PwCあらた、企業のプライバシー影響評価（PIA）構築支援を強化

　PwCあらた有限責任監