザーの期待値に合わせて対応し、説明することが求められるということですね。
世古氏:そうですね。よく「レピュテーションリスク」という言葉が使われますが、これはある種のマジックワードですよね。すごく抽象的で、関係者間での共通認識を作りにくい言葉だと感じます。
問題を解決していくためには、「自社にとってのレピュテーションとは何か」をきちんと言語化して議論することが重要だと思います。
ズレを解消するプライバシー・バイ・デザインとPIA
ーーさきほど「ズレを埋める文化を確立することが大切」というお話がありましたが、具体的に何をすればいいのでしょうか。
世古氏:総務省と経済産業省が出している「DX 時代における 企業のプライバシーガバナンスガイドブック」という文書があります。ここで紹介されている考え方で、「プライバシー・バイ・デザイン(Privacy by Design(PbD)」というものを紹介させて下さい。
プライバシー・バイ・デザインとは、「ビジネスや組織の中でプライバシー問題が発生する都度、対症療法的にプライバシーリスクへの対応を考えるのではなく、プライバシー保護をビジネス構築の最初の設計段階であらかじめ考慮すべきであるという考え方」です。このプライバシー・バイ・デザインを実現するための手段として、「PIA(プライバシー影響評価:Privacy Impact Assessment)」が取り上げられることがあります。
冒頭の期待値の話に沿って説明するのであれば、これは「期待値のズレを埋める文化を確立する」ための手法の一つと考えることができます。
ーーPIAという言葉が出てきましたが、PIAとは何か説明していただけますか?
世古氏:まず ISO(JIS)における説明から紹介できればと思います。ISO(JIS)において、PIAとは「個人識別可能情報の処理に関する潜在的なプライバシー影響の、特定分析、評価、協議、伝達及び対応の計画を立てるための全体的なプロセス」と定義されています。
定義だけではやはり抽象的なので、もう少し具体的に手順・プロセスの観点から説明しましょう。個人情報保護委員会が公開している「PIAの取組の促進について(PIAレポート)」という資料があります。この資料では、PIAのプロセスを以下の3つに分割して説明しています。

①準備
②リスクの特定・評価
③リスクの低減
まず①の「準備」では、どの領域に対してPIAを実施するかを検討し、PIAを実施することが決まったら、次はPIAを行う社内の体制を整備します。続いて、②を行うための前提として一番重要な「情報の流れ」などを確認します。
②の「リスクの特定・評価」では、①で集めてきた情報に基づいて、どこに、どのようなリスクがあるかをアセスメントします。
最後の③「リスクの低減」では、②で行ったリスクの特定・評価を踏まえて、どうやってリスクを軽減していくかを検討します。
経済産業省や総務省からもPIAに関して言及した文書は公開されていますが、情報の具体性という意味では個人情報保護委員会の「PIAの取組の促進について(PIAレポート)」を参照するのが良いと思います。
PIAが難しい理由
ーーまだPIAという言葉すら聞いたことがない企業もあるかもしれません。日本国内ではどのくらい浸透しているのでしょうか?
世古氏:事業者が取り扱っている情報に関してどのようなリスクがあるのかを洗い出す「リスクアセスメント」という広義の意味のPIAであれば、ほぼ全ての企業が意識的もしくは無意識的に実施しているでしょう。
ただ、プライバシーにフォーカスしたリスクアセスメントを行っている企業はまだ多くはないようです。実際、私自身も実務担当として事業会社にてPIAを担当していますが、多くのリソースと専門知識が求められるため、非常に難易度が高い取組みだと感じています。
ーーPIAを実施する上で、どのような点が難しいと感じますか。
世古氏:「法律」だけではなく、「技術」「事業」の視点が必要になるところでしょうか。
「事業」的な観点からどこまでリスクを取るかという判断や、「技術」的な観点から実装可能な対策を検討することが必要になります。
たしかにPIAにおいて法律が占める部分は大きいのですが、法務部だけに任せていても決して成り立ちません。企業におけるのPIAの推進は、複数の部門が協力する必要があるでしょう。
ポイントは「始まり」と「ライフサイクル全体」
ーーPIAはどの段階で行うのが適切なのでしょうか?
世古氏:説明の仕方として、2つの方法があると考えています。まず1つの説明の仕方としては、「企画段階」で行うべきというものです。実際のところ、法務部のチェックがプロダクトのリリース直前になってしまったり、駆け込みになってしまうケースは多いと思います。
事業部から「急いで通してほしい」と言われ、リスクがあると思いながら無理やりリリースした結果、炎上した経験を持つ人は多いのではないでしょうか。
逆に、事業部が折れてリリースを延期すると、「法務部のせいで企画が潰された」という評価が残ることにもなりえます。
でも本来、事業部と法務部は対立する関係性ではなく、同じ会社の中で働いている仲間ですから、最初から一緒に考えられるような協力関係を築きたいですね。
2つ目の説明の仕方として、「ライフサイクル全体」だという説明もできると思います。
今日のプロダクト開発において、作ってリリースして終わりとなることは稀でしょう。多くの場合、日々プロダクトを改善すべく1つの企画が終わっても、すぐにまた次のサイクルが始まることが一般的です。
ですからPIAも1回で終わりというものではなく、ライフサイクルを通じて、継続的に行うものと認識するのが重要だと考えます。
ーーなかなかプロダクト開発におけるライフサイクル全体というのは難しい思いますが、世古先生が特に大切にしていることはありますか。
世古氏:新規の取組み一般に言えることだと思いますが、「事業」と「法務」の間でコミュニケーションをしっかり取れているプロダクトから始めて成功体験を積むことだと思います。その成功体験をベースに自社としての運用を確立し、横展開していくのが良いと思います。
「リアリティ」をもったプロダクトを

ーー最後に、PIAの文化作りで意識されていることがあれば教えてください。
世古氏:プロダクトを取り巻く社内外の環境において、そこに存在する人と、その結果発生するコミュニケーションをきちんと意識することでしょうか。リアリティを持つこととも表現できるかもしれません。
日々の業務に追われていると、どうしても「ユーザーはこういうものだ」と都合よく解釈してしまったり、「決まりだからこの台帳を埋めておけば良い」と本来の目的を意識せずに手段をやり遂げることに意識を向けてしまったり、そこに存在するはずの人やコミュニケーションの存在を軽視してしまうことが出てきます。
PIAは、日々の業務において軽視してしまいがちな人の存在を意識的に認識し、あるべきコミュニケーションを議論をするための文化を醸成するためのツールと捉えることはできるかもしれませんね。
(後編へ続く)