プライバシーガバナンスとはなにか(4) プライバシー影響評価(PIA/DPIA)の仕組み化

プライバシーガバナンスの主要6施策

施策（1）第三者視点の取り入れ（有識者・学術関係者・コンサルタント）

施策（2）方針策定（プライバシーガバナンスに関わる姿勢の明文化）

施策（3）体制の構築

施策（4）プライバシー影響評価（PIA/DPIA）の仕組み化　←今回の内容

施策（5）教育・啓発

施策（6）ステークホルダーへの透明性・選択機会の提供

プライバシーバイデザインの理念に沿った、商品やサービスの企画・設計からリリースまでの各段階で、プライバシーに配慮した検討を確実に実施できる体制を導入することが重要です（図表7-9）。プライバシー影響評価（PIA：Privacy Impact Assessment）は、個人データに関するリスクを分析し、評価し、対策を検討するための一般的な手法です。PIAは、ISO/IEC 29134:2017に規定されている「PIAの実施プロセスおよび報告書の構成と内容」のガイドラインを参考に、自社の事業内容や業務プロセスに合わせて設計することができます。

ただし、プライバシーリスク監査を一律に導入すると、事業のスピードを阻害する可能性があるため、個人データの利用案件をパターン化し、監査対象となる案件と対象外となる案件の基準を明確に定めることが求められます。

さらに、一定期間運用した結果を基に、チェック項目や審査項目をテンプレート化し、審査結果を「判例」として公開することで、相談者が検討時に考慮すべきポイントを明確にすることが理想的です。

また、既存のセキュリティーチェックなど、他のリスクを評価する体制や運用フローに準拠することが効率的な場合もあります。

さらに、商品やサービスの企画・設計段階で法令では十分にカバーできないプライバシーの観点を包含するため、「倫理的視点」や「社会的視点」を監査項目として追加する方法も有効です。

出典：外部送信規律スピード対応マニュアル（山下大介著・日経BP）

◆ 関連記事
プライバシーガバナンスとはなにか(1)第三者視点の取り入れ
プライバシーガバナンスとはなにか(2)方針策定
プライバシーガバナンスとはなにか(3)体制の構築
プライバシーガバナンスとはなにか(4) プライバシー影響評価(PIA/DPIA)の仕組み化←この記事
プライバシーガバナンスとはなにか(5) 教育･啓発

===

＜＜前へ：プライバシーガバナンスとはなにか(3)体制の構築

＞＞次へ：プライバシーガバナンスとはなにか(5) 教育･啓発

===