PIA の取組の促進について

個人情報保護委員会から、PIA の取組の促進について ―PIA の意義と実施⼿順に沿った留意点―が発表されました。

折角なので、この資料の感想とともに最近PIAについて考えていることをまとめてみます。

f:id:seko-law:20210703083355p:plain

 1.PIAとは

Privacy Impact Assessmentの略です。
以前私もレポートの雛形を公開したり、解説ブログを書いてみたりしているので宜しければご覧ください。

冒頭ご紹介したPPCの資料では…

PIA は、個人情報等の収集を伴う事業の開始や変更の際に、プライバシー等の個人の
権利利益の侵害リスクを低減・回避するために、事前に影響を評価するリスク管理手法である。

PIA の具体的な手順等については後述するが、PIA は、事業の企画・設計段階から個人 情報等保護の観点を考慮するプロセスを、事業のライフサイクルの中に組み込むことともいえる。

 と書かれています。後述しますが、実情を踏まえると「事前に」というよりは「継続的に」というのが実態に合っているかなとは思います。

2.PPC資料

制度改正大綱において、PIA について、「民間の動向を踏まえつつ、民間の自主的な取組を促進することが望ましい」とされていることも踏まえ、PIA を促進する上で、事業者、消費者、認定個人情報保護団体をはじめとする関係団体等の関係者に、PIA の意義や手順を知っていただく必要があるため、お示しするものである。

 と書かれています。第二東京弁護士会の令和2年改正本でも言及がありましたが、PIAの法制化は検討はされたみたいですね(直近の改正では回避されましたが)。義務化されるかはともかく、国としては推進したい取り組みなのだとは思いますし、こうやってPPCがガイドを出してくれるのはありがたいなと思います。

3.PPC資料の感想と最近考えていること

(1)スコープ

さらに、PIA の対象として、個人情報保護法の規律のみならず、消費者の不安や懸念を 払拭するために、個人情報保護法の遵守にとどまらない範囲も含めて対応することが重要である。

 というのは共感します。プライバシー領域は、適法 / 違法のところで延々議論していてもユーザーの期待には応えられないことはもはや誰の目にも明らかです。PIAはそれなりに業務負荷もかかる取組みなので、妥当 / 不当まで踏み込めないと労力に見合ったメリットが引き出せない感じがします。

また、適法 / 違法の部分をリスクとして取り扱う部分については、渡部 友一郎先生が推進されているリーガルリスクマネジメントに共感する部分もかなり大きいなと感じています。

(2)PDCA

監査とPIAを対比する文脈で「監査はC、PIAはPで実施する」と言われることがあります。また、冒頭のPPC資料でも「事前に影響を評価するリスク管理手法」との記載がありました。

基礎となる考え方としてはその通りかなと思いますが、ガチガチのウォーターフォールで作られることもそこまで多く無いですよね。プロダクトは継続的に新機能がリリースされますし、事業側も継続的に新しい施策を検討します。

そんな中で、プライバシー担当者とプロダクトマネージャーの共有理解のベースとして、PIAレポートを継続更新しながら使っていくのが良いのではないかというのが最近考えていることです。PPC資料では

従業者の教育を含む事業者の個人情報等の取扱いに関するガバナンスの向上

が挙げられていましたが、プライバシー担当がどのような点を重視していて、何を気にかけているのかを事業側に体系的・継続的にお伝えするツールとして有用だと思います。

(3) 事業側のモチベート

PIAをはじめとしてプライバシー関連の取組みは基本的に事業側にとっては負担を増やすものです。そのため事業側の理解や共感が得られていないとPIAの推進は非常に難しいと思っています。

私の場合、事業側にPIAレポートの重要性をきちんとお伝えできたと感じるのは、やはりインシデントなどのトラブル発生時ですかね。ここに

  • 取得している個人情報の項目は何か
  • データを保存しているインフラ所在国はどこか
  • 委託 / 提供している個人情報は何か
  • セキュリティ / プライバシー要件は何か

なんかがまとめられていることが多いので、いざという時に必要な情報は大体ここに手掛かりがあります。そのような火事場を事業側と一緒に経験できると「PIAレポートちゃんと更新しないと」という感覚を共有できると思います。

 (4)台帳との違い

ISMSやPマークなど、セキュリティ / プライバシー観点での台帳を管理することがあると思います。これらの違いは、台帳が(多くは)年1回のスナップショットであるのに対して、PIAレポートが継続更新を行う事業側とのコミュニケーションツールである点にあると(少なくとも自分の使い方では)考えています。

台帳の無味乾燥さや、実務での活用余地が少ないと感じることは、以前面白法人カヤックの柴田さん(@4bata)と議論させていただいたことがあります。台帳は台帳で年1回の記録目的や振り返り目的で有用なものだとは思いますが、私も同じような感想を持っていました。

PIAレポートを悪い意味での台帳にしないためには、あえて「網羅しようとしない」ことかなと最近は考えています。リスクアセスメントのアプローチで言うと、

  1. ベースラインアプローチ
  2. 非形式的アプローチ
  3. 詳細リスク分析
  4. 組み合わせアプローチ

があって、大抵1と3を合わせた「組み合わせアプローチ」が定石とされることが多いと思います。しかしPIAレポートの場合は、1と2をミックスさせた「組み合わせアプローチ」みたいな考え方がフィットするのかな、、、とか考えています。*1*2

(5)法制化

PIAの法制化については、第二東京弁護士会の令和2年改正本の話も書きましたが、TMIの大井先生もツイートしていました。(大井先生のツイートは、法制化に賛成反対と言うよりまずその議論をちゃんとせいという意図だと受け取りました)

自分で使っていて思いますが、PIAってプライバシー担当側に要求されるものがそれなりにあるし、事業側の負荷も高いんですよね。なので下手に法制化すると、運用可能なように記載内容が単純化・定型化されてそれこそ「めんどくさい台帳」みたいな扱われ方になりそうで危惧しています。

 (6)PIAレポートの公開

後述するが、PIA の実施結果を公表する等して、消費者をはじめとする利害関係者とリスク対策等を共有することにより、説明責任を果たし透明性を高めることができ、消費者・事業者間の情報の非対称性の解消に資することになる。

この辺は以前、株式会社MICINの浅原先生と議論させていただいたことがあるのですが、PIAレポートを公開することが有用なケースはあると思うし、それがユーザーへの信頼に繋がるケースはあるとも思います。

一方で、上述の通りPIAレポートは継続的に更新していくもので、次のリリースで追加される機能の内容や、リスクマネジメントの結果受容することにしたリスク、リスクの補填策とかの生っぽい事実を継続的に更新してこそ最大限の価値を発揮すると思うので、そのままPIAレポートを公開するっていうのはちょっと難しいんじゃないかと思います。

---------------------

以上です。

PIA及びPIAレポート、プライバシーに真正面から取り組むには非序に有用なツールだと思うので、皆さんもぜひリスクの高い領域で一度トライアルなどされると良いと思います。

*1:ここで想定しているのは、ベースとなるセキュリティ / プライバシー要件は別途規程やガイドラインで定めて、直接はPIAの対象とせず内部監査などでチェックする。PIAではそのサービス固有のリスクについて、プライバシー担当者とプロダクトマネージャで議論・合意の上で追いかけると言うものです。この非定型的な議論のプロセスが推進のキモなんじゃないかと最近考えています。

*2:本来的に「組み合わせアプローチ」と言うのは、リスクアセスメントの対象を分割してそれぞれに異なったアプローチを用いる話かなとは思います。ここでは説明のためあえて誤用しています。