今回から個別のテーマについて、改正個人情報保護法対応の進め方について書いてみます。今回は「①新規案件の立上げ」についてです。総論的な部分についてはこちらをどうぞ。
【目次】
・対内
・本番環境
・①新規案件の立上げ 【本稿】
・②継続案件の管理
・分析環境
・③分析データの管理
・対外
・④ユーザー
・⑤当局
・⑥取引先
0.各論の章構成
各論は以下の章構成で書いていこうと思います。
- 検討体制
- 改正法への対応
- +αの対応
1.検討体制では、法務部門を一旦検討主体として置いた上で社内のどの様な部門と共同して取り組みを進めるべきかを検討します。
2.改正法への対応では、今回の改正法で求められているミニマムを達成するためには何をすべきかを検討します。
3.+αの対応では、改正法対応を機にどの程度までプライバシー関連の取り組みを推進できると良さそうかについて検討します。
1.検討体制
「①新規案件の立上げ」についての検討は、当然事業部門や企画部門と行うことになると思います。ワークフローに組み込まれていたり、事業側の相談ベースで対応していたり色々だとは思いますが、新規案件の立上げ時にプライバシーについてのチェックが入る体制を構築しておく事が重要です。
またプライバシーについての検討をより重視する場合には、組織として「法務部門」と「プライバシー部門」を分けてしまった上で、
新規案件の立上げには、「法務部門による法務観点のチェック」と「プライバシー部門によるプライバシー観点のチェック」の両方を通す
という運用にしてしまうことも有効だと感じています。*1
2.改正法への対応
(1)条文
「①新規案件の立上げ」で該当するのは「不適正利用の禁止」ですね。*2
第十六条の二 個人情報取扱事業者は、 違法又は不当な行為を助長し、 又は誘発するおそれが ある 方法により個人情報を利用しては ならない
(2)解釈
PPCの資料*3を見てみると、
- 違法行為を営む第三者に個人情報を提供
- 裁判所による公告等により散在的に公開されている個人情報について、差別が誘発されるおそれがあることが十分に予見できるにもかかわらず、それを集約してデータベース化し、インターネット上で公開すること。
なんかを例示としてあげているので、今の所よっぽどのことを企画しない限り該当しないのかなと思っています。
(3)対応
なので、改正法への最低限の対応をするのであれば、真っ黒な案件をきちんと弾ける様なチェック体制を構築しておけば良さそうです。
3.+αの対応
(1)「2.改正法への対応」の評価
最低限の対応としては上記の通りです。
とは言えプライバシーの本丸は「違法/適法」の判断というより「妥当/不当」の判断だと思いますし、真っ黒じゃなければOKとして通した案件が毎度炎上していては法務部門(プライバシー部門)の存在価値が疑われます。
(2)+αの対応
PIA/DPIAを行う体制をしっかり構築しておくことを提案します。以下で詳述します。
PIA/DPIAって?
Privacy Impact Assessment/Data Protection Impact Assessmentの略です。*4 ざっくり言うと、プライバシー情報を取得する事業についてのリスクアセスメントです。GDPRではDPIAの名前で一気に有名になりましたが、別にGDPR固有の概念と言う訳ではありません。
GDPR第35 条 データ保護影響評価
1. 取扱いの性質、範囲、過程及び目的を考慮に入れた上で、特に新たな技術を用いるような種類の取扱いが、 自然人の権利及び自由に対する高いリスクを発生させるおそれがある場合、管理者は、その取扱いの開始前に、 予定している取扱業務の個人データの保護に対する影響についての評価を行わなければならない。
PIA/DPIAの何が良いの?
- 新規案件の立上げ時には、PIA/DPIAを挟むと言う運用
- PIA/DPIAに用いるチェックシートの作成
によるチェック観点の定型化・効率化です。このことにより、
- 自社の案件は全て、PIA/DPIAで定めた最低限の基準をクリアしている
- 「②継続案件の管理」で参照すべき、事業の基本情報が1箇所にまとまっている
と言う状況を作る事ができます。
PIA/DPIAの設計
- PIA/DPIAの実施対象を、重要案件に絞るか全件を含めるか
- PIA/DPIAの実施観点を、法令対応に絞るか妥当性評価を含めるか
あたりがまず論点になると思います。チェックシートの詳細度によっていくらでも調整は効くので、「全件対象、妥当性評価を含む」とするのがオススメです。
とは言え、あるべきPIA/DIPAとはみたいな話は壮大なテーマなので、この辺は日を改めて記事を書きたいと思います。
------------------
以上です。
今回の法改正を機に、新規事業の検討にはPIA/DPIAを挟む運用が定着していけば良いなと思っています。