プライバシーリスクを回避しながらDXを推進 参考になる国際規格まとめ：事例も紹介

[平岩久人，ITmedia]

　企業や組織がプライバシーリスクを適切に管理し、パーソナルデータを活用してDX（デジタルトランスフォーメーション）を進めるためには、どのような体制や取り組みが求められるのか。

　多くの企業や組織では、従来の情報セキュリティや個人情報保護法などへのコンプライアンスを主管する部門が中心となり、情報システム部門などと連携し、新たなプライバシーリスクにも対処しているのではないだろうか。

写真はイメージ（提供：ゲッティイメージズ）

　このような管理体制を整備するためには、関係者間の利害や立場の違いを越え、適切にプライバシーリスクを管理した上で、データを活用することが必要になる。参考になると思われる国際規格やフレームワーク、その事例を紹介する。

ISO/IEC 29100:2011（JIS X 9250:2017）プライバシーフレームワーク

　この規格は情報通信技術（ICT）システムにおける個人識別可能情報（PII：Personally Identifiable Information）の保護のためのフレームワークだ。企業や組織がICT環境におけるPIIに関連するプライバシー安全対策要件を定義するための一助となることを目的として、プライバシー安全対策要件の説明などを提供している。

　また、2019年8月に発行された「ISO/IEC27701:2019 Security techniques - Extension to ISO /IEC 27001 and ISO/IEC27002 for privacy information management - Requirements and guidelines」も本規格と整合して策定されている。既存のISMS（情報セキュリティマネジメントシステム）に基づいてプライバシー情報マネジメントを確立したい企業や組織は、併せて理解と活用に取り組むといいだろう。

ISO/IEC29134:2017（JIS X 9251:2021）プライバシー影響評価（PIA：Privacy Impact Assessment）

　プライバシー・バイ・デザインの考え方に基づき、製品やサービスの企画・設計段階でプライバシーへの影響を事前に分析・評価するリスク管理手法として、プライバシー影響評価が知られている。本規格は、プライバシー影響評価の実施プロセスと、その報告書の構成と内容についてのガイドラインを提供している。

　製品やサービスの企画・設計段階でプライバシー影響評価を実施することで、プライバシーリスクを適切に管理することはもちろん、その実施や結果をステークホルダーに対して積極的に開示し、説明と対話を行うことで信頼を得るコミュニケーションツールとして用いることも考えられる。

NIST（National Institute of Standards and Technology：「米国国立標準技術研究所」）プライバシーフレームワークVersion 1.0

　NISTが20年1月に公開したこのフレームワーク（NIST PF）は、プライバシー保護のために企業や組織が順守すべきベースラインとして、次の3つを目的に策定されている。

• 1.製品やサービスなどの設計や開発において、プライバシー保護の合理的な説明責任を果たすこと
• 2.プライバシー保護活動の情報発信やコミュニケーションをしやすくすること
• 3.評価結果を基に経営層、法務部門、IT部門などの間で、部門横断的なコラボレーションを実現できること

　重要インフラに限らず、多くの企業や組織でサイバーセキュリティ対策の指針として参照されている「NIST Cyber Security Framework」（NIST CSF：重要インフラのサイバーセキュリティ対策を改善するためのフレームワーク）と構成などの共通点も多い。NIST CSFに基づきサイバーセキュリティ対策を実施している企業や組織は、NIST PFを併用することで、サイバーセキュリティリスクとプライバシーリスクの双方を効果的に評価・管理できるだろう。

プライバシーに関連する主な国際規格（例）

　次にこれらのフレームワークのうち、プライバシー影響評価を既存のリスク管理体制に組み込みながら、プライバシーリスク管理体制を整備した例を見てみよう。なお、プライバシー保護責任者、保護組織を含むプライバシーガバナンスについては、経済産業省と総務省が21年7月に公開した「DX時代における企業のプライバシーガバナンスガイドブックver1.1」を参照されたい。

プライバシーリスク管理体制（例）

プライバシー保護組織の設置

　プライバシー保護組織には、プライバシー問題にかかわる国内外の動向や関連法令などの調査、従業員に対する教育・啓発活動、プライバシー管理にかかわるルールの策定とモニタリング、社内外のステークホルダーとのコミュニケーションなど多くの役割が期待される。その一方、これら全てに精通した人材は限られていることが多いため、法務やリスク管理などの関連諸部門と連携する体制とする例が見られる。

既存のリスク管理体制の活用

　新たなサービスやプロダクトを企画・設計する際に行われている承認プロセスやコンプライアンスにかかわる審議プロセスなど、既存のリスク管理体制・プロセスを活用する例が見られる。例えば、既存プロセスの確認項目にパーソナルデータの活用の有無を含め、必要に応じて個人情報保護法における利用目的などに照らし、法令順守の観点から確認する。加えて、プライバシー保護の観点からもプライバシー保護組織とその関連諸部門が確認するプロセスを新たに追加している例がある。

プライバシー影響評価実施のためのサポート体制

　パーソナルデータの活用を伴う新たなサービスやプロダクトを企画・設計する際には、プライバシー影響評価の実施を求められることがある。プライバシー影響評価はパーソナルデータを活用する業務執行部門が実施するが、その実施にかかわるルールやマニュアル、チェックリストなどは、プライバシー保護組織が作成し提供している例が見られる。

　また、プライバシーを侵害するリスクが高いと思われるケースや判断が難しいケースについては、プライバシー影響評価の過程でプライバシー保護組織に意見招請するプロセスを設け、関連諸部門を含めた多様な視点から慎重にプライバシーリスクを特定・評価する例も見られる。

　プライバシーリスク管理体制を検討するに際しては、プライバシー保護にかかわる国際規格やフレームワークを参照することが有用だ。その一方、国際規格やフレームワークをそのまま導入するだけではプライバシーリスク管理体制は万全というものではない。当然だが、自社の既存のリスク管理体制との整合を図る必要がある。

　さらに、上述のプライバシーガバナンスガイドブックでも「プライバシーに関する個人の受け止め方や社会的受容性は時間の経過やコンテクストなどによって変化し得るもの」と指摘されている通り、消費者などのデータ主体を含むステークホルダーに対して自社のプライバシー保護に関する取り組みを積極的に開示・説明し、変化する事業環境に応じて改善し続けることが重要である。

著者紹介：平岩久人　PwCあらた有限責任監査法人 パートナー

個人情報を取り扱う外部委託先や情報システムに対する情報セキュリティ監査、サイバーセキュリティ管理態勢の評価・構築支援、ITガバナンスやシステムリスク管理態勢の評価、高度化支援などのアドバイザリー業務に幅広く従事。近年は、データの利活用を伴う新規ビジネスの立ち上げやDXにかかわるデータガバナンス、プライバシーガバナンスの構築・強化を支援。経産省・総務省が設置した「企業のプライバシーガバナンスモデル検討会」委員（令和元年度〜令和二年度）