個人データ保護影響評価（DPIA）の実施と適用のポイント

GDPRでは、「特にリスクの高い個人データの取扱いについては、事前にその影響評価を実施しなければならない」と定めており、これは個人データ保護影響評価（DPIA）と呼ばれている。ここでは、その実施において企業が留意すべき3つのポイントを説明する。

まず1つ目のポイントは「何を評価するのか」、つまりその対象や範囲をあらかじめ明確に整理しておくことである。個人データの取得から消去・廃棄に至るまで、取扱いの仕組み全体を網羅的に把握した上でリスク評価を行うことが重要であり、そのためには、データフロー図などを作成し、関係者や関連システム、個人データの流れを明らかにして、評価対象を事前によく整理しておくことがポイントとなる。
なお、関連するシステムについては、さらにシステム構成図などを作成して、技術的対策の評価対象とすべきネットワークやハードウエア、アプリケーションなどを事前に細かく特定しておくことが望ましい。
2つ目のポイントは、技術的対策を評価するための適切な評価基準を設定することだ。GDPR上には、技術的対策のリスク評価項目や方法について、具体的な言及は少ない。よって、実際の評価においては、ENISA（欧州ネットワーク・情報セキュリティ機関）や監督当局から公表されているガイドラインを評価基準として利用することとなる。
ガイドライン上の評価項目と、社内のセキュリティ対策規程との間で乖離がある場合、社内規程にのっとったセキュリティ対策では不十分ということが生じ得る。そこで、ガイドラインで求められるセキュリティ対策をあらかじめ社内ルールに取り込み、自社固有の取扱いリスクがある場合は、必要に応じてそれらを低減するための追加ルールを定めるなど、調整を行っておくと良い。

3つ目のポイントは、DPIAを適切なタイミングで実施することである。DPIAはPbD（プライバシー・バイ・デザイン）のコンセプトを実現するためのものであり、サービスやシステムのデザイン段階で評価を行うことが基本である。
デザインの初期段階にDPIAを実施することで、プライバシー保護の観点を取り込んだサービスやシステムを構築することが容易となる。このためには、情報セキュリティ対策、プライバシー保護対策の必要性が現場に広く認識されていることだけでなく、個人データの取扱いを計画する場合に、自動的にDPIAが実施されるようなプロセスフローを整備しておくことが重要である。

KPMGコンサルティング
ディレクター　前田 敬彦

日刊工業新聞　2018年11月1日掲載（一部加筆・修正しています）。この記事の掲載については、日刊工業新聞社の許諾を得ています。無断での複写・転載は禁じます。