プライバシー影響評価（PIA）構築支援

デジタル社会の進展により、パーソナルデータを含むさまざまなデータの利活用が進んでおり、その手法や用途は、AIの導入をはじめ複雑化・多様化の一途をたどっています。これにより個人への権利侵害・違法行為・不適正事案が生じた際の対応コストが増大しており、場合によってはシステム・サービス停止に追い込まれるケースも見受けられます。

企業がプライバシーリスクに適切に対応するためには、いまや法令を遵守しているだけでは十分ではなく、プライバシーの問題を経営課題として捉え、組織全体で取り組む態勢を構築しなければなりません。そのためには、問題発生後の対症療法とならないよう、データ利活用の企画・設計段階からプライバシーへの影響を評価し、予防策を事前に組み込んでおくことが重要です。

その手段の1つに、プライバシー影響評価（PIA）があります。日本においても、PIAについての国際的なガイドラインであるISO/IEC 29134:2017に基づくJIS規格（JIS X 9251:2021）が2021年1月に制定されており、2021年6月に個人情報保護委員会が「PIAの取組の促進について-PIAの意義と実施手順に沿った留意点-」を公表するなど、PIAへの注目が高まっています。

プライバシー影響評価（PIA）の意義

これらのリスクを早期に発見し、是正するための取り組みがPIAです。PIAを実施する意義として、次の4点が挙げられます。

1. プライバシーリスクの洗い出しと必要十分な対策の検討

システム・サービスにおける情報の流れを可視化した上でプライバシーリスクを洗い出し、リスクへの対策を検討することにより、リスクを網羅的に識別することができ、リスクの全体像を踏まえたバランスの良い対策を検討できます。

2. トータルコストの削減

プライバシーの問題がシステム・サービスのリリース後に発覚すると、多額の改修費用が必要となり、場合によっては事業の中止に追い込まれることがあります。プライバシーリスクを事前に検知、対応することで、結果としてプロジェクトのトータルコストを削減できます。

3. ステークホルダーからの信頼の獲得

PIAの実施を通じてステークホルダーと対話することで、多様な視点からプライバシーリスクを検討することができます。PIAの結果を公表するということは、消費者をはじめとするステークホルダーへの説明責任を果たすことを意味するため、社会的な信頼を得ることにつながります。

4. 企業のパーソナルデータの取扱いに関するガバナンスの向上

事業に取り組む従業員がPIAに携わることにより、パーソナルデータの取扱いについての学習効果も期待できます。さらに、企業の各部署（コンプライアンス部署、IT部署など）が連携し、経営陣が関与することで、企業としてのガバナンス向上につながります。

PwCのサービス

PwCは、パーソナルデータを利用した新しいシステム・サービスの創出を目指す企業に対して、プライバシーリスクを早期に発見および是正できる仕組みであるPIAの構築・実装を支援します（図2参照）。

支援にあたっては、最新の各種ガイドライン（ISO 22307:2008、ISO/IEC 29134:2017、JIS X 9251:2021など）をベースに、PwC Japan有限責任監査法人（以下、PwC）がこれまでのデータ利活用支援業務や監査業務を通じて培ったリスク管理やガバナンスの知見を活用します。また、PwCが独自に作成したツールを使用してPIAを実施します。これらの知見およびツールを基に、担当者間の密なディスカッションを通じて、クライアントが自力でPIAを実施できる態勢を構築し、実際に機能させるまでサポートします。