プライバシー影響評価(PIA)構築支援

デジタル社会の進展により、パーソナルデータを含むさまざまなデータの利活用が進んでおり、その手法や用途は、AIの導入をはじめ複雑化・多様化の一途をたどっています。これにより個人への権利侵害・違法行為・不適正事案が生じた際の対応コストが増大しており、場合によってはシステム・サービス停止に追い込まれるケースも見受けられます。

企業がプライバシーリスクに適切に対応するためには、いまや法令を遵守しているだけでは十分ではなく、プライバシーの問題を経営課題として捉え、組織全体で取り組む態勢を構築しなければなりません。そのためには、問題発生後の対症療法とならないよう、データ利活用の企画・設計段階からプライバシーへの影響を評価し、予防策を事前に組み込んでおくことが重要です。

その手段の1つに、プライバシー影響評価(PIA)があります。日本においても、PIAについての国際的なガイドラインであるISO/IEC 29134:2017に基づくJIS規格(JIS X 9251:2021)が2021年1月に制定されており、2021年6月に個人情報保護委員会が「PIAの取組の促進について-PIAの意義と実施手順に沿った留意点-」を公表するなど、PIAへの注目が高まっています。

高まるプライバシーリスク

企業は膨大なデータを収集し、AIなどの先進技術を用いてデータを分析することにより、新たな価値を生み出しています。一方で、データ利活用の進展に伴い、プライバシーに関する問題の発生リスクも高まっています。また変化の速い現代において、プライバシーリスクは常に変化しています。

プライバシーリスクの具体例

  • パーソナルデータの収集方法、利用目的、管理方法が説明不足のため、ユーザから反感を買ってしまう
  • IoT機器などを用いてパーソナルデータを収集する際、データが収集されていることを消費者が認識できない、もしくは認識していたとしてもデータ収集の可否に関して自らの意思を反映させることが難しい
  • パーソナルデータの処理によって生じる個人への影響を十分に検討しておらず、個人に不利益を与えるような形でパーソナルデータを利用してしまう
  • AIなどを用いて個人属性を推定する場合に、推定結果やプロファイリング結果が個人に対する差別や偏見を助長するものとなってしまう

プライバシー影響評価(PIA)の意義

これらのリスクを早期に発見し、是正するための取り組みがPIAです。PIAを実施する意義として、次の4点が挙げられます。

1. プライバシーリスクの洗い出しと必要十分な対策の検討

システム・サービスにおける情報の流れを可視化した上でプライバシーリスクを洗い出し、リスクへの対策を検討することにより、リスクを網羅的に識別することができ、リスクの全体像を踏まえたバランスの良い対策を検討できます。

2. トータルコストの削減

プライバシーの問題がシステム・サービスのリリース後に発覚すると、多額の改修費用が必要となり、場合によっては事業の中止に追い込まれることがあります。プライバシーリスクを事前に検知、対応することで、結果としてプロジェクトのトータルコストを削減できます。

3. ステークホルダーからの信頼の獲得

PIAの実施を通じてステークホルダーと対話することで、多様な視点からプライバシーリスクを検討することができます。PIAの結果を公表するということは、消費者をはじめとするステークホルダーへの説明責任を果たすことを意味するため、社会的な信頼を得ることにつながります。

4. 企業のパーソナルデータの取扱いに関するガバナンスの向上

事業に取り組む従業員がPIAに携わることにより、パーソナルデータの取扱いについての学習効果も期待できます。さらに、企業の各部署(コンプライアンス部署、IT部署など)が連携し、経営陣が関与することで、企業としてのガバナンス向上につながります。

プライバシー影響評価(PIA)の進め方

PIAは企画段階と実行段階に分けて進めるのが一般的です(図1参照)。

PIAにおいて重要なことは、システム・サービスの企画段階から着手し、システム・サービスのリリース前にプライバシーリスクへの対応状況を確認することです。

まず、システム・サービスの企画(または変更)の段階において、PIAの実施の是非を決めます。PIAを実施する必要があると判定された場合には、その準備として、PIAを「いつ」「誰が」「どのように」実施するかを計画します。

実行段階では、まずシステム・サービスの情報の流れを可視化します。次に、システム・サービスにおけるプライバシーリスクを特定し、評価します。その後、評価結果に応じて、リスクへの対応方針を決め、対応計画を策定します。

最後にPIAのフォローアップとして、実施結果をしかるべき関係者に報告し、必要に応じて公表することも検討します。

図 1: PIAの実施プロセス

PwCのサービス

PwCは、パーソナルデータを利用した新しいシステム・サービスの創出を目指す企業に対して、プライバシーリスクを早期に発見および是正できる仕組みであるPIAの構築・実装を支援します(図2参照)。

支援にあたっては、最新の各種ガイドライン(ISO 22307:2008、ISO/IEC 29134:2017、JIS X 9251:2021など)をベースに、PwC Japan有限責任監査法人(以下、PwC)がこれまでのデータ利活用支援業務や監査業務を通じて培ったリスク管理やガバナンスの知見を活用します。また、PwCが独自に作成したツールを使用してPIAを実施します。これらの知見およびツールを基に、担当者間の密なディスカッションを通じて、クライアントが自力でPIAを実施できる態勢を構築し、実際に機能させるまでサポートします。

図 2: PwCのサービスのイメージ

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

主要メンバー

平岩 久人

パートナー, PwC Japan有限責任監査法人

Email

鮫島 洋一

シニアマネージャー, PwC Japan有限責任監査法人

Email

松崎 達也

マネージャー, PwC Japan有限責任監査法人

Email