はじめに

デジタル社会の進展に伴い、企業はパーソナルデータを含むさまざまなデータを活用して新たな価値を創造し、競争力を高めることが求められています。しかし、パーソナルデータの取り扱いには、データの不適切利用、個人の権利侵害、法令違反などさまざまなプライバシーリスクが伴います。さらに、AIの導入をはじめとする多岐にわたるデータの取り扱い手法・用途の拡大により、検討すべきプライバシーリスクは複雑化・多様化しています。現代の企業において、これらのリスクを適切に管理することは、自らの信頼性を維持するために不可欠です。

しかし、一口に「プライバシーリスクを適切に管理する」と言っても、その実現は容易ではありません。プライバシーリスクへの対応を始めようとする企業の多くが直面する課題として、例えば次のようなものが挙げられます。

何から着手してどう進めればよいのか分からない
- パーソナルデータの利活用におけるリスク管理の重要性は理解しているものの、具体的にどのような手順で進めるべきかが分からず、初めの一歩を踏み出すことが難しいという場合があります。
どのシステムや業務においてパーソナルデータが利活用されているのか分からない
- 自社のどの部門やシステムでパーソナルデータが収集・保管・利用されているのかを把握することができず、全体像が見えないためにリスク管理が困難になっている場合があります。
リスク対応の必要性やその効果およびコストが不明確なので、決裁権限者の理解を得られない
- プライバシーリスクが漠然としており、具体的なリスクの内容やその影響が明確に可視化・言語化されていないため、リスク対応の効果やコストを具体的に示すことが難しく、経営層や決裁権限者からの理解と支持を得られない場合があります。

これらの課題を解決するためには、パーソナルデータの利活用におけるリスク評価の手法として「データマッピング」と「プライバシー影響評価（以下、「PIA」）」が有効です。本稿では、これらの手法に焦点を当て、その重要性と具体的な実施方法について解説します。

1. データマッピング

（1）データマッピングとは

データマッピングとは、企業が管理するパーソナルデータの所在や流れを、データのライフサイクルを通して正確に把握するための手法です。具体的には、企業内のさまざまな部門やシステムに分散して存在するパーソナルデータを整理し、可視化するプロセスを指します。これにより、データの収集、処理、保管、共有、消去の各段階におけるデータの流れを明確にし、プライバシーリスクの発生場所を特定することが可能となります。

データマッピングはPIAの第一歩としても重要です。PIAは、対象となるパーソナルデータの流れを把握したうえでリスクの評価を行う必要があるため、データマッピングがその前提となります。

「何から着手してどう進めればよいのか分からない」、または「どのシステムや業務においてパーソナルデータが利活用されているのか分からない」という課題を持っている場合は、「データマッピング」から始めるのが良いと考えられます。

また、データマッピングについては、個人情報保護委員会から解説資料^*1が公開されています。実施にあたっては、解説資料を参考にして進めていくことができます。以降の説明では、解説資料の内容も取り入れています。

（2）データマッピングの意義

個人情報保護委員会の解説資料においては、データマッピングには次の2つの意義があるとされています。

ア. 個人情報保護法を含む当該データに適用される法令の遵守状況の確認
イ. 当該データの取扱状況等に起因するリスクに応じた必要な対応の実施

アについては、個人情報保護法の観点で、例えば次のような確認が可能になることを意味します。

a. 本人に提示している利用目的を遵守してデータの利活用が行われているか

b. 本人の同意なく、グループ会社・委託先・海外法人などにデータを提供していないか

c. 利用目的を達成したデータが消去されているか

d. 外国にある第三者にデータを提供している場合、本人に対して参考情報を提供したうえで同意を得ているか

イについては、個人情報保護法で求められる範囲を踏まえつつ、法令の範囲外も含めて、自社として考慮すべきプライバシーリスクを評価し、必要な対応を明らかにすることを意味します。例えば、次のような観点です。

a. データの内容に係るリスク

・自組織のビジネスによっては、個人の権利利益に影響を及ぼすおそれがあるセンシティブなデータを取り扱うことが考えられます。例えば、健康診断結果や病歴など健康に関するデータや、保有資産状況などの財産に関するデータです。

