ITをめぐる法律問題について考える このページをアンテナに追加 RSSフィード

2015-02-05

特定個人情報保護評価(PIA、プライバシー影響評価)とは何か

1.特定個人情報保護評価(PIA、プライバシー影響評価)とは


 マイナンバー制度導入に伴い「特定個人情報保護評価」制度が新設されました。

 これは日本版プライバシー影響評価で、個人情報を使う前に、そのことがプライバシーに対してどんな影響を与える恐れが考えられるのか、その恐れを予防・軽減するためにどんな対策をとるのかを検討するためのしくみです。

 当初は「プライバシー影響評価」という名前でしたが、法律にカタカナを使うのは大変であるということや、法律中で「プライバシー」という言葉を使うのは大変であることから、違う名称にしようということになり、「情報保護評価」となりました。

しかし法案審査の過程で、「情報」全般の評価ではなくて、マイナンバーの評価なんだから、「特定個人情報」保護評価、としなさいと内閣法制局より指摘があり、「特定個人情報保護評価」という長い名前になりました。

 元々は、情報保護評価という略称だったのですが、それが浸透しなかったのかよくわかりませんが、別の略称を使う方なども出てきて、呼び名が混乱しています。

 そして、「プライバシー影響評価」として検討してきたときに、英語だと「Privacy Impact Assessment」と呼ばれており、頭文字をとって「PIA(ぴー・あい・えー)」と呼ばれて親しまれていることから、日本でも、内閣官房その他の関係者は、みんな「PIA」とこの制度を読んでいました。

 ということで、いまだに「特定個人情報保護評価」という名称や、「情報保護評価」という略称よりも、「PIA」と呼ばれることが多い制度ですが、システム監査セキュリティ評価と混同される向きや、何をやるものかわかりづらいというお声を伺うことがあります。

 そこで、特定個人情報保護評価について簡単に説明したパワーポイントを作りましたので、よかったらご覧いただければ幸いです。

ちなみにこれは、2015年1月24日に情報公開クリアリングハウスさん主催の講演で講演した際に使用した資料です。

 この評価が一体何かということを一言で言うと、「マイナンバーをどう使って、どうやって適切に扱っていくかを考え、それを公表していくもの」となるかと思います。

で、マイナンバーを取り扱ってからじゃなくて、取り扱う前に考えてね、ということで、取扱いの「前」に行うこととされています。

「前」であっても、それを組織の名前として公表したからには、ちゃんとその通りに取り扱ってね、とされています。


2.プライバシーリスクを評価するものであってセキュリティ評価や漏えい対策評価とは異なる


 またこの評価で評価するのは、セキュリティへの影響ではなく、プライバシーへの影響(プライバシー・インパクト)です。

 最近、個人情報というと「漏えい」という話にすぐつながりますが、「漏えい」しなくてもプライバシーへ重大な影響を与えることがあります。セキュリティとは関係ないプライバシーへの影響というのもたくさんあります。

 たとえば、「漏えい」は外部に出て行ってしまうことと考えられますが、外部に出ていかなくても、その情報にアクセスできる権限のある公務員の人がその情報を悪用する場合(情報を悪用してストーキングするとか)は、プライバシー権に深刻な影響を与えるものと考えられます。

 あとは個人情報を利用する前に利用目的を特定しましょうということが法律で決められていますが、別にセキュリティ観点からは個人情報の利用目的が特定されていなくても、あまり大きな問題にはならないかと思います(利用目的は権限管理の話につながる気もちょっとしますが…)。しかしプライバシーを考えると、自分の個人情報をどう使っていくのかをちゃんと事前に明らかにしてね、というのは大きな話です。

 このように、プライバシーの問題は、漏えいに限定されないし、セキュリティと同一の問題でもありません。

 この「情報保護評価」は漏えい対策の評価でもセキュリティ対策の評価でもなく、「プライバシー」へのリスクを評価して、そのリスク対策をどうしていくか検討し、公表していくものになります。



3.マイナンバーに限った話ではない個人情報全般に対する評価


 情報保護評価は番号法に基づいて新設された制度ですので、法律上はマイナンバー情報(正確には特定個人情報ファイルを取り扱う事務、特定個人情報ファイルの保有者)に対して、評価を行うことが義務付けられていますが、そもそも海外のプライバシー影響評価を日本に導入した制度ですので、マイナンバーに限った制度ではありません。

 個人情報に対して昨今では「漏えいしたらどうしよう」という不安が、個人情報を提供する個人にも、個人情報を利用する事業者にも、双方にあるように思いますが、本来は「漏えい」のみに着目するのではなく、個人情報を預かる以上、プライバシーに配慮して安全に取り扱いますよ、ということを示すべきように考えます。

 そのための手法として、このプライバシー影響評価たる情報保護評価は、非常に有用です。

少し評価書をいじれば、マイナンバーに限られない個人情報全般に通用する評価ですし、そもそも国際的にも通用する評価です。

 ぜひぜひ番号法で評価の実施を義務付けられている機関以外にも、どんどん利用していただきたいです。



4.お気軽にご相談ください


 私はこの評価が大好きで、3年ぐらい頑張って評価書を作成したり、各省調整をしたり、大切に大切に思っています。すごく大変だったこともありましたが、少しでも良い評価制度となるようにと強く思って願っています。海外の制度をそのまま日本にただ持ってきたものでもなく、海外の既にある制度をさらによりよい形で日本に導入できるよう、頑張ってきたつもりです。

 ですので、どんどんどんどん皆様にご活用いただけるとうれしいです。

 評価のしくみがわからない、評価書を読んでみたい、評価書を作ってみたい、評価書を作ってみたがこれでいいのかわからない、第三者点検をしてほしいなど、ご相談があれば、ぜひぜひお気軽に、osg#miyauchi-law.com(#は@に置き換えてください)までご連絡ください。

投稿したコメントは管理者が承認するまで公開されません。

スパム対策のためのダミーです。もし見えても何も入力しないでください
ゲスト


画像認証

トラックバック - http://d.hatena.ne.jp/cyberlawissues/20150205/1423112390