PIA(Privacy Impact Assessment)といえば、個人情報を十分に保護しながら適切に取り扱うために各国でも推奨される仕組みですが、日本版PIAたる「特定個人情報保護評価」が難解であるというご指摘・ご批判を各方面より頂いてまいりました。
そこで、「わかりやすいPIAを!」と思いまして、水町版新PIA評価書を作成いたしました。新しい評価書で、民間企業と自治体でPIAを実施していただきましたので、今日はそのご報告です。
民間企業はこちらの9〜32ページ。
自治体はこちらです。
特定個人情報保護評価との対照関係はこちらをご覧ください。
新PIAの主眼は以下です。
個人(消費者・住民・ユーザ・本人)から見たメリット
- どのようなサービスで自分の個人情報が取り扱われるのかがわかる
- どういう効果を狙ったものかがわかる
- どういうリスクがあり得、それに対して事前に十分な対策を講じているかがわかる
- 効果とリスク対策を総合的に踏まえて、個人情報の取扱い全体像を評価することができる
実施側(民間企業、公的機関)から見たメリット
PIAはマイナンバーのみに実施すべきものではなく、本来は個人情報全般に対して実施するべきものです。
また公的機関だけが実施すべきものでもありません。
民間企業の個人情報を取り扱う新サービスなどにも大変有用でありますが、いかんせん、実例がないとイメージがわきにくいというご意見を多数いただきましたので、あるサービスにて新PIAを実施いたしました。
また、自治体ではマイナンバーに対してPIAを実施してきていますが、今般、マイナンバーではなく個人情報を取り扱うシステム・事業に対し、新PIAを実施いたしました。
この自治体新PIAは、総務省「地方公共団体におけるデータ利活用ガイドブックVer.1.0」にも掲載されています(別添資料2(150ページ〜165ページ))。ガイドブックについてのご報告はまた別途ブログでさせていただきますが、総務省が「地域におけるビッグデータ利活用の推進に関する実証」(2017年度実施)を通じて得られた成果をもとに、地方公共団体におけるデータ活用に当たっての手順を取りまとめたものになります。PIAの実施はデータ利活用とプライバシー権保護を両立させる重要なスキームとして、ガイドブックに掲載していただきました。
総務省実証事業の有識者会議でも発表させていただきましたところ、大変ありがたいことにさまざまなコメントを頂戴いたしました。評価書中にも記載していますが、ブログでもご紹介させていただきます。
- どのようなリスクやプライバシーインパクトがあるのかを炙り出し、当該リスク・インパクトと比較する総合判断を行う仕組みである。法律を積極的に解釈してデータを利用する際に個人情報リスク評価PIA++を実施すると有意義だろう。目的外利用の際の相当の理由などの判断も、個人情報リスク評価PIA++を通してできるのではないか。
- 住民のみならず、議会、個人情報保護審議会、自治体内部の他部署・上席などに説明するための資料としても有意義である。個人情報リスク評価PIA++を実施することがデータ利活用としてより良い取組であり、ぜひ他の地方公共団体にも展開してほしい。特に踏み込んだデータ利活用をする際に個人情報リスク評価PIA++を実施すると良いだろう。
- 行政透明化、行政ミスの防止、住民福祉の向上になるなど、個人情報リスク評価PIA++の効果は大きい。
- 行政に広範な裁量がある部分を積極的に住民に公開していくことで、行政裁量が狭まり、より良い行政・透明で開かれた行政の実現につながると考える。
- 個人情報リスク評価PIA++は第三者がお墨付きを与えるものではなく、リスクがゼロになるものでもない。リスクの度合いと効果の重要性、リスクに対して適切な対策が講じられているか等を測っているものである点を十分に強調した方が良い。個人情報リスク評価PIA++は、「リスクが少しでも残っていたらやめましょう」ではなく「リスクがあっても効果が高い、対策が適切に講じられている」などの点を評価するものであり、リスクがゼロではないとことを説明していくべきである。
今後とも、「わかりやすいPIA」「意義のあるPIA」「官民とユーザに意味のあるPIA」を目指して活動していく予定です。
ご興味がある方がいらっしゃいましたら、ぜひシェア・情報共有・水町までのご連絡をお願いいたします。
