TMIプライバシー＆セキュリティニュース10月号より

　前回、「期限迫る！！GDPRの新SCC。変更点と対応法方法を解説」の中で「データ移転影響評価」を解説しました。今回は、その源流であるPIA＝Privacy Impact Assessment、とりわけ日本におけるPIA手続についてお話します。

　まずは、日本の個人情報保護委員会のウェブサイトをご覧ください。「個人情報保護等」という項目があります。こちらをクリックすると民間の自主的取組としてPIAが掲載されています。

「民間の自主的取組（PIA・データマッピング等）」

　こちらで示されているように日本ではGDPRと異なりPIAは、あくまで任意の取組になっています。DGPRでは、越境移転評価もしくはPIAが法律の枠内に組み込まれていましたが、日本法では、法的義務のない任意の取組みとして紹介されています。

　まず、日本においてPIAを行う際に、どのような手順で行うべきかを見ていきます。特に参考になるのが個人情報保護委員会のウェブサイトにある「民間の自主的取組（PIA・データマッピング等）」です。「PIAの取組の促進（PIAレポート）」の下の部分に「PIAの取組の促進について-PIAの意義と実施手順に沿った留意点-（概要）」がありますのでご覧ください。

　この資料は、令和3年の6月に公表されたものですが日本法のPIA手続を進めるにあたって非常に重要な参考資料になります。日本でPIA手続を行う場合は、是非、こちらの留意点に従った手順で進めていただければと思います。

簡単にプロセスを見ていきます。

一般的なPIAの大まかな流れを申し上げますと以下のようになります。
①準備
②リスクの特定・評価
③リスクの低減

個別に流れを見ていきましょう。

①準備
　日本の個人情報保護法ではPIA手続は、義務化されていない自主的な任意の取組ですので、各企業がPIAを実施するか、（実施するなら）どういうメンバー、弁護士とプロセスを行っていくか、こちらを検討する段階です。

ここで、どのような業態やサービスがPIAの対象とすべきかが問題となります。
　この点、私（大井）は、i）大量の個人データを収集・利用している企業、ii）機微性の高い、センシティブな個人データを利活用している企業、さらには、iii）個人データの先進的な利活用サービスや、それを模索している企業に対してはPIAプロセスを実施すべきであり、PIAプロセスを実施する旨、および実施部門、PIAの実施プロセスなどを社内規程化することを推奨し、アドバイスしています。

②リスクの特定・評価
　データ利活用をしている企業においてPIA実施の体制整備をする。法務部や経営企画部門など様々なデータ利活用の関与部門、さらには外部の弁護士を巻き込みながらPIAの体制整備やフローの策定をする。その上で、新規ビジネスをリリースする前段階として、新規ビジネスのリスクを特定する、プライバシーに関わるリスクを特定して、それを評価するプロセスです。

③リスクの低減
　上記でリスクを評価した結果、高リスクということになればリスクの低減策の実装方法をプランニングし、実装するプロセスです。

　日本ではあまり馴染みがないPIAプロセスですが、日本以外の世界各国の個人情報保護法では、法定化されていますので、海外のプラクティスも参考にしながら、また今回ご紹介した「PIAの取組の促進について-PIAの意義と実施手順に沿った留意点-（概要）」に即しながらプロセスを定立化してリスクの高い類型をチョイスして、PIA手続を回して、リスクヘッジをして、リスク低減化策を実装する。このプロセスを日本企業の皆様にも定着化していただきたいと考えております。