個人情報影響評価(PIA:Personal information Impact Assessment)は,個人情報の収集を伴う情報システムの導入,改修の際に,個人情報漏洩問題の回避あるいは低減を目的として個人情報に関するリスクを「事前」に評価するリスク管理手法である.海外ではPIAの実施例は多いが,その有効性を客観的に評価した事例はない.日本で普及させるには,有効性の検証が必要である.評価対象システムの個人情報に関するリスクを構築前に可視化することができるか,システムを適正に構築運用するためにPIA実施依頼組織の個人情報保護意識を向上させることができるかという観点からPIAの評価を行った.個人情報保護意識が約10%改善するなど,有効性があるという結果を得た.
1.はじめに
情報化社会において,個人情報は電子化され,消費者が個人の興味・嗜好にあったサービスを享受することができるなどの利便性をもたらす一方,公共機関や企業などに個人情報が大量に蓄積されるようになった.一度漏洩した個人情報を完全に回収することは困難である.したがって,個人情報を扱う情報システムでは,個人情報漏洩の発生を未然に防止することが重要である.個人情報に関する事故の発生を防止するための対策として,たとえば暗号化等の技術的な対策,ISMS(JIS Q 27001:2006),プライバシーマーク(JIS Q 15001:2006)などの運用上の対策があるが,仮に不適切な情報システムが構築された場合,システムの不備を補うための運用コストやシステムを事後的に改修するためのコストなど,追加コストが必要となる.そのため,不適切なシステムが構築されることを事前に防止するための手段として,情報システムの企画,設計段階における対策状況を評価する手法である,個人情報影響評価(PIA:Personal information Impact Assessment,以下PIA)が注目されている[1].
PIAは個人に関する情報を広く保護の対象とする.ISO 22307では「プライバシー影響評価(Privacy Impact Assessment)」として表記されるが,「プライバシー」という表記は対象とする情報を限定し得る.本稿ではPIAを「個人情報影響評価(Personal information Impact Assessment)」と表記する[2].
PIAは,個人情報の収集を伴う情報システムの導入あるいは改修にあたり,個人情報に関するリスクを明確にし,ステークホルダへの影響を「事前」に評価し,回避または緩和のための技術的な変更,運用・法制度の整備を促すリスク管理手法である.
PIAを実施することにより,漏洩などの個人情報に関する事故の抑制と対策コストの低減,個人情報保護に関するステークホルダ間の合意形成を行うことができる.
PIAは一部の国で普及しているが,日本では民間利用も含めたPIA実施に関する根拠法は整備されておらず,一部の試行を除き国内での実施例は少ない[1].「行政手続における特定の個人を識別するための番号の利用等に関する法律」第15条において,PIAに相当する「特定個人情報保護評価」が定められているが,同法で規定する「個人付与の番号に関する特定個人情報」の保護が対象であり,現時点でPIAに関する包括的な法的根拠は存在しない[3].日本においてPIAを普及させることが課題であるが,PIAの有効性を明らかにすることはその一助となることが期待される.
PIAの有効性に関し,バイオメトリクスに関するPIAの有効性評価の例があるが,従来のPIAの有効性評価はそれぞれの個別事例におけるPIA実施の手順等に関する有効性を評価したものであり,PIA自身の有効性の評価は報告されていない[4].
PIA自身の有効性は,PIA実施の目的から,対象となる情報システムに関するリスクの可視化,リスクに関するステークホルダ間の合意形成の観点から評価することができる.
今回,PIA自身の有効性を評価するために,個人情報保護に関する組織の成熟度を計測するツールである,米国公認会計士協会・カナダ勅許会計士協会(以下AICPA/CICA)のPrivacy Risk Assessment Toolを参考に有効性評価ツールを開発し,PIAの有効性評価を実施した[5].
本稿では,PIAの有効性に関し,①個人情報に関するリスクの可視化,②個人情報保護に関するステークホルダの意識向上の観点から,企画,設計段階にあるシステムに対するPIA実施に際して行った評価について述べる.
本稿は,以下,第2章で個人情報影響評価の概要,第3章で個人情報影響評価の有効性評価の課題,第4章で個人情報影響評価の有効性評価の概要,第5章で実際の有効性評価の測定方法について述べる.
