プライバシー影響評価

PIAのフレームワークは、図に示すように3つの機能から構成される。プライバシー・フレームワークは法的側面、プライバシー・アセスメントは運用上の側面、プライバシー・アーキテクチャーは技術的な側面を表す。

1.プライバシー・フレームワーク

法律、ガイドライン、規則、契約上の義務、既存のポリシーなどを元に、対象システムに必要となるプライバシー要件の抽出や評価シートなどを定める。評価対象システムで使用されるデータの何をどの程度守るべきかを定め、要求された水準で守られていることを検証するための方法を定める。

2.プライバシー・アセスメント

プライバシー・フレームワークを元に、システムのデータフロー分析および評価シートなどを用いプライバシーに関する影響分析を行う。適用業務が、個人情報をどのように収集、利用、管理するかについて設計指標を評価し、ポリシーの策定や、トレーニング計画等、具体的な提案や問題の抽出が行われる。

3.プライバシー・アーキテクチャー

プライバシー・フレームワークとアセスメントを元に、システム設計仕様を検討し、技術的にプライバシーに関する問題解決を図る（Privacy Enhancing Tecnology）。評価対象の技術的な設計要素について具体的な提案や問題の抽出を行い、PETと呼ばれるプライバシー保護の基準を満たすための手段を組み込む。

情報システムを構築する際、事前に個人情報・プライバシーに係わるリスクを、関係者（ステークホルダー）で検討し対処する必要がある。リスクコミュニケーションにより、現存するリスクの正確な情報を関係者間で共有し、相互に意思疎通を図り、合意形成を行うことができる。

PIAを実施し、その報告書を公表することは、情報システムの稼働によって発生する影響をステークホルダー（行政や事業主、情報提供者、世論・メディアなど）間で共有し、相互の利害関係を調整するリスクコミュニケーション手段といえる。

プライバシー保護に関する経緯

プライバシー権の議論には、大別して2種類ある。すなわち、伝統プライバシー権と現代的プライバシー権の2種類である。伝統的プライバシー権（または古典的プライバシー権）は、主として不法行為によって個人の平和や平穏が乱されることに対する個人の不可侵権である「ひとりにしておかれる権利」として主張されており、19世紀後半から議論が始まった。マスメディア・プライバシーとも称され、「個人の生活を公開されない権利」として認識されることが多い。

一方、1960年代頃になると、情報技術の発展によりコンピュータで大量の個人データが扱われるようになり、新たなプライバシー問題への関心、すなわち、現代的プライバシー権（またはまたは積極的プライバシー権）の議論が始まった。現代的プライバシー権とは、「自己に関する情報の流れをコントロールする権利（自己情報コントロール権）」としてプライバシー権を捉えるものであり、情報技術が発展し、個人に関するデータが大量に処理される今日において通説的な理解となっている。

プライバシー影響評価に関する経緯

プライバシー保護の必要性が高まる中、そのリスクの事前評価に対する重要性が認識されるようになり、1990年代半ばから英国法に由来するコモン・ロー（Common Law）の影響を受けたカナダ、ニュージーランド、オーストラリアなどで議論されるようになった。

Roger Clarkeらによる『A History of Privacy Impact Assessments』（2004年） によれば、PIA手法は、「環境影響評価」(Environmental Impact Assessment: EIA)と呼ばれる環境保全に関する事前評価手法や、米国連邦議会技術評価局(OTA: Office of Technology Assessment)で実施されてきた「技術評価」などをもとに考えられたものであるとしている。当初は、プライバシーコミッショナーやコンサルタント、学者などの間で議論されていたが、その後、行政機関においても議論が急速に拡大し、PIA実施のためのガイドライン等が整備された。

カナダのオンタリオ州では、1998年、新規の情報システムプロジェクトの認可において、PIAの実施報告が必要となったほか、1999年には、アルバータ州の健康情報公開法で、公共機関の健康医療分野においてPIAの実施を課した。また、連邦政府では、プロジェクトの予算認可の条件としてPIAの実施が義務付けられ、ハード・ローを補完する形で実施されている。

オーストラリアでは、行政機関および民間企業ともに、PIAの実施は義務づけられてはいないが、1987年の国民IDカード導入を契機に、1988年に連邦プライバシー法が成立し、プライバシーに対する意識が向上されている。PIAの実施例としては、1990年に政府が導入したData Matching Programに対するPIA実施を端緒として、民間部門を含む数多くの実施例がある。

その他、ニュージーランドでは、1996年から97年にかけて運転免許制度における国民の懸念に対し、PIAを奨励する政策を採った事例があるほか、香港においても、2000年に香港行政特別区のIDカードシステム導入計画において、PIAが実施されている。

米国では、2001年の同時多発テロを契機として、2004年から出入国に当たり渡航者の指紋および顔写真のデータの登録を義務付ける「US-VISIT(Visitor and Immigrant Status Indicator Technology) プログラム 」が開始された。本プログラムに対しては、2002年に成立した電子政府法および国家安全保障法を根拠としてPIAが実施された。また、米国ではPIAに関する国内規格を成立させ（ANSI/X9 X9.99-2004 - Privacy Impact Assessment Standard ）、ISOへ国際標準化の提案を行った。

ANSI/X9 X9.99-2004 - Privacy Impact Assessment Standardは、ISO TC68で標準化作業を行い、2008年4月に「ISO 22307:2008 Targets Safeguarding Privacy of Financial Data in Computer Systems」として国際規格として発行された。

ISO22307は、国際標準化機構ISOが発行したプライバシー影響評価に関する国際規格である。サブタイトルは「Financial services -- Privacy impact assessment」であり、金融サービスを行う企業が顧客や取引先などの財務データの処理に係るプライバシー事項の特定およびリスクに対処する為の方法論が定義されている。しかし、後述のとおり、本標準の内容は金融関連サービスに特化したものではなく、民間部門および公的部門を問わずさまざまな分野に適用可能なものとなっている。また、要求仕様は各国の法体系や社会制度に依存しない、最大公約数的な内容である。例えば、実施体制は国によって多様であるが、本国際規格では具体的な内容には言及せず、代わりに「公共的で独立した見地」という記述にとどめている。

ISO22307は、システム開発の初期段階で実施すべきPIAについて記述されており、PIAプロセスの要求事項として、以下の6つが提示されている。

• PIA計画
• 評価
• PIA報告
• PIA実施に必要な専門技能を持つ人の関与
• 公共的で独立した見地の関与
• PIA結果を意思決定に用いることについての合意

具体的なPIAプロセスの要求事項の中では、PIA計画のスコープや報告文書の作成の為の指針に加え、関連する法令、規則、標準やプライバシーポリシー等への適合、個人情報に関する既知のリスク等にも触れられており、プライバシーに資する最適な選択肢や解決手法が提供されている。なお、効果的に活用すれば、プライバシーに関するリスクの特定やその軽減のためのツールにもなり得るものとなっている。

そのほか、ISO22307の特徴は以下の3点である。

• 一般的なPIAプロセスを記述。
• 金融機関に関連したビジネスシステムにとらわれず、PIAの一般的要件を定義。
• ユーザニーズの評価や効果的なPIA実施を促すためのいくつかの質問票とともに、PIAおよびその履行に関するFAQ（Frequently Asked Questions）を含む効果的なガイダンスを提供。

プライバシー影響評価の実施には、手順と体制の2点が必要となる。具体的には、実施手順においては、PIAのプロセスを具体的に示す法令またはガイドラインが必要となり、また、実施体制においては、PIA結果に対して中立的で専門的な評価を行う第三者機関の整備が必要となる。

プライバシー影響評価ガイドライン

PIAガイドラインとは、PIAの実施手順や実施体制を具体的に記述したものである。

現在、PIAの実施を法律(hard law)で義務づけているのは米国のみであり、カナダ、オーストラリア、ニュージーランドにおいては、ソフトロー(soft law)に相当するガイドラインで実施を推奨している。これらの国々では、歴史的経緯から英国法に由来するコモン・ローを採用しており、制定法に依らずPIAを発展させてきた結果、このような制度となっている。

各国共通のPIAガイドラインは存在せず、各国の行政機関やプライバシーに関する独立した第三者機関(プライバシーコミッショナーなど)が、各国事情に応じたガイドラインを公表している。今後は、各国でISO22307の要求事項に準拠したガイドラインの作成が必要となる。

ISO22307に記載されている要求事項を元に作成したPIAガイドラインの例を紹介する。

1.PIA計画

• 対象システムがPIA実施を必要とするかどうかを判断する予備PIAの実施。
• 新規システムなのか、既存システムの変更なのか明確にするPIA実施範囲や、開発の種類の特定。
• 概要、ビジネス目的、経営目標、ライフサイクルなどの情報を収集する対象システムの情報を収集。
• 必要な専門知識の特定および中立的評価が関与する度合いの決定。
• プライバシー・フレームワークとして選択したポリシーや標準等の特定。
• PIA結果を、対象システムについての意思決定に反映することについての合意。

2.評価

• PIA計画によって定義された実施対象範囲について、以下を実施する。
• システムで使用される個人情報の、ビジネスプロセスとデータフロー分析
• プライバシーポリシーの遵守に関するギャップ分析
• インフラストラクチャおよびセキュリティプログラムの影響度分析

3.PIA報告

PIA報告書の様式は組織によりカスタマイズが可能だが、最低限以下の項目についての記載が必要である。

• 対象システムの概要とPIAを実施した範囲
• PIA実施にあたって必要とされる専門的な知識と、関与する独立第三者機関の位置づけ
• PIA報告書に基づいて行われる意思決定プロセス
• 対象システムに係るプライバシーポリシーおよび関連法令、規則、標準等
• 対象システムに係るプライバシーリスク、PIAの過程で認識されたその他のリスク
• リスクを緩和する代替策
• 報告書を受領し、PIA結果と提案事項に責任を持つ経営幹部の識別

PIA実施体制

実施体制については、ISO22307では独立した公共的な見地の必要性を挙げている。

PIAの実施体制は各国によってさまざまであるが、独立した公共的な見地として、中立的な評価を行う第三者機関が複数の国で設置されている。

カナダ、オーストラリア、ニュージーランドでは、プライバシーコミッショナー（Privacy Commissioner）がその役割を担っており、PIA実施についてのアドバイスや報告書の受領等を行っている。

一方、米国の政府機関では、組織内にCPO（Chief Privacy Officer）職を設置する動きが広がっており、国土安全保障省においては、国土安全保障法によってCPOの設置を義務づけている。

カナダのPIAと実施事例

カナダでは、PIA実施に関する法令は存在しないが、行政機関においては、予算承認プロセスの中にPIAの実施が組み込まれており、事実上、その実施が義務化されている。ガイドラインについては、 Treasury Board（予算審議会）が発行するほか、州単位で発行するものも存在する。PIAの実施は、評価対象となるシステムを構築・改修する組織および機関によって行われ、それに対し、連邦政府や州のプライバシーコミッショナーが第三者機関として助言を行う。PIA終了後、プライバシーコミッショナーは実施機関からの報告書の回付を受け、国民のプライバシー権を監督・擁護する立場から、その要約を公開している。なお、PIA報告書の承認自体は、PIA実施組織の責任者により行われる。

行政機関での事例としては、入国安全管理局や王立騎馬警察のシステム更新時の実施があり、また、民間部門では、Canada Health Infoway社などの実施報告がWebサイトで公開されている。

オーストラリアのPIAと実施例

オーストラリアでは、PIAはガイドラインにより、行政機関および民間企業の双方に対して実施することが推奨されている。第三者機関については、連邦プライバシー法によってプライバシーコミッショナー制度が導入されており、連邦政府および各州政府の双方にプライバシーコミッショナーが存在する。ガイドラインは、プライバシーコミッショナーが策定し発行を行っており、また、行政機関のPIA報告は公開が義務付けられている。

行政機関での実施例としては、連邦政府の司法省の文書検証サービスや、海運および航空輸送従事者チェックサービス、また、財務管理省政府情報管理局のPKIフレームワークなどがある。

民間企業では、メルボルンの電子チケットシステムなどの実施例がある。

米国におけるPIAと実施例

行政機関のシステムについては、電子政府法208条の規定によってPIA実施が義務付けられている。 PIAは該当行政機関が実施し、その結果をPIA報告書としてまとめる。同報告書は、予算執行プロセスの一環で行政管理予算局（OMB、Office of Management and Budget）長官によるチェックが義務付けられており、同長官は、PIA報告書を精査し、予算執行の認否を行う。

なお、国土安全保障省においては、前述のとおり省内独立機関としてのチーフプライバシーオフィサー(CPO、Chief Privacy Officer)の設置が義務付けられており、同省のシステムに関するPIA報告書に対しては、CPOが助言および署名をすることとなっている。

米国におけるPIA実施の代表例として、US-VISIT（出入国管理システム）がある。以下、US-VISITについて概説する。

米国では、2001年の同時多発テロ発生以降、出入国セキュリティ強化を規定した米国パトリオット法の発効など、テロリストの入国阻止を目的とした法改正が行われ、これらを受け、2003年にはDHS設置等の組織強化が行われたほか、2004年には出入国時にバイオメトリクスを用いた個人認証を行うためのUS-VISITプログラムが開始された。

US-VISITは、バイオメトリクスを含む多くの個人情報を収集し、これら情報をDHS内部および外部で共有することから、アメリカの電子政府法第208条により、PIAの実施が義務付けられた。

US-VISITにおけるPIA報告書はインターネットで公開されており、PIA実施の結果として、蓄積される個人情報に対するプライバシー保護に関する対策を立案し、実施することで利用者のプライバシーは守ることとしている。

以下の表に、政府機関に対する各国のPIAの実施状況をまとめる。

日本におけるプライバシー影響評価の実施状況

現在、日本では、PIAの試行はあるものの正式な実施例はない。PIAの調査を最初に実施したのは総務省研究会であり、カナダの中心に調査分析したチンダルレポートが発行されている。試行例としては、公立大学法人首都大学東京産業技術大学院大学が実施した1.2006年度法務省入国管理システム、2.2009年度民間企業による認証サービスシステム、および3.産業技術大学院大学で研究開発されたドライブライブビデオシステムである。

同大学院では、2007年度開催の産学戦略的研究フォーラムにおいて、海外におけるPIAの実施調査および日本におけるPIA実施の際の課題に関する調査研究を行い 、これら成果は、書籍として発行している。また、同大学院の瀬戸洋一教授のページでは、PIAハンドブック、PIAガイドラインとともにPIA実施報告書を公開している（ http://aiit.ac.jp/master_program/isa/professor/y_seto.html ZIPファイルの「プライバシー影響評価（zipデータ：14.9MB）」に含まれる）。

日本でプライバシー影響評価を実施する場合の課題

日本でPIAを実施するには、ISO22307を要求事項とし、ハンドブックおよびガイドラインの整備が必要である。また、PIAの実施を公的に明確にするための仕組みとPIAの結果を情報提供者の立場に立って、その内容を中立的・専門的にコミットメントする組織も必要である。

米国政府が構築するシステムに関しては、法律により、予算措置とリンクしてPIAの実施が義務付けられている。また、国土安全保障省では、専門的な組織としてチーフプライバシーオフィサーの設置が義務付けられている。

また、カナダおよびオーストラリアでは、PIAを実施する社会体制ができている。すなわち、中立的・専門的組織として、プライバシーコミッショナー制度が整備されており、プライバシーコミッショナーはガイドラインを発行するなどして、PIAの実施を推奨している。

日本では、

1. ハンドブック、ガイドラインでPIA実施の体制と手順を明確にする。
2. 行政が構築するシステムに関しては、条例などでPIA実施を義務付ける。　
3. 組織内に中立的・専門的な組織を明確に設けるとともに、組織外の中立的組織を活用する。

といった対策が必要である。

冒頭で述べたとおり、PIAとは、個人情報の収集を伴う情報システムの導入等における、プライバシーに関する影響の事前評価プロセスであることから、個人情報保護に関連して構築された制度は、PIAと関連するものということができる。主には、プライバシーマーク制度（以下「Pマーク制度」）やISMS（情報セキュリティマネジメントシステム）適合性評価制度（以下「ISMS制度」）があるほか、個人情報の保護に関する包括的な法令である個人情報保護法制がある。

Pマーク制度は、事業者が個人情報の取扱いを適切に行う体制等を整備していることを認定するものである一方、ISMS制度は、情報セキュリティに関し、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、計画に従い、システム運用時にISMSが確立されていることを評価する制度である。また、個人情報保護法制は、民間部門および公的部門を対象とした法律があり、いずれも個人の権利利益の保護を目的として、「利用目的の特定」や「適正な取得」といった個人情報を取り扱う上でのルールを定めている。

いずれの制度も、システム開発後における事業者または組織の運用体制に対する評価制度、あるいは法制度であり、この点が、システム開発前においてシステムそのものに対して評価を行うPIAとは大きく異なる特徴といえる。

システムライフサイクルを考慮すれば、開発段階でPIAを実施し、その後の運用段階でPマーク制度やISMS制度を活用することにより、各制度の特長を補完することができる。このため、より効果的なプライバシー保護策を実施することができる。

個人情報保護法制とPIAとの関係については、次の点を指摘することができる。すなわち、民間部門を対象とした個人情報保護法では、5,000人を超える個人情報を事業に利用する事業者（個人情報取扱事業者）に対してのみ個人情報を取り扱う上での義務を定めており、また、保護対象も個人の識別が可能な情報（個人情報）のみに限定している。しかしながら、実社会において、個人の識別が可能でない情報であっても他人に知られたくないプライバシー情報は数多く存在するものであり、また、かかるプライバシー情報を含めた情報の漏えいがひとたび発生した場合、「個人情報取扱事業者」かどうかに関係なく、被害者は損害賠償請求訴訟を起こすことが考えられる。つまり、個人情報保護法を遵守していればリスクが回避されるものでもなく、この点で、より広範に、かつ、より深くプライバシーに関する影響評価が可能なPIAを実施することは、リスク回避において有効である。

• 瀬戸洋一：『実践的プライバシーリスク評価技法: プライバシーバイデザインと個人情報影響評価』　近代科学社、2014年.
• 瀬戸 洋一他：『プライバシー影響評価PIAと個人情報保護』　中央経済社、2010年
• 堀部 政男 他：『プライバシー・個人情報保護の新課題』　商事法務、2010年
• 瀬戸 洋一他：　「プライバシー影響評価ガイドラインの開発」、2010年電子情報通信学会総合大会、2010年3月
• 大類 優子、瀬戸 洋一：「プライバシー影響評価　ISO22307　の要求事項の分析」　2010年SCISシンポジウム、2010年1月
• 石井 夏生利：『個人情報保護法の理念と現代的課題 プライバシー権の歴史と国際的視点』　勁草書房、2008年.
• 中山 信弘：　『国際社会とソフトローの基礎理論』　有斐閣、2008年
• Peter Hope-Tindall：「電子政府・電子自治体のためのプライバシー影響評価」、総務省「住民のプライバシーの保護に関する新しい考え方と電子自治体におけるそのシステム的な担保の仕組みについての研究会」報告書参考資料Ⅱ、2004年、http://www.soumu.go.jp/denshijiti/pdf/jyumin_p_s2.pdf

• US-VISIT
• 技術評価
• 環境影響評価（環境アセスメント）
• プライバシー権
• 個人情報保護法
• ISMS
• プライバシーマーク