連載第2回では、プライバシーガバナンス推進の核となる「プライバシー保護組織」について、組織論の観点から具体的な実現手法について示した。今回は、そのプライバシー保護組織が担う重要な役割であるプライバシー影響評価(PIA:Privacy Impact Assessment)について考えていく。

プライバシー影響評価(PIA)によって、個人情報に関わるプライバシーリスクをコントロールするイメージ(写真/Shutterstock)
プライバシー影響評価(PIA)によって、個人情報に関わるプライバシーリスクをコントロールするイメージ(写真/Shutterstock)

前回はこちら

 PIAとは、パーソナルデータを取り扱う製品・サービスの開発や組織の構築といった活動の最初の段階において、プライバシーリスクを評価し、そのリスクを回避・最小化する対策を講じるための取り組みである。

 パーソナルデータを高度に活用するためには、適切なプライバシー保護対策が不可欠であることは広く認識されているところであるが、社内の正式なプロセスとして、PIAを運用している日本企業はいまだ少数にとどまっている。しかし海外に目を転じると、EU(欧州連合)のGDPR(一般データ保護規則)において民間企業にPIAが義務付けされたことを機に、欧米のグローバル企業を中心に、PIAを社内プロセスに組み込んで運用することが不可欠となっている。

 その一方で、実際にどのようにプライバシーリスクを評価して、どのような措置を講じればよいのかについては、ガイドラインや支援ツールはあるものの、具体的な実施方法やリスクの評価基準として確立されたものはない。このため、各社それぞれが自社の都合に合わせてPIAの実施手順を作成して運用しているのが実情である。

 本稿では、ガバナンスの観点から、製品・サービスを対象にPIAを実践していくためのポイントについて紹介する。

有料会員になると全記事をお読みいただけるのはもちろん
  • ①2000以上の先進事例を探せるデータベース
  • ②未来の出来事を把握し消費を予測「未来消費カレンダー」
  • ③日経トレンディ、日経デザイン最新号もデジタルで読める
  • ④スキルアップに役立つ最新動画セミナー
ほか、使えるサービスが盛りだくさんです。<有料会員の詳細はこちら>