PwCあらた、プライバシー影響評価（PIA）構築支援を強化

最新の各種ガイドラインをベースに、リスク管理の知見を活かし開発したツールを使用

2022年5月26日
PwCあらた有限責任監査法人

PwCあらた有限責任監査法人（東京都千代田区、代表執行役：井野 貴章、以下「PwCあらた」）は、パーソナルデータ（個人情報）を利用した新しいサービスの創出を目指す企業への、プライバシーリスクを早期に発見および是正できる仕組みであるプライバシー影響評価（PIA）の構築支援を強化します。支援にあたっては、最新の各種ガイドライン（ISO 22307:2008、ISO/IEC 29134:2017、JIS X 9251:2021など）の内容をベースに、PwCあらたのデータ利活用支援業務や監査業務を通じて培ったリスク管理やガバナンスの知見を活かし、独自に開発したツールを使用します。

プライバシー影響評価（PIA）の進め方

まず、システム・サービスの企画（または変更）の段階において、PIAの実施の是非を決めます。PIAを実施する必要があると判定された場合には、その準備として、PIAを「いつ」「誰が」「どのように」実施するかを計画します。

実行段階では、まずシステム・サービスの情報の流れを可視化します。次に、システム・サービスにおけるプライバシーリスクを特定し、評価します。その後、評価結果に応じて、リスクへの対応方針を決め、対応計画を策定します。

最後にPIAのフォローアップとして、実施結果をしかるべき関係者に報告し、必要に応じて公表することも検討します。

※詳しくは、「プライバシー影響評価（PIA）構築支援」ページをご確認ください。

プライバシー影響評価（PIA）構築支援強化の背景

デジタル社会の進展により、パーソナルデータを含むさまざまなデータの利活用が進んでおり、その手法や用途は、AIの導入をはじめ複雑化・多様化の一途をたどっています。これにより個人への権利侵害・違法行為・不適正事案が生じた際の対応コストが増大しており、場合によってはサービス停止に追い込まれるケースも見受けられます。

プライバシーリスクの具体例

• パーソナルデータの収集方法、利用目的、管理方法が説明不足のため、ユーザーから反感を買ってしまう。
• IoT機器などを用いてパーソナルデータを収集する際、データが収集されていることを消費者が認識できない、もしくは認識していたとしてもデータ収集の可否に関して自らの意思を反映させることが難しい。
• パーソナルデータの処理によって生じる個人への影響を十分に検討しておらず、個人に不利益を与えるような形でパーソナルデータを利用してしまう。
• AIなどを用いて個人属性を推定する場合に、推定結果やプロファイリング結果が個人に対する差別や偏見を助長するものとなってしまう。

企業がプライバシーリスクに適切に対応するためには、いまや法令を遵守しているだけでは十分ではなく、プライバシーの問題を経営課題として捉え、組織全体で取り組む態勢を構築しなければなりません。そのためには、問題発生後の対症療法とならないよう、データ利活用の企画・設計段階からプライバシーへの影響を評価し、予防策を事前に組み込んでおくことが重要です。

その手段の1つが、プライバシー影響評価（PIA）です。PIAについての国際的なガイドラインであるISO/IEC 29134:2017に基づくJIS規格（JIS X 9251:2021）が2021年1月に発行されており、「PIAの取組の促進について-PIAの意義と実施手順に沿った留意点-」が、個人情報の保護に関する法律に基づき設置された個人情報保護委員会より2021年6月に公表されるなど、PIAへの注目が高まっています。

PwCあらたは、デジタル社会に信頼を築くリーディングファームとなることを目指しています。企業などが適切にパーソナルデータを活用し、消費者に不安を与えることなく便利なサービスを提供していけるよう、支援を強化してまいります。

以上