プライバシー影響評価

プライバシー影響評価（PIA）とは

プライバシー影響評価（Privacy Impact Assessment, PIA）は、個人情報を収集・利用する情報システムの企画、構築、改修の各段階において、情報提供者のプライバシーに与える影響を事前に評価し、適切な情報システムの構築と運用を促すためのプロセスです。PIAは、設計段階からプライバシー保護策を組み込むことで、「公共の利益」と「個人の権利」のバランスを図ることを目的としています。また、PIAを実施することにより、情報システム稼働後のプライバシーリスクを最小限に抑え、改修に伴う追加費用の発生を予防する効果も期待できます。

国際標準化機構（ISO）の金融サービス専門委員会（TC68）では、2008年4月にPIAに関する国際標準ドキュメント「ISO22307」を発行しました。これは、金融サービスにおける個人情報の保護を目的としたものですが、その内容は他の分野にも適用可能です。

PIAのフレームワーク

PIAのフレームワークは、以下の3つの機能で構成されます。

1. プライバシー・フレームワーク: 法律、ガイドライン、規則、契約上の義務、既存のポリシーなどを基に、対象システムに必要となるプライバシー要件を抽出します。評価対象システムで保護すべきデータの種類や範囲を明確にし、それらが適切な水準で保護されているかを検証する方法を定めます。
2. プライバシー・アセスメント: プライバシー・フレームワークを基に、システムのデータフロー分析や評価シートを用いてプライバシーに関する影響分析を行います。個人情報の収集、利用、管理方法の設計指標を評価し、ポリシー策定やトレーニング計画など、具体的な提案や問題点の抽出を行います。
3. プライバシー・アーキテクチャー: プライバシー・フレームワークとアセスメントを基に、システム設計仕様を検討し、技術的な側面からプライバシーに関する問題解決を図ります（Privacy Enhancing Technology：PET）。技術的な設計要素を評価し、PETの基準を満たすための手段を組み込みます。

リスクコミュニケーション

情報システム構築時には、個人情報やプライバシーに関わるリスクを関係者（ステークホルダー）間で共有し、対処する必要があります。リスクコミュニケーションによって、リスクに関する正確な情報を共有し、相互の意思疎通を図り、合意形成を進めることができます。PIAの実施とその報告書の公表は、ステークホルダー間で影響を共有し、利害関係を調整する手段として有効です。

プライバシー保護に関する歴史的背景

プライバシー権の変遷

プライバシー権に関する議論は、大きく分けて2つの流れがあります。

伝統的プライバシー権: 個人の平和や平穏が不法行為によって乱されることに対する不可侵の権利であり、「ひとりにしておかれる権利」として主張されてきました。19世紀後半から議論が始まり、マスメディアによる個人の生活の暴露から守る権利として認識されてきました。
現代的プライバシー権: 情報技術の発展に伴い、個人データが大量に扱われるようになった1960年代頃から議論が始まりました。「自己に関する情報の流れをコントロールする権利（自己情報コントロール権）」としてプライバシー権を捉えるもので、情報技術が発達した現代において通説的な理解となっています。

プライバシー影響評価の歴史

1990年代半ばから、カナダ、ニュージーランド、オーストラリアなどでPIAに関する議論が始まりました。これは英国法に由来するコモン・ローの影響を受けたものです。PIAは、環境保全に関する事前評価手法である「環境影響評価（EIA）」や、米国連邦議会技術評価局（OTA）による「技術評価」などを参考に考案されました。

当初は、プライバシーコミッショナーや学者、コンサルタントの間で議論されていましたが、その後、行政機関でも急速に拡大しました。1998年には、カナダのオンタリオ州で新規情報システムプロジェクトの認可にPIAの実施報告が必要となり、1999年にはアルバータ州の健康情報公開法で、公共機関の健康医療分野におけるPIAの実施が義務付けられました。

米国では、2001年の同時多発テロを契機に、2004年から出入国管理システム（US-VISIT）に対してPIAが実施されました。

国際標準ISO22307

ISO22307は、金融サービスにおけるプライバシー影響評価に関する国際規格ですが、金融分野に限らず、様々な分野に適用可能です。本規格は、各国の法体系や社会制度に依存しない、最大公約数的な内容となっています。PIAプロセスの要求事項として、以下の6つを規定しています。

1. PIA計画
2. 評価
3. PIA報告
4. PIA実施に必要な専門技能を持つ人の関与
5. 公共的で独立した見地の関与
6. PIA結果を意思決定に用いることについての合意

ISO22307は、システム開発の初期段階で実施すべきPIAについて記述しており、PIA計画のスコープや報告文書の作成指針に加え、関連する法令、規則、標準、プライバシーポリシーへの適合、個人情報に関する既知のリスク等について言及しています。

