PIAは Privacy Impact Assessment(プライバシー影響評価)の略である。PIAは、潜在的なプライバシーリスクを検出し、リスクに合わせた安全対策を構築するための手段である。また、何らかのプライバシー侵害が発⽣した際、組織がその発⽣を未然に防止するために適切に⾏動した証左ともなる。
ステークホルダーと協議してプライバシーリスクに対応するために必要な⾏動を起こすための手段である。PIA を実施することは、プライバシー・バイ・デザインを達成することに繋がる。なお、公的機関が特定個人情報(マイナンバー)を扱うシステムの開発・更新の際は、PIAが必須とされている。
設計段階からプライバシー保護策を織り込むことにより、「公共の利益」と「個人の権利」を両立させることを目的に実施される。また、PIAを実施することにより、情報システム稼働後のプライバシーリスクを最小限に抑えることができ、改修とそれに伴う追加費用の発生の予防にもなる。
PIAは、国際標準化委員会ISO TC68(金融サービスの専門委員会)において2008年4月に、ISO 22307 (Financial services Privacy impact assessment)、2017年6月に、ISOと国際電気標準会議IECの合同委員会(JTC1)の情報セキュリティ小委員会(SC27)で ISO/IEC 29134 (Information technology — Security techniques — Guidelines for privacy impact assessment) として標準ドキュメントが発行されており、PIAが組織にもたらす効果として以下が挙げられている。
- ①計画的なプライバシー対策の達成と相対的なコスト削減
対象となるシステム等の計画段階で潜在的なプライバシーリスクの洗い出しと対処を行うことで、後段フェーズでの修正コスト発生を抑えるなどの効果が見込める。 - ②ステークホルダーとの信頼の構築
プライバシーリスク等が発生した場合に、組織がその発生を防止しようと適切に行動した証拠を提供でき、組織へレピュテーションリスクの緩和の効果がある。 - ③PII(個人識別可能情報)におけるデューデリエンス(善管注意義務)の達成
PIAは組織の従業員及び契約業者に対してプライバシーに関する教育や、損害を与えるプライバシーの問題に注意を払うように喚起する方法の一つでもある。
出典:JIPDEC
プライバシー影響評価(Privacy Impact Assessment) ~ISO/IEC29134:2017 の JIS 化について~
