改正個人情報保護法への対応_各論1 - 思い出したいことがある

今回から個別のテーマについて、改正個人情報保護法対応の進め方について書いてみます。今回は「①新規案件の立上げ」についてです。総論的な部分についてはこちらをどうぞ。

f:id:seko-law:20200708104847p:plain

【目次】

・対内
　・本番環境
　　・①新規案件の立上げ　【本稿】
　　・②継続案件の管理
　・分析環境
　　・③分析データの管理
・対外
　・④ユーザー
　・⑤当局
　・⑥取引先

0.各論の章構成

各論は以下の章構成で書いていこうと思います。

検討体制
改正法への対応
＋αの対応

1.検討体制では、法務部門を一旦検討主体として置いた上で社内のどの様な部門と共同して取り組みを進めるべきかを検討します。
2.改正法への対応では、今回の改正法で求められているミニマムを達成するためには何をすべきかを検討します。
3.＋αの対応では、改正法対応を機にどの程度までプライバシー関連の取り組みを推進できると良さそうかについて検討します。

1.検討体制

「①新規案件の立上げ」についての検討は、当然事業部門や企画部門と行うことになると思います。ワークフローに組み込まれていたり、事業側の相談ベースで対応していたり色々だとは思いますが、新規案件の立上げ時にプライバシーについてのチェックが入る体制を構築しておく事が重要です。

またプライバシーについての検討をより重視する場合には、組織として「法務部門」と「プライバシー部門」を分けてしまった上で、

新規案件の立上げには、「法務部門による法務観点のチェック」と「プライバシー部門によるプライバシー観点のチェック」の両方を通す

という運用にしてしまうことも有効だと感じています。*1

2.改正法への対応

(1)条文

「①新規案件の立上げ」で該当するのは「不適正利用の禁止」ですね。*2

第十六条の二個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない

(2)解釈

PPCの資料*3を見てみると、

違法行為を営む第三者に個人情報を提供
裁判所による公告等により散在的に公開されている個人情報について、差別が誘発されるおそれがあることが十分に予見できるにもかかわらず、それを集約してデータベース化し、インターネット上で公開すること。

なんかを例示としてあげているので、今の所よっぽどのことを企画しない限り該当しないのかなと思っています。

(3)対応

なので、改正法への最低限の対応をするのであれば、真っ黒な案件をきちんと弾ける様なチェック体制を構築しておけば良さそうです。

3.＋αの対応

(1)「2.改正法への対応」の評価

最低限の対応としては上記の通りです。

とは言えプライバシーの本丸は「違法/適法」の判断というより「妥当/不当」の判断だと思いますし、真っ黒じゃなければOKとして通した案件が毎度炎上していては法務部門（プライバシー部門）の存在価値が疑われます。

(2)+αの対応

PIA/DPIAを行う体制をしっかり構築しておくことを提案します。以下で詳述します。

PIA/DPIAって？

Privacy Impact Assessment/Data Protection Impact Assessmentの略です。*4 ざっくり言うと、プライバシー情報を取得する事業についてのリスクアセスメントです。GDPRではDPIAの名前で一気に有名になりましたが、別にGDPR固有の概念と言う訳ではありません。

GDPR第35 条データ保護影響評価
1. 取扱いの性質、範囲、過程及び目的を考慮に入れた上で、特に新たな技術を用いるような種類の取扱いが、自然人の権利及び自由に対する高いリスクを発生させるおそれがある場合、管理者は、その取扱いの開始前に、予定している取扱業務の個人データの保護に対する影響についての評価を行わなければならない。