・このようなセンシティブなデータは、漏えい防止のために特に注意が必要であることはもちろん、個人に対して不当に不利益を生じさせることのないように利用する必要があります。

b. データの保管形態に係るリスク

・データを電子的に保有するか、紙媒体で保有するかによって、リスクが変わってきます。さらに、クラウドサービスにデータを保管することで、クラウドサービス事業者によるデータの利用や、クラウドサービス事業者に起因するデータの漏えいなどのリスクも検討する必要があります。

（3）データマッピングの進め方

データマッピングは、「準備」、「実施（表作成）」、「確認・対応」および「更新」の4つのステップで進めます。

ア. 準備

データマッピングについて次の事項を決定し、データマッピングがスムーズかつ効果的に行われるようにします。

概要

データマッピングの取り組み全体に対して責任を持つ人および取りまとめる担当部署（事務局）を決定します。

ポイント

データマッピングは各部門の協力のもと実施する必要があるため、責任者は、各部門に対して協力要請ができる役員などの権限者とするのが望ましいです。
担当部署は、総務部門、法務部門、セキュリティ部門やデータ保護部門など、プライバシー保護に関するルール策定からモニタリングなどを所管している部門が担うのが望ましいです。

概要

遵守すべき法令や、特定するリスクのさらなる具体化を通じて目的を設定します。

ポイント

左記の目的を達成する範囲（グループ会社全体、特定のグループ会社、特定の部署、特定のプロジェクト／サービスなど）も、目的に合わせて決定することが望ましいです。
事業者が取り扱う全てのパーソナルデータに対してデータマッピングを実施することは多大なコストが必要になります。目的を明確にし、それに応じたデータマッピングの範囲を設定することで、無用なコストが発生することを防止します。

概要

データマッピングする項目として、「データの名称」、「本人（個人情報によって識別される特定の個人）の数」、「データの項目」および「利用目的」などの管理すべき項目と、対象とするデータ範囲を決定します。

ポイント

データマッピングする項目および対象とするデータ範囲は、無用に広げるのではなく、データマッピングの目的を鑑みて決定します。

概要

データマッピング表を記入する人を決定します。

ポイント

1名が担当する必要はなく、項目によって記入者を分けることもできます。
データマッピングの目的次第ではありますが、データを実際に取り扱う担当者（業務部門担当者など）が記入し、データマッピングに係る担当部署が確認するという流れにすることが望ましいと考えられます。

イ. 実施（表作成）

a. データマッピング表のフォーマットに則り、記入を進めていきます。データマッピング表の記入者は、個人情報保護法やデータマッピングの取り組みに馴染みがないことも想定されるため、事前の説明会の実施や、マニュアルや記載例の配布、相談体制の整備など、サポートする体制を整えることが重要です。

b. データマッピングに係る担当部署は、記入者が作成したデータマッピング表について、正しい理解に基づいているかなどを確認します。特に、「個人情報」に該当するかどうかの判断、データのライフサイクル全体が網羅されているか、などの観点での確認が必要です。

c. データマッピングの量が多い場合には、全てをデータマッピングに係る担当部署が確認するのではなく、部門ごとにとりまとめ担当者を設置して確認することも考えられます。

図1：データマッピング表（例）

ウ. 確認・対応

a. 作成したデータマッピング表を、データマッピングの目的に沿って確認し、必要な対応事項を洗い出して対応します。

b. 目的が「個人情報保護法の遵守状況の確認」であればチェックリスト化された確認項目^*2を基に検証することが考えられます。一方で、目的が「パーソナルデータの適切な取り扱いの確認」であれば、どのようなリスクがあるかを洗い出し、それに則ってリスク評価をする必要があります。このような場合は、次章で述べるPIAとあわせて実施するのが望ましいと考えられます。

エ. 更新

データマッピング表は、一度作成して終わりではなく、例えば次のようなタイミングで更新する必要があります。加えて、データの取り扱いの実態がデータマッピング表と相違していないか、定期的に見直すのが望ましいと考えられます。

・記載内容に変更が生じた場合

・サービスの仕様変更を行う場合

・法改正があった場合

（4）データマッピングの実施にあたってのポイント

データマッピングを実施するにあたってのポイントは次の2点です。

ア. データマッピングの目的に応じた範囲の決定

データマッピングを有意義な取り組みとするために最も重要なことは、目的の設定です。検討すべき要素としては、特に次の2点が挙げられます。

・法令遵守の状況を確認するのか、プライバシーに係るリスク全体を検討するのか

・データマッピングの対象となる組織はどの範囲とするか（グループ会社全体、特定のグループ会社、特定の部署、特定のプロジェクト／サービス）

1点目については、「データマッピングの意義」の①で例示したような内容に不安があれば「法令遵守の状況の確認」の範囲に留めるのも一案です。一方で、センシティブなデータを取り扱っている場合や、データの利活用を通じて顧客に影響を与えるようなビジネスを行う場合は、法令遵守のみならず、プライバシーに係るリスク全体を評価するのが望ましく、必要に応じてPIAと組み合わせることを検討する必要があります。

2点目については、データマッピングに慣れていない段階でデータマッピングの対象となる組織を広げてしまうと、多くの課題が生じる可能性があるため、特定のプロジェクト／サービスなど、最初は小規模に始めていくのが望ましいと考えられます。

イ. データマッピング表に記入するデータの識別

データマッピングは、対象となるデータを表形式で取りまとめることになっています。しかし、その対象を網羅的に把握してリストアップすることは容易ではありません。そのため、データを表形式にする前に、データフロー図の形式で可視化することが有効です。これにより、保有しているデータの抜け漏れを防ぐことができるとともに、データのライフサイクル全体にわたって管理状況を把握することができます。

データフロー図にて取り扱うデータを可視化した後に、データマッピングの対象となるデータを表形式で整理することで、データの網羅的な把握と、データマッピング表作成後のリスクの検討に役立てることができます。

PwC Japan有限責任監査法人では、データフロー図のテンプレートを用意しています。テンプレートは2種類あり、データマッピングの目的や、割くことのできる工数、データマッピング実施者の習熟度などにより選択できます。

図2：データフロー図（例）

2. プライバシー影響評価（PIA）

（1）PIAとは

PIAは、企業がパーソナルデータを利活用する際に発生し得るプライバシーリスクを事前に評価し、そのリスクを軽減するための対策を洗い出すためのプロセスです。先述したデータマッピングによりデータの取り扱い状況を押さえたうえで実施することで、プライバシーリスクを正確・網羅的に把握することができます。

前述のデータマッピングを完了しているなど、自社の保有するパーソナルデータの取り扱い状況は把握できているが、プライバシーに係る「リスク対応の必要性やその効果およびコストが不明確なので、決裁権限者の理解を得られない」という課題を持っている場合は、PIAにより解決に導ける可能性があります。

（2）PIAを取り巻く環境

PIAを取り巻く環境を、「個人情報保護委員会の動向」、「海外の動向」および「国際規格」の3つの観点から概説します。現在の日本では、PIAは法令上の義務とはされていないものの、今後取り組みが必要となってくる可能性があります。

個人情報保護法の3年ごと見直しに係る検討の中間整理^*3では、「PIAは、データガバナンス体制の構築において主要な要素となるものであり、その取組が促進されることが望ましい。」とされ、また「民間における自主的な取組という現状の枠組みを維持しつつ、その取組を一層促進させるための方策について、PIA の出発点となり得るデータマッピングを活用していくことを含め、検討を進める必要がある。」と記載されています。

EUでは、特定の場合には、データ保護影響評価（DPIA：Data Protection Impact Assessment）が義務化されています。これは、本章で取り扱っているPIAに類似するものです。

具体的には、GDPRにおいて、「取扱いの性質、範囲、過程及び目的を考慮に入れた上で、特に新たな技術を用いるような種類の取扱いが、自然人の権利及び自由に対する高いリスクを発生させるおそれがある場合」にDPIAを実施しなければならないものとされています（GDPR 第 35 条第1項）。

その他、PIAに係る国際規格も公表されています。例えば、PIAのガイドラインとして、ISO/IEC 29134:2023が公表されています。日本語版としては、同ガイドラインの1つ前の版であるISO/IEC 29134:2017を日本語訳したJIS X 9251:2021が公表されています（2025年1月8日現在）。

（3）PIAの意義

PIAの意義は、大きく分けて次の4点です。

ア. プライバシーリスクの洗い出しと必要十分な対策の検討

システム・サービスにおける情報の流れを可視化したうえでプライバシーリスクを洗い出し、リスクへの対策を検討することにより、リスクを網羅的に識別することができ、リスクの全体像を踏まえたバランスの良い対策を検討できます。

イ. トータルコストの削減

プライバシーの問題がシステム・サービスのリリース後に発覚すると、多額のシステム改修費用などが必要となり、場合によっては事業の中止に追い込まれることがあります。プライバシーリスクを事前に識別、対応することで、結果としてプロジェクトのトータルコストを削減できます。

ウ. ステークホルダーからの信頼の獲得

PIAの実施を通じてステークホルダーと対話することで、多様な視点からプライバシーリスクを検討することができます。PIAの結果を公表するということは、消費者をはじめとするステークホルダーへの説明責任を果たすことを意味するため、社会的な信頼を得ることにつながります。

エ. 企業のパーソナルデータの取り扱いに関するガバナンスの向上

事業に取り組む従業員がPIAに携わることにより、パーソナルデータの取り扱いについての学習効果も期待できます。さらに、企業の各部署（コンプライアンス部署、IT部署など）が連携し、経営陣が関与することで、企業としてのガバナンス向上につながります。

（4）PIAの進め方

PIAは企画段階と実行段階に分けて進めるのが一般的です。

PIAにおいて重要なことは、システム・サービスの企画段階から着手し、システム・サービスのリリース前にプライバシーリスクへの対応状況を確認することです。

まず、システム・サービスの企画または変更の段階において、PIAの実施の要否を決めます。PIAを実施する必要があると判定された場合には、その準備として、PIAを「いつ」、「誰が」そして「どのように」実施するかを計画します。

実行段階では、まずシステム・サービスの情報の流れを可視化します。次に、システム・サービスにおけるプライバシーリスクを特定し、評価します。その後、評価結果に応じて、リスクへの対応方針を決め、対応計画を策定します。

最後にPIAのフォローアップとして、実施結果をしかるべき関係者に報告し、必要に応じて公表することも検討します。

図3：PIAの実施プロセス

（5）PIA実施にあたってのポイント

PIAは、前章のデータマッピングと同様に、個別の取り組みとして実施するのか、全社的な枠組みを構築・運用するのかによって、考慮すべき点が異なります。

ア. 個別の取り組みとして実施する場合

「個別の取り組み」とは、前項で述べたプロセスを、特定のシステム・サービスのみに適用することです。例えば、新規サービスの立案にあたり、そのサービスの中で機微なパーソナルデータを利用することから、サービスリリースの前にプライバシーに関するリスクを評価し、必要な対策を洗い出すためにPIAを実施するといった場合です。

この場合は、PIAの実施者がスムーズにデータマッピングを実施でき、効果を実感することが何よりも重要です。そのための施策として、例えば次の3点が考えられます。

データの取り扱い状況の可視化なくして、データがどこに保存され、どこに提供され、いつ削除されているのかなどを明らかにするのは困難です。可視化を行うことで、「このデータが削除されていなかった」、「このデータの保管場所は適切ではなかった」または「このデータとこのデータを組み合わせると個人が識別できてしまうのではないか」などの気づきを得ることができます。

PIAは、本来的には事業部門が主体的に実施するものである一方で、PIA実施者がPIAの方法等になじみがないことが考えられます。そのため、二線部門による相談窓口を設けたり、伴走型の取り組みなどのサポート体制を設けたりすることが重要です。

プライバシーリスクへの対応は、チェックリストなどの規程の項目をクリアすれば良いというものではありません。「データの取り扱いによって個人にどのような影響を与え得るのか」、「データの取り扱い方法によっては、このような悪用ができてしまうのではないか」などを、多様な観点から対話を通じて自社として検討することが重要です。

イ. 全社的な枠組みとして構築・運用する場合

一方で、「全社的な枠組みとして構築・運用」する場合は、組織内で新規サービスの立ち上げやサービス・システムの変更が発生するたびにPIAの要否を判断し、プライバシー上のリスクが低減されていることを確認してからリリースする仕組みを整え、運用していくことを指します。特定のシステム・サービスのみでPIAを実施するのではなく、PIAが自律的に運用されていくための全社的な仕組みを構築する必要があります。

この場合のポイントは、次の3点です。

いわゆるセキュリティ評価やプライバシー評価のような仕組みは、二線部門、例えばリスク管理部門やコンプライアンス部門などのコーポレート部門が主体となって実施しがちです。それに対して、PIAは、リスクオーナーである一線部門、すなわち実際にビジネスを行う現場の部門が行うことが重要です。

それにより、単なるチェックリストの実施・消化で終わらずに、リスクオーナーである現場の部門が主体的にプライバシーリスクを認識・分析・対処できるようになり、効果的な取り組みとすることができます。

PIAの最も難しいポイントの1つとして、プライバシーリスクのある全ての取り組みに対して、どうやってPIAの網をかけるかということがあります。

このポイントの解決策は各社異なることが想定されます。しかし、共通する重要なポイントは、企画・設計段階といった早いタイミングで、PIAの実施要否の検討対象となる案件を網羅的に捕捉できるような仕組みを作っていくことです。

例えば、自社の既存のプロセスとして情報システムの開発工程における「企画」や「設計」のタイミングで、PIAのマイルストンと接続するような仕組みとすることで、全てのプロジェクトに対してPIAの網をかけて、プライバシーリスクの見落としがないようにすることが考えられます。

PIAは、ビジネス部門にとってもメリットのある仕組みである一方で、一定程度負担をかける仕組みであることから、PIAの実施を確実にさせるような仕組みが必要です。

その実現の方法の1つの例として、リリース判定の1要素としてPIAの成果物を定義することが考えられます。どの企業においても、システム・サービスが世に出る前に、何らかの形で承認するリリース判定のようなプロセスがあるはずです。そのプロセスを活用して、事業部門がPIAを実施するインセンティブないし強制力を設計することができます。

3. まとめ

本稿では、「プライバシーリスクへの対応ができている」と自信を持って言えない企業に向けて、データマッピングとプライバシー影響評価（PIA）の概要や実施にあたってのポイントを解説しました。これらについては、個人情報保護委員会も、法令の見直しに係る整理資料で言及していたり、解説資料を公表したりと、今後も注目が高まることが想定されます。PwC Japan有限責任監査法人は、リスク管理やガバナンスの知見に基づき、独自に作成したツールを基に、データマッピングやPIAの実施を支援します。詳細は下記をご参照ください。

プライバシー影響評価（PIA）構築支援

次回は、「関係する所管部門が多く部門横断的な取り組みの推進が難しい」、「法令対応を超えた取り組みの必要性が分からない」といった課題を持つ企業に向けて、プライバシーガバナンスの必要性について解説します。