はじめに
事業を進める上で、ユーザーやクライアントの個人情報を抱えることは必要不可欠になってきている。そして個人情報を抱えるということは、それ自体がリスクだ。個人情報漏洩の可能性があるからである。
そのため、個人情報を管理する上で、個人情報を抱えることがどれだけのリスクになるのかを評価することは、重要なプロセスだ。
このような背景の中で「PIA」という概念が注目を集めるようになっている。本記事では、個人情報保護委員会の「個人情報保護のための民間の自主的取組の促進について」を参考に、PIAの概要や将来性について紹介していく。
PIAは「プライバシー影響評価」のこと
PIAは「Privacy Impact Assessment」のことで、日本語訳だと「プライバシー影響評価」だ。
個人情報保護委員会の「個人情報保護のための民間の自主的取組の促進について」で、PIAは以下のように説明されている。
PIAは、個人情報等の収集を伴う事業の開始や変更の際に、個人の権利利益の侵害リスクを低減・回避するために、事前に影響を評価するリスク管理手法(←事業の企画・設計段階から個人情報等の保護の観点を考慮するプロセスを事業のライフサイクルに組み込む)。
つまるところ、「プロジェクトやシステムが個人のプライバシーにどの程度影響するかを評価するためのプロセス」と表現することができる。
では、企業がPIAを行うメリットとはどのようなものがあるのだろうか。
想定されるPIAを行うメリットは、「法的要件の遵守」「データ保護」「ビジネス上の利益」「企業のイメージ向上」の4つが想定される。これらはデータ利活用設計における概念「プライバシー・バイ・デザイン」にも密接に関係するものであると考えられる。
プライバシー・バイ・デザインとは?AppleやMoneytree LINKなどの事例とともに紹介 – プライバシーテック研究所
PIAを用いる必要のある場面とは?
先ほど紹介した通り、PIAは個人情報等の収集を伴う事業の開始や変更の際に実施することがよいとされている。
では、PIAを実施する主な効果はどのようなものがあるのだろうか。個人情報保護委員会は以下の3つを挙げている。
1.消費者をはじめとする利害関係者からの信頼性の獲得
法令遵守やリスクを低減するために適切な対応を実施した旨の証明となり、社会的な信用を得ることに資する。また、結果の公表等により、説明責任を果たし透明性を高め、消費者・事業者間の情報の非対称性の解消にも資する。
2.事業のトータルコストの削減
多額のシステム投資や事業の中止を決定する前に、必要な対応が可能。結果として、事業のトータルでのコスト負担抑制。
3.従業者の教育を含む事業者のガバナンス向上
従業者が自覚を持つとともに、経営層も個人情報等の取扱状況等を把握することで、ガバナンス向上。
PIAは、必ず取り組まなければいけない事柄ではない。だが、PIAを実施することで、以上の3つのメリットが享受できる。リスクを適切に管理するためにも、PIAを実施しておくべきだと考えられる。
PIAの実施手順
では、具体的にPIAはどのような手順で実施されるのだろうか。一般的には以下のような手順で実施される。
1.要否の検討
2.準備
3.リスクの特定
4.リスク評価
5.リスクへの対応
6.PIA報告書の作成
それぞれの手順を詳しく見てみよう。
1.要否の検討
まず、そもそもPIAを実施すべきかどうかを検討する。先ほども述べた通り、個人情報保護の観点で見れば、PIAを実施するのがベターだ。
ただし、企業は利益を追求しなければいけない。もし、PIAを導入することで長期的なリターンが見込めなさそうであれば、「PIAを実施しない」という選択も十分あり得る。
どちらにせよ、まずはPIAの要否を検討し、長期的なリターンが見込めるかどうかを精査すべきだろう。
2.準備
PIAを実施することが決定した場合は、人員配置やスケジュール策定などの準備段階に入る。具体的には以下の準備が必要だろう。
- PIA実施責任者の任命
- 投入人員や予算などのリソース計画
- スケジュールの策定
- PIAに対する理解促進のための教育
- 個人情報等の取り扱いフローの整理(収集・保管・利用・提供・廃棄)
まず前提として、経営層がPIAの重要性を深く理解する必要がある。そしてPIAが、自社のためだけではなく、消費者・委託先のために存在することも把握する必要があるだろう。
また、PIAを実施するにしても、参考になる基準は複数ある。例えば国内だけで事業を展開するのであれば個人情報保護法だけを遵守すればいいだろう。しかし事業範囲が欧米にも及ぶのであれば、GDPR(一般データ保護規則)やCPRA(カリフォルニア州プライバシー権法)にも対応する必要がある。ちなみにGPDRとCPRAは、PIAの実施を義務付けているので注意が必要だ。
3.リスクの特定
準備段階で個人情報の取り扱いフローを整理した後、それぞれの段階ごとで想定されるリスク要因を洗い出す。この場合、以下のイメージのようなリスク整理表を作成することが有効だ。(参考:Privacy Impact Assessmentレポート)
なお、リスク特定の着眼点としては、以下が挙げられる。
- 同意の取得が利用者にとってわかりやすいか
- 個人情報等が過剰に収集される可能性がないか
- 個人情報等の不正アクセス・盗難・紛失の可能性がないか
- 不適正な分析に活用される可能性がないか
4.リスク評価
リスクを特定した後は、それぞれのリスクを「影響度」「発生可能性」の2つの観点で評価する。例えば「影響度」であれば①甚大、②重大、③限定的、④無視可能の4つの段階で評価できるだろう。
そして各リスクを評価した後は、「影響度」「発生可能性」を2軸にしたマトリクスに、各リスクを当てはめていく。
5.リスクへの対応
各リスクを総覧した後は、各リスクへの対応方針を決定する。ちなみにリスクマネジメントの基礎として、リスク対応には以下の4つが存在すると考えられている。
- リスク回避
- リスク軽減
- リスク移転
- リスク保有
そして先ほど紹介したマトリクスだと、影響度と発生可能性が共に高いリスクに対しては「リスク回避」を実施すべきだ。具体的には「事業撤退」や「事業計画の大幅な変更」がある。
一方で影響度と発生可能性が共に低いリスクに対しては「リスク保有」を実施する。これはつまり、対策や見直しを特に行わず、そのままリスクを保有することを指す。
影響度及び発生可能性のどちらか一方が高い場合は「リスク低減」を実施する。適切な対策を施して、リスクを低減させることが求められる。
このように各リスクに対する対応方針を大まかに決めた後は、具体的な対応策を検討する。そして対応策を踏まえた上で再び各リスクの評価を実施し、残存リスクを抽出した後は、必要に応じて対応策を再度検討する。このようにして、徹底的にリスク処理に努めるのだ。
6.PIA報告書の作成
以上のようにPIAを実施した後は、その実施結果を報告書としてまとめ、経営層に提出する。この報告書を社外に公表する義務はないが、説明責任と透明性を担保するためにも、基本的にはステークホルダー全員に公表すべきだろう。
ただし対外公表に関しては、詳細を記載する必要は必ずしもない。むしろサマリー的な報告書を作成し、なるべく多くの人がわかりやすい形で公表するのが有効だ。
そして報告書の内容については、第三者機関のチェックを経て、信頼性を高めておくことも有効だと考えられる。特に消費者団体など、個人情報を提供する側の団体からの確認を得ることが重要だ。
PIAは今後、どのような方向性で発展するのか
ここではPIAが今後、どのような方向性で発展・普及するのかを考察してみようと思う。
リスクマネジメントの重要な要素となる
PIAはリスクマネジメントの重要な要素となるだろう。
まず前提としてリスクマネジメントは、これからのVUCA時代において、より重要度が高まる。VUCAとは「Volatility(変動性)」「Uncertainty(不確実性)」「Complexity(複雑性)」「Ambiguity(曖昧性)」の4つの頭文字を並べた造語のことだ。つまりVUCA時代というのは、変化が非常に激しく、何が起こるか予想できない時代ということになる。
このVUCA時代においては、あらゆるリスクに対応することが企業に求められている。
その点、個人情報保護に関するリスクを評価するPIAは、リスクマネジメントで必須項目になるはずだ。今後はプライバシー保護が厳しくなることが予想されている。GDPRのように、日本国内でも厳格な罰金刑が設けられる可能性も十分にあるのだ。
PIAは今後、リスクマネジメントで必要不可欠な要素になる。そのため、リスクマネジャーや経営者は、PIAや個人情報管理の動向を注視すべきだろう。
適切なPIAを実施するには国際情勢の読み取りが必要?
適切なPIAを実施するには国際情勢の読み取りが必要不可欠になるかもしれない。というのも事業内容によっては、思わぬところで外国籍のユーザーの個人情報を取得してしまう可能性があるからだ。もし仮に欧州諸国のユーザーの個人情報を取得してしまった場合、それはGDPRの適用範囲になってしまう。
もちろん欧州だけでなく、中国や米国でも包括的なプライバシー法が誕生し始めている。そして現在、世界中でプライバシー法が強化されている背景には、ビッグデータにおける安全保障上の問題があると考えられる。つまり、適切なPIAを実施するには、国際情勢の読み取りが必要になってくるかもしれない。
【用語解説】GDPR(一般データ保護規則)とは – プライバシーテック研究所
米国版「GDPR」と言われるADPPAとは?米国全土で適応されるプライバシー法の現状をまとめてみた – プライバシーテック研究所
少なくとも現段階でGDPRを把握していない状態で、適切なPIAを実施するのはほぼ不可能だろう。今後、適切なPIAを実施するには、諸外国のプライバシー法の動向に注意する必要がある。情報の入手が早ければ早いほど、対応もスピーディになるはずだ。
ホワイトカラーの大半がPIAを意識する時代
現在はホワイトカラーの大半が個人情報に触れていると考えられる。
例えば、ホワイトカラーの範疇とされる公務員は、毎日のように住民の個人情報に触れる。マーケティング担当者であれば利用者やユーザーの個人情報を扱っているし、営業職でも取引相手の連絡先を保有している。このように現在は、ホワイトカラーの大半が何かしらの形で個人情報を取り扱っているのだ。
だとすると、ホワイトカラーの大半がPIAを意識しなければいけない時代がくるのではないだろうか。少なくとも、企業の中で出世して管理職キャリアを歩みたいのであれば、PIAは絶対に抑えておくべきだろう。
特に現在は、本当に予想のつかない事態に陥ることのある時代だ。思わぬところで個人情報が漏洩することがあるかもしれない。
筆者はよく外出先でPCを開いて仕事するのだが、必ず覗き見防止フィルムを利用するようにしている。プライバシー保護やNDAを考慮したら、当然のことだろう。
ただ、個人的な体感として、カフェでPCを開いて仕事している人の過半数が覗き見防止フィルムを利用しておらず、覗こうと思えば覗ける状態になってしまっている。
だから、少なくとも現在では、多くの人が個人情報保護に力を入れているとは、とてもじゃないが思えない。今後はホワイトカラーの大半がPIAを意識すべきだし、PIAを強く意識した企業や個人が、結果的に生き残る時代が到来するのかもしれない。
まとめ
- PIAは「プライバシー影響評価」のことで、個人情報のリスクを事前に評価することを指す
- 個人情報を取り扱うのであれば、PIAを実施すべき
- PIAはリスクマネジメントで必要不可欠な要素となる
