プライバシー影響評価

プライバシー影響評価PIA )は、組織が新しいプロジェクト、イニシアチブ、システム、プロセス、戦略、ポリシー、ビジネス関係などから生じるプライバシーリスクを特定し、管理するのを支援するプロセスです。[ 1 ]組織自体や顧客を含むさまざまな利害関係者に多くの点で利益をもたらします。[ 2 ]米国とヨーロッパでは、プライバシー影響評価を義務付け、標準化するためのポリシーが発行されています。[ 3 ] [ 4 ]

概要

プライバシー影響評価(PIA)は、組織(通常、システム内またはシステムを通過する個人に関する大量の機密性の高い個人データにアクセスできる政府機関または企業)が実施する影響評価の一種です。組織は、自らのプロセスをレビューし、保有、収集、または処理するデータの所有者である個人のプライバシーに、これらのプロセスがどのように影響するか、あるいはプライバシーを侵害する可能性があるかを判断します。PIAは、米国国土安全保障省(DHS)の様々な下部機関によって実施されており、[ 5 ] [ 6 ]、実施方法は標準化されています。[ 4 ]

PIA は通常、次の 3 つの主な目標を達成するように設計されています。

  1. プライバシーに関する適用される法律、規制、およびポリシーの要件に準拠していることを確認します。
  2. プライバシー侵害やその他のインシデントおよび影響のリスクを特定し、評価します。
  3. 許容できないリスクを軽減するために適切なプライバシー制御を特定します。

プライバシー影響報告書は、大量の個人情報を含む提案システムの必須構成要素を特定して記録し、そのシステムに関連するプライバシーリスクをどのように管理できるかを確立することを目的としています。[ 7 ] PIAは、「システム」の評価を超えて、提案によって何らかの影響を受ける人々への重要な「下流」影響を考慮することもあります。[ 8 ]

目的

PIAは組織の個人情報の安全確保能力に関わるため、組織が従業員、顧客、取引先などの個人情報を保有している場合は必ずPIAを実施する必要があります。法的定義は様々ですが、個人情報には通常、氏名、年齢、電話番号、メールアドレス、性別、健康情報などが含まれます。また、組織が機密性の高い情報を保有している場合、あるいは個人情報や機密情報を保護するセキュリティ管理システムに変更が生じ、プライバシーインシデントにつながる可能性がある場合にも、PIAを実施する必要があります。[ 9 ] [ 10 ]

利点

国際プライバシー専門家協会会議でのプレゼンテーションによると、PIAには次のような利点がある。[ 2 ]

  • 早期警告システムを提供します。プライバシーの問題を検出し、多額の投資の後ではなく前に安全策を構築し、プライバシーの問題を遅かれ早かれ解決する方法です。
  • 高額な費用がかかったり、恥ずかしいプライバシーのミスを回避
  • 組織がプライバシーリスク(責任、悪評、評判の失墜)の防止を試みたという証拠を提供します
  • 情報に基づいた意思決定を強化
  • 組織が一般の人々の信頼と自信を獲得するのを助ける
  • 従業員、請負業者、顧客、市民に対して、組織がプライバシーを真剣に受け止めていることを示す

実装

PIAは簡単なプロセスで行われる:[ 9 ] [ 10 ]

  1. プロジェクト開始:PIAプロセスの範囲を定義します(範囲は組織やプロジェクトによって異なります)。プロジェクトが初期段階にある場合は、予備PIAを実施し、プロジェクトが本格的に開始された後に本格的なPIAを実施するという選択肢もあります。
  2. データ フロー分析: 提案されたビジネス プロセスが個人情報をどのように処理するかをマッピングし、個人情報のクラスターを識別し、問題のビジネス アクティビティの結果として個人情報が組織内をどのように流れるかを示す図を作成します。
  3. プライバシー分析: 個人情報の移動に関わる担当者は、プライバシー分析アンケートに回答し、その後、プライバシーの問題と影響について検討、インタビュー、議論を行います。
  4. プライバシー影響評価レポート: プライバシーのリスクと潜在的な影響、およびリスクを軽減または改善するために実行できる可能性のある取り組みに関する議論が文書化されています。

歴史

1970年代、米国技術評価局(TOTA)は技術評価(TA)を創設しました。TAは、新技術の社会的・社会的な影響を判断するために用いられました。同様に、この頃、 60年代の環境運動による社会的圧力への反応として、環境影響評価(EIA)が登場しました。これら2つの影響評価の手法は、PIAの創設の先駆けとなりました。