ISO22307の特徴

一般的なPIAプロセスを記述
金融機関に限らず、PIAの一般的要件を定義
ユーザニーズの評価や効果的なPIA実施を促すためのガイドラインを提供

PIAの実施

PIAを実施するためには、手順と体制の2つが重要です。

PIAの実施手順

PIAのプロセスを具体的に示す法令やガイドラインが必要です。各国でPIAガイドラインが作成されていますが、ISO22307の要求事項に準拠したガイドラインの作成が推奨されています。以下は、ISO22307に基づいて作成されたPIAガイドラインの例です。

1. PIA計画
対象システムがPIA実施を必要とするかどうかの判断（予備PIA）
新規システムか既存システムの変更かを明確にし、PIA実施範囲を特定
対象システムの概要、目的、経営目標、ライフサイクルなどの情報収集
必要な専門知識の特定および中立的評価の関与度合いの決定
プライバシー・フレームワークの特定
PIA結果をシステムに関する意思決定に反映することへの合意
2. 評価
システムで使用される個人情報のビジネスプロセスとデータフロー分析
プライバシーポリシー遵守に関するギャップ分析
インフラストラクチャおよびセキュリティプログラムの影響度分析
3. PIA報告
対象システムの概要とPIA実施範囲
PIA実施に必要な専門知識と独立第三者機関の位置づけ
PIA報告書に基づく意思決定プロセス
対象システムに係るプライバシーポリシー、関連法令、規則、標準等
対象システムのプライバシーリスクおよびその他のリスク
リスクを緩和する代替策
PIA結果と提案事項に責任を持つ経営幹部の識別

PIAの実施体制

ISO22307では、独立した公共的な見地の必要性を挙げています。PIAの実施体制は各国によって異なりますが、中立的な評価を行う第三者機関が設置されています。

カナダ、オーストラリア、ニュージーランドでは、プライバシーコミッショナーがPIAの実施に関するアドバイスや報告書の受領などを行っています。米国では、組織内にCPO（Chief Privacy Officer）職を設置する動きが広がっています。

各国の実施状況

カナダ

PIAに関する法令は存在しませんが、行政機関では予算承認プロセスにPIAが組み込まれています。PIAは、システムを構築・改修する組織や機関によって行われ、連邦政府や州のプライバシーコミッショナーが第三者機関として助言を行います。

オーストラリア

PIAはガイドラインで推奨されており、行政機関と民間企業の双方に対して実施が推奨されています。プライバシーコミッショナー制度が導入されており、プライバシーコミッショナーがガイドライン策定と発行を行っています。

米国

行政機関のシステムについては、電子政府法によってPIA実施が義務付けられています。PIAは該当機関が実施し、結果をPIA報告書にまとめます。国土安全保障省では、CPOの設置が義務付けられています。

US-VISIT（出入国管理システム）が、PIA実施の代表例です。

日本の現状と課題

日本におけるPIAの現状

日本では、PIAの試行はありますが、正式な実施例はありません。総務省研究会がPIAの調査を最初に行い、チンダルレポートを発行しています。

日本でのPIA実施の課題

日本では、PIAを実施するためのハンドブックとガイドラインの整備、PIAの結果を中立的・専門的に評価する組織の設置が必要です。行政が構築するシステムに対しては、条例などでPIA実施を義務付ける必要があるでしょう。

PIAと関連制度

PIAは、個人情報の保護に関連する制度であるプライバシーマーク制度やISMS（情報セキュリティマネジメントシステム）適合性評価制度、個人情報保護法制と関連があります。PIAはシステム開発前に行う評価であるのに対し、これらの制度はシステム運用体制や法律を評価する点が異なります。PIAと他の制度を組み合わせることで、より効果的なプライバシー保護策を実施できます。

まとめ

PIAは、情報システムの開発段階でプライバシーリスクを事前に評価し、適切な対策を講じるための重要なプロセスです。ISO22307に基づいたPIAを実施することで、個人情報保護と公共の利益を両立させ、より安全で信頼性の高いシステム構築を目指すことができます。

参考資料

瀬戸洋一：『実践的プライバシーリスク評価技法: プライバシーバイデザインと個人情報影響評価』
瀬戸 洋一他：『プライバシー影響評価PIAと個人情報保護』
堀部 政男 他：『プライバシー・個人情報保護の新課題』
瀬戸 洋一他：「プライバシー影響評価ガイドラインの開発」
大類 優子、瀬戸 洋一：「プライバシー影響評価　ISO22307　の要求事項の分析」
石井 夏生利：『個人情報保護法の理念と現代的課題 プライバシー権の歴史と国際的視点』
中山 信弘：　『国際社会とソフトローの基礎理論』
* Peter Hope-Tindall：「電子政府・電子自治体のためのプライバシー影響評価」

もう一度検索