「DX時代の企業のプライバシーガバナンス ver1.0」(参考)プライバシーリスク対応の考え方

下記ドキュメントをベースに概要を記載した記事となります。
DX時代の企業のプライバシーガバナンス ver1.0

(参考)プライバシーリスク対応の考え方

具体論について参考となる考え方となります。国際標準や国際機関・各国の取り組みを踏まえています。参考するには、その背景や調書、短所を踏まえて個別に適用していく必要があります。

関係者と取扱うパーソナルデータの特定とライフサイクルの整理

新規事業を行う際には、プライバシーデータのに関するリスクの洗い出しが必要です。整理するべきことは3つあります。

対象事業の関係者を特定する
対象事業で取扱うパーソナルデータを特定する。
パーソナルデータは、直接取得するデータだけでなく、第3者からの購入やプロファイリングによって推測されるデータを含むこと

パーソナルデータのライフサイクル(経済産業省のHPより)

対象事業で取扱うパーソナルデータのライフサイクルを明確にすることで、消費者が把握しやすい点と把握しづらい点が明確になります。

IOTによって取得されたパーソナルデータとプロファイリングを使って想定されたデータは、消費者が把握しやすい点になるので細やかな説明が必要になります。

プライバシーリスクの特定(プライバシー問題の洗い出し)

パーソナルデータ取扱のライフサイクルの中で、どこでプライバシー問題が発生しやすいか洗い出し、対応方法を検討します。ここでのポイントです。

プライバシー問題はリスクアプローチで考えること。
事業の特性に応じて、プライバシー問題の体型的な整理を行うこと
組織の目的、能力、プライバシー問題に適したプライバシーリスク特定のためのツールや技術を用いること。

プライバシー問題の例として、データ収集、データ処理、データ拡散個人への直接的な加入でカテゴライズされます。

データ収集

監視:継続的なモニタリングで個人に不快な感情を与えていないか。
尋問:情報を詮索して個人に強制を感じさせてないか。

データ処理

集約:個人の情報を断片的に集め集約することで、個人のデータ利用の期待を裏切ってないか。
同定:個人にとって害のあるデータも含めてデータが個人に紐付けられてしまうことで個人に不安を与えてないか。
非セキュリティ:データを不適切に取扱って個人に不利益を被らせてないか。
目的外利用:個人の同意なしに目的とは別の用途でデータを利用して、個人を裏具ってないか。
排除:個人のデータの開示、訂正の権利を与えないで、個人をデータ取扱から排除してないか。

データ拡散

守秘義務関係破棄:特定の利用に基づいて取得した個人のデータを、別の用途で使って個人を裏切っていないか。
開示:個人のデータを第三者に開示して、二次利用先でプライバシー問題は発生していないか。
暴露:個人のデータを他社に曝露することで、個人の生活に支障をきたしていないか。
アクセス可能性の増大:パーソナルデータを他社へアクセスさせ開示のリスクを高めていないか。
脅迫:パーソナルデータの曝露、他者への開示を条件に、個人を支配していない。
盗用:パーソナルデータを誰かの目的のために社会に提示するように用いて、個人の社会への提示を妨げていないか。
歪曲:個人のデータを虚偽、誤解させる形で操作して、個人の恥辱や評判を落としていることはないか。

個人の直接的な介入

侵入:必要以上に個人へメールや電話をすることで個人の日常生活が妨げられてないか。
意思決定への介入:個人の重要な意思決定にAIを用いる場合に、その決定方法によって個人の主体性を萎縮させていないか。

プライバシー影響評価(PIA)

プライバシー影響評価とは?
個人情報及びプライバシーに係るリスク分析、評価対応検討を行う手法である。

組織内にプライバシーを評価する仕組みを作ります。事業を検討するにあたって、いつ誰がプライバシーリスクを評価するかが大事です。

製品やサービスをリリースするまでのステップの例

  1. 市場調査
  2. 経営判断・経営会議(事業、投資の決定等)
  3. 法務に関する審査
  4. システム購入審査や開発システム要件定義
  5. 購買に関する審査(データ購入等の場合)
  6. リリース前ユーザーテスト
  7. リリース判定に関わる経営判断・経営会議
  8. プレスリリース
  9. その他

事業検討の初期段階(経営判断・経営会議)とリリース判定時(リリース判定に関わる経営判断・経営会議)に経営者とプライバシーリスクを評価する方法がある。要件定義前に対策を講じたプラシバシーリスクが、リリース判断のタイミングで低減されているかどうかをチェックポイントにする事ができる。

外部からデータを購入(購買に関する審査)する場合には、契約の法務審査や法務部、プライバシーリスク保護組織とプライバシーリスクを評価することも大事です。

経済産業省が策定した「DX時代の企業のプライバシーガバナンス ver1.0」の概要

ガイドブックの位置付けのページ
ガイドブックの前提のページ
経営者が取り組むべき3要件のページ
プライバシーガバナンスの重要項目のページ
(参考)プライバシーリスク対応の考え方のページ
(参考)プライバシー・バイ・デザインのページ
終わりにのページ

ホーム
DXの基本知識
経済産業省が策定した「DX時代の企業のプライバシーガバナンス ver1.0」の概要
「DX時代の企業のプライバシーガバナンス ver1.0」(参考)プライバシーリスク対応の考え方
タイトルとURLをコピーしました