TMIプライバシー&セキュリティニュース10月号より
前回、「期限迫る!!GDPRの新SCC。変更点と対応法方法を解説」の中で「データ移転影響評価」を解説しました。今回は、その源流であるPIA=Privacy Impact Assessment、とりわけ日本におけるPIA手続についてお話します。
関連記事
日本企業に必要なGDPR対応〜SCCとDPAの違いも解説〜…..続きを読む
まずは、日本の個人情報保護委員会のウェブサイトをご覧ください。「個人情報保護等」という項目があります。こちらをクリックすると民間の自主的取組としてPIAが掲載されています。
こちらで示されているように日本ではGDPRと異なりPIAは、あくまで任意の取組になっています。DGPRでは、越境移転評価もしくはPIAが法律の枠内に組み込まれていましたが、日本法では、法的義務のない任意の取組みとして紹介されています。
まず、日本においてPIAを行う際に、どのような手順で行うべきかを見ていきます。特に参考になるのが個人情報保護委員会のウェブサイトにある「民間の自主的取組(PIA・データマッピング等)」です。「PIAの取組の促進(PIAレポート)」の下の部分に「PIAの取組の促進について-PIAの意義と実施手順に沿った留意点-(概要)」がありますのでご覧ください。
この資料は、令和3年の6月に公表されたものですが日本法のPIA手続を進めるにあたって非常に重要な参考資料になります。日本でPIA手続を行う場合は、是非、こちらの留意点に従った手順で進めていただければと思います。
簡単にプロセスを見ていきます。
一般的なPIAの大まかな流れを申し上げますと以下のようになります。
①準備
②リスクの特定・評価
③リスクの低減
個別に流れを見ていきましょう。
①準備
日本の個人情報保護法ではPIA手続は、義務化されていない自主的な任意の取組ですので、各企業がPIAを実施するか、(実施するなら)どういうメンバー、弁護士とプロセスを行っていくか、こちらを検討する段階です。
ここで、どのような業態やサービスがPIAの対象とすべきかが問題となります。
この点、私(大井)は、i)大量の個人データを収集・利用している企業、ii)機微性の高い、センシティブな個人データを利活用している企業、さらには、iii)個人データの先進的な利活用サービスや、それを模索している企業に対してはPIAプロセスを実施すべきであり、PIAプロセスを実施する旨、および実施部門、PIAの実施プロセスなどを社内規程化することを推奨し、アドバイスしています。
②リスクの特定・評価
データ利活用をしている企業においてPIA実施の体制整備をする。法務部や経営企画部門など様々なデータ利活用の関与部門、さらには外部の弁護士を巻き込みながらPIAの体制整備やフローの策定をする。その上で、新規ビジネスをリリースする前段階として、新規ビジネスのリスクを特定する、プライバシーに関わるリスクを特定して、それを評価するプロセスです。
③リスクの低減
上記でリスクを評価した結果、高リスクということになればリスクの低減策の実装方法をプランニングし、実装するプロセスです。
日本ではあまり馴染みがないPIAプロセスですが、日本以外の世界各国の個人情報保護法では、法定化されていますので、海外のプラクティスも参考にしながら、また今回ご紹介した「PIAの取組の促進について-PIAの意義と実施手順に沿った留意点-(概要)」に即しながらプロセスを定立化してリスクの高い類型をチョイスして、PIA手続を回して、リスクヘッジをして、リスク低減化策を実装する。このプロセスを日本企業の皆様にも定着化していただきたいと考えております。
関連記事
日本企業に必要なGDPR対応〜SCCとDPAの違いも解説〜…..続きを読む
TMIプライバシー&セキュリティコンサルティング株式会社 代表
TMI総合法律事務所 パートナー弁護士
日本企業のサイバーインシデント対応およびデータ利活用・EUデジタル規制対応の双方に特化した国内でも数少ないIT・プライバシー法務の専門家。日本企業のサイバー危機対応およびデータ規制分野における第一人者の一人として上場企業、グローバル企業を含む多数の企業を支援している。
クラウド、インターネット・インフラ/コンテンツ、SNS、アプリ・システム開発、アドテクノロジー、ビッグデータアナリティクス、IoT、AI、サイバーセキュリティ分野における法務を専門とする。
主な専門領域:
- 企業へのサイバーアタック・情報漏えいインシデント対応
- 個人情報保護法に適合したDMP/CDP導入支援
- GDPR、EUデータ法、EU AI法、サイバーリジリエンス法対応
- 国内外データ保護規制に基づくセキュリティアセスメント
セキュリティISMS認証機関公平性委員会委員長、社団法人クラウド利用促進機構(CUPA)法律アドバイザー、経済産業省情報セキュリティタスクフォース委員を歴任。
主な実績:
【サイバー攻撃・情報漏えいインシデント対応(有事対応)】
- 初動調査・ディレクション: インシデント発生時の初動調査支援や、フォレンジック調査のスコープ決定、業者選定のディレクション
- トリアージと被害拡大防止: 被害状況の初動把握(トリアージ)を行い、システム稼働停止の判断や二次被害防止のアドバイス
- 第三者委員会の組成・運営: 外部の情報漏えい事故調査委員会や再発防止委員会の組成、および委員長への就任
- 当局および対外対応: 個人情報保護委員会への速報・確報、警察への被害届出、プレスリリース作成、記者会見の支援まで総合的サポート
- 法的手続・被害回復: インシデントに伴う損害賠償請求、ベンダへの責任追及、刑事告訴などの法的措置
【データ利活用・プライバシー対応支援】
- 高度データの利活用支援: 人事・顧客データに加え、Cookie、バイタルデータ、生体情報データ、IoT、AI等の利活用における適法性評価
- 匿名加工情報の評価: ビッグデータ利活用における「匿名加工手続き」の個人情報保護法適合性評価
- DMP/CDP・アドテクノロジー: アドテクノロジーやビッグデータアナリティクス分野における実務支援
【プライバシーガバナンス構築の支援】
- 体制構築・規程整備: セキュリティ管理委員会の組成、各種ポリシー、管理規程、インシデント対応マニュアル等の策定・改定支援
- リスクアセスメント: セキュリティアセスメントやプライバシーインパクトアセスメント(PIA)を通じた分析
- 教育・研修: 経営層向けのレクチャーから事業部向けのセキュリティ研修
- リスク転嫁支援: 経済的インパクトを抑えるためのサイバーセキュリティ保険の導入支援や、保険料割引のためのセキュリティ診断
【IT・先端技術の法的支援】
- 多産業分野のアドバイス: クラウド、インターネット・インフラ、SNS、アプリ・システム開発、スマートシティ等の各分野で法的助言
- 適合性評価: クラウド導入に伴う国内外の個人情報保護法、およびガイドライン等の適合性評価
【国内外の個人情報保護規制へのアドバイス】
- 国内法: 個人情報保護法、不正競争防止法、電気通信事業法等に加え、資金決済法、特定商取引法等
- 海外法・規制: EUのGDPR、米国のCCPA、およびアジア・アフリカ・南米・中東各地域の個人情報保護法への対応、EUデータ法、EU AI法、サイバーリジリエンス法などEUデジタル規制対応、海外当局対応、IGDTA(Intra-Group Data Transfer Agreement)対応
- 国際基準: PCI-DSS要件やISMS認証基準への対応、米国財務省のOFAC規制(身代金支払いに関する制裁リスク)
