100%

自治体においてプライバシー影響評価の活用が始まる

瀬戸洋一(東京都立産業技術大学院大学名誉教授、サイアカ講師)

 

プライバシー影響評価とは

1990年代、コンピュータで個人情報が保管、利用されるようになり、情報提供者に安全性を説明するため、欧米、特に英連邦王国でプライバシー影響評価(Privacy Impact Assessment 以下PIA)が実施されました。PIAとは、「情報の収集を伴う新たな情報システムの導入にあたり、プライバシー情報や個人情報への影響度を“事前”に評価し、リスクの回避または緩和のための法制度・運用・技術的な変更を促すプロセス」であり、当該プロセスを実施することにより、個人情報等(個人を識別可能な情報)に係る問題が顕在化する前に必要な対応を行うことができ、コスト面でのメリット、法令遵守、利害関係者への透明性の確保などが可能となります。

2018年、EU(欧州連合)では一般データ保護規則(通称GDPR)でデータ保護影響評価の実施が義務づけられました。

 

プライバシー影響評価の規格に関する国内外の動向

2008年にISO22307(金融サービスにおけるプラ一バシー影響評価)、2017年にはISO/IEC29134(プライバシー影響評価のためのガイドライン、日本産業規格JISX9251として2021年発行)などの国際標準規格が発行されました。情報マネジメント規格であるISO/IEC27002のプライバシーに関する追加手引きとして、2019年にISO/IEC27701が発行されました。個人情報に関し、PIAの必要性を評価し、必要な場合は実施することが望ましいと記載されました。

 

ISO 22307

ISO/IEC 29134

ISO/IEC27701

発行年

2008年

2017年

2019年

スコープ

現時点での法令順守、および将来の法律の非遵守を避けるための内部統制を構築する。情報システムの初期にプライバシー保護の検討し、ライフサイクル全般を保証する。

手順と報告書の構成の提示。行政から民間組織を対象、個人識別可能情報を処理するサービス、システムを対象とする。

ISO/IEC 27001およびISO/IEC 270021のアドオン(拡張)規格として位置づけられており、 情報セキュリティマネジメントシステムの要求事項に加え、個人情報の処理によって影響を受けかねないプライバシーを保護するための要求事項とガイドラインが規定されています。

 一方日本では、国際標準規格が発行されても、試行評価以外、実施されていません。2015年に番号法が施行され、マイナンバーと関連する個人情報(特定個人情報という)に関する事務を開始する前に特定個人情報保護評価の実施が、行政機関、自治体で義務づけられました。国の資料では“特定個人情報(PIA)”という記載もありますが、特定個人情報保護評価は国際標準規格には準拠していないのでPIAと記載するのは間違いです。

 2019年頃から、民間企業を対象にPIAの実施を推奨する国の文書がいくつか発行されましたが(1)、法的な推奨、および、評価に必要なガイドラインやマニュアルが発行されていないため、公的機関や民間企業での実施は報告されていません。

 

2022年11月に政府支援で石川県加賀市教育委員会がプライバシー影響評価報告書を公表

 デジタル庁のDX事業「こどもに関する各種データの連携による支援実証事業」(地方公共団体におけるデータ連携の実証に関わる調査研究)として、2022年11月、石川県加賀市教育委員会がプライバシー影響評価報告書を公開しました(2)

加賀市のサイトから(https://www.city.kaga.ishikawa.jp/soshiki/seisaku_senryaku/seisaku_suishin/14/8/6077.html)

児童・生徒の家庭の貧困さ、虐待などの課題に対応するためには、教育機関で所有する情報だけでは不十分であり、自治体などで保有する情報(経済状況、家庭状況)との連携が重要でありますが、現状では異なる組織間での情報利用は難しく、共有利用するシステム運用に対し、事前評価するものです。

公的機関が先行し実施することで、マニュアルや体制、および実施ノウハウが蓄積されます。これにより、民間企業での実施コストが削減できます。公的機関および民間企業で、個人情報の利活用が行われることで、消費者や住民サービスの向上に貢献できます。このためには、個人情報の利用の透明性を測り、市民や消費者の理解を得ることが重要であり、PIAはこのための有効なツールです。

加賀市教育委員会のPIAの事例では、情報を提供する生徒と保護者が個人情報の共有利用について理解を得ることを目的とし、JISX9251ガイドラインを参考にしていますが、このガイドラインは、実施するための手順が記載されていないため、加賀市教育委員会は、海外の事例を参考に実施しています。日本でも、研究ベースでありますが、ガイドラインやマニュアル、および多くの施行事例が書籍などで公開されていますが、これらを参照されないことは残念なことです。

 

最後に

今後、社会のあらゆる組織で、DX(デジタルトランスフォーメンション)の推進が急務となり、組織横断的に情報の利活用が進みます。この時、データ収集、利活用の妥当性やシステムの安全性を市民(消費者)に説明する手段としてPIAの実施が必要になってくるとおもわれます。

(株)サイバープロテックが提供するサイバーセキュリティアカデミー(サイアカ)のeラーニングコースにおける「プライバシー影響評価の基礎コース、実践コース」は、PIAの実施の上で必要な基礎及び実践的な知識を学べます。

サイアカのプライバシー影響評価の基礎および実践コースの詳細については、以下をご覧ください。

プライバシー影響評価の基礎コース | 株式会社サイバープロテックのサイバーセキュリティアカデミー(サイアカ) (cyberprotec.jp)

プライバシー影響評価の実践コース | 株式会社サイバープロテックのサイバーセキュリティアカデミー(サイアカ) (cyberprotec.jp)

 

参考サイト 

(1)例えば、個人情報保護委員会 “個人情報保護法、いわゆる3年ごと見直し制度改正大綱” 2019  https://www.ppc.go.jp/files/pdf/200110_seidokaiseitaiko.pdf

(2)プライバシー影響評価 報告書 加賀市教育委員会、2022.11 

https://www.city.kaga.ishikawa.jp/material/files/group/101/houkokusho02.pdf