田中一郎(たなか・いちろう) NTTデータ技術開発本部システム科学研究所 主任研究員1993年、株式会社NTTデータ入社。システムエンジニアとして多くのシステム開発に関わった後、2000年より英国支店に勤務。欧州の電子政府、モバイル、決済サービス等のリサーチ業務に従事。2004年より現職。情報セキュリティ及びプライバシー保護に関する調査研究・政策提言に従事。メールアドレスはtanakaic@nttdata.co.jp |
「どうやって個人情報を保護するか」。昨年の個人情報保護法の全面施行と、連日報じられる情報漏洩事故に、個人情報を抱える多くの組織が頭を悩ませている。一方で、法的には問題がない個人情報の開示が拒否される等、個人情報保護法への過剰反応も伝えられている。
個人情報の取り扱いにおいて、「集めようとしているその情報は本当に必要なのか」「それに伴うリスクは、達成したい目的や効果と比して妥当なものか」といった事を、これまで以上に真剣に考えるべき時が来ているのではないだろうか。
こうした点について、カナダやオーストラリア等で環境影響評価の考え方をもとに発展してきたのが、「プライバシー影響評価」である。個人情報の利用によるプライバシーへの将来的な影響を予測し、潜在リスクを回避・緩和する事前対策を促そうとする考え方であり、行政機関でも実施されている。
我々にとっても「プライバシー影響評価」の手法は大いに参考となるはずだ。
プライバシー影響評価は、「個人情報の利用を伴う新たな情報システムの導入にあたり、プライバシーへの影響度を事前に予測し、その回避・緩和のための制度・運用・技術的な変更を促す」ための一連のプロセスである。
表に主な海外の行政機関における導入状況を挙げた。法的要請となっている国もある一方で、自主的な実施を推奨する国もある。
中でも、カナダのオンタリオ州やアルバータ州は、国家レベルでの義務化に先行しプライバシー影響評価を積極的に活用しており、特に医療情報の保護を規定する法律の実効性確保に貢献している。
| ■表 プライバシー影響評価の主な普及状況 | |||||||||
|
プライバシー影響評価の特徴は、新たなシステム導入や大幅な変更の計画を対象に、それらが稼動する前の段階での対策検討を推奨する点である。重大な法令違反や、プライバシー上の懸念事項が顕在化した場合、それがシステム構築後の段階になってしまうと、対策は対症療法的で非効率となり、時間・コスト的な負担も大きくなる。時には計画自体が中止に追い込まれ、大規模な投資が無駄になるかもしれない。
カナダでは、2000年5月に人材開発省HRDCが長期労働力ファイルというカナダ国民に関する巨大データベースを構築していた事実が明らかとなり、世論や監視機関の猛烈な批判により、廃止に追い込まれた出来事があった。カナダでプライバシー影響評価が浸透している背景には、こういった教訓がある。財政的な損害だけでなく、政府は、労働および福祉政策の策定する上での貴重な情報を失ってしまったのだ。
主に公的領域でプライバシー影響評価が推奨される要因はもう一つある。個人情報の提供・利用において、いわば個別の交渉次第、イヤなら他の選択肢がある民間領域と異なり、行政機関との間では、法的根拠に基づき基本的には交渉の余地なく、個人情報の提供が求められる。個人情報の信託を受ける立場として、国民プライバシーを尊重する姿勢を積極的に示し、信頼を醸成せねばならない。プライバシー影響評価を実施・公表する事が、こうした側面にも寄与している。
■「プライバシー影響評価」のスコープ
~個人情報保護と情報セキュリティの関係~
個人情報の漏洩や不適切な扱いによるプライバシーへの懸念は従来からあるが、一般的には世間の関心はそれほど高くなかった(「漏洩や不適切な扱いの発生について公表しなくてもよい」という風潮もなきにしもあらずだった)そういった前提の元、個人情報は収集されてきた。
そこに、大量の個人情報の漏洩や濫用事件や法施行による取り扱いルールの強化という出来事がおこり、個人情報を保持するリスクが一気に増大した。その結果、多くの組織では、既に保有している個人情報への情報セキュリティ対策の強化が喫緊の課題となった。
理想的には、個人情報の利用を伴う業務やサービスを考える場合には、その企画段階から、法的な要件、想定されうる批判やリスク、自組織の対応能力等を考慮して、収集する情報を最小限にし、誤乱用の抑止策を業務プロセスや情報システムに組み込み、必要な情報セキュリティ対策を施し、さらには不測事態への方策を用意しておく事が、最も望ましく効率的である。
下図は、そうした考え方を表したものである。既に個人情報を利用する業務が存在する場合、安全管理部分の対策強化が図られる。そして、その役割を主に担うのは、システム部門や情報セキュリティ部門だろう。しかし、本来こうした取り組みは、最高責任者の認識のもと、企画部門、業務スタッフ、法務部門等が協力して行ってゆくべきものである。
| ■図 理想的な個人情報保護への対応 |
 |
| 筆者作成 |
プライバシー影響評価を活用する国々では、個人情報保護は主にコンプライアンス(法務)部門の責務であり、その中でシステム部門や情報セキュリティ部門が協力して対策を講じるという連携が行われている。いまや個人情報保護と情報セキュリティは切り離して考える事はできないが、少なくとも個人情報保護への対応は、情報セキュリティの上位概念として捉えるべきものである。
■評価したプライバシー影響をどう判断するか
通常のプライバシー影響評価の実施ガイドラインには、プライバシー分析に用いる一連の質問リストが添付される。対策実施状況を確認する○×チェックリストとは異なり、想定すべきリスクやその回避・緩和策に関する観点が示されている。
多くのプライバシー影響評価の実施ガイドラインには、プライバシー分析に用いる一連の質問リストが添付される。必ずしもすべてに「YES」と答えられる対応を求める類いのものではなく、例えば、同意の取得方法に対して予測される利用者の反応や、データマッチングを助長しうる一意な識別番号の使用有無など、プライバシーに関する反応を予測する上での様々な観点を示してくれる。
それらへの対応判断は、個別状況に応じたリスク管理に他ならない。最終的には、達成すべき目的がもたらす便益、それに伴うリスク、回避・軽減策の効率とコストとバランスを総合的に勘案した判断が必要となる。多くの人のプライバシーに大きな影響を及ぼしうる場合の判断責任を、意思決定者一人に負わせる事は酷な面もある。海外での事例を見ていると、プライバシー影響評価の結果を広く公表し、分析結果を共通認識として利害関係者との対話を重ねる事で、その判断の正統性を確保しようとしている。そこまでやって本当のプライバシー影響評価である事を踏まえ、わが国での普及の形を探らねばならないだろう。