「プライバシー影響評価書(PIA)」は、1980年代後半に登場した、PIAのはるかに簡略化されたバージョンです。1990年代には、特にほとんどのデータがコンピュータやその他の電子プラットフォームに保存されるようになったため、企業や組織のデータセキュリティの有効性を測定する必要性が高まりました。1990年代半ばには、より包括的なPIAが企業や政府で頻繁に使用されるようになり、現在では世界中の組織、そしてニュージーランドカナダオーストラリア、米国国土安全保障省を含む多くの政府機関が、システムのプライバシーリスクを評価するために使用しています。さらに、他の多くの国や企業も、データリスク分析のためにPIAに類似した評価システムを使用しています。[ 11 ] [ 12 ]

PIAワールドワイド

アメリカ合衆国

2002年電子政府法第208条は、電子情報システムおよび電子コレクションに関するプライバシー影響評価(PIA)の実施を政府機関に義務付けました。この評価は、情報システムおよびコレクションにおけるプライバシーを評価する実用的な方法であり、プライバシーの問題が特定され、適切に対処されていることを文書化によって保証するものです。このプロセスは、SEC(米国証券取引委員会)のシステム所有者および開発者が、開発の初期段階からシステム開発ライフサイクル(SDLC)全体を通じてプライバシーを評価し、プロジェクトが個人のプライバシーにどのような影響を与えるか、そしてプライバシーを保護しながらプロジェクト目標を達成できるかどうかを判断できるようにするために設計されています。[ 3 ]

ヨーロッパ

欧州委員会は2011年に、RFID技術に関するプライバシー影響評価の枠組みを初めて署名しました。[ 4 ]これは後に一般データ保護規則(GDPR)においてPIAが認められる根拠となり、GDPRでは一部のケースでデータ保護影響評価(DPIA)が義務付けられています。新しいITシステムやプロジェクト以外にも、PIAアプローチは組織のプライバシー対策を体系的に定期的にレビューまたは監査する際に役立ちます。

PIAF(データ保護とプライバシー権のためのプライバシー影響評価フレームワーク)は、欧州委員会が共同出資するプロジェクトであり、 EUとその加盟国がプライバシーと個人データの処理に関連するニーズと課題に対処する手段として、進歩的なプライバシー影響評価政策を採用することを奨励することを目的としています。[ 13 ]

参照

参考文献

  1. ^ 「プライバシー影響評価の実施に関する実務規範」(PDF) .情報コミッショナー事務局. 2014年2月. 2016年7月20日閲覧
  2. ^ a b David Wright (2012年11月14日). 「プライバシー影響評価の最新動向」(PDF) .
  3. ^ a b「米国証券取引委員会」(PDF) .
  4. ^ a b c EU委員会 (2011年1月12日). 「RFIDアプリケーションに関するプライバシーとデータ保護の影響評価フレームワーク」 .欧州委員会; 政策、​​情報、サービス; 法律. 2019年12月22日閲覧
  5. ^ジャクソン、ジャニス、ホーキンス、メアリー・エレン(2011年8月26日)「SAVE(Systematic Alien Verification for Entitlements)プログラムにおけるプライバシー影響評価」(PDF)米国国土安全保障省2016年5月13日閲覧
  6. ^ Gaffin, Elizabeth; Teufel III, Hugo (2007年4月1日). 「検証プログラムを支援する検証情報システムのプライバシー影響評価」(PDF) .米国国土安全保障省. 2016年5月13日閲覧.
  7. ^ 「プライバシー影響評価 - データ保護に不可欠なツール」 ASPE 2023年8月14日閲覧
  8. ^ 「プライバシー影響評価ハンドブック」(PDF) . 2017年1月6日閲覧
  9. ^ a b「プライバシー影響評価ガイドライン:プライバシーリスク管理の枠組み」カナダ政府2016年7月13日時点のオリジナルよりアーカイブ。 2016年7月8日閲覧
  10. ^ a b「プライバシー影響評価(PIA)ガイド」(PDF) . 米国証券取引委員会. 2016年7月8日閲覧
  11. ^クラーク、ロジャー. 「プライバシー影響評価の歴史」 .ロジャー・クラークのウェブサイト. 2016年7月8日閲覧
  12. ^ピアソン、タンコック、チャールズワース、シアーニ、デイビッド、アンドリュー。「プライバシー影響評価の出現」(PDF)。HP 。 2016年7月8日閲覧{{cite web}}: CS1 maint: 複数の名前: 著者リスト (リンク)
  13. ^ 「PIAF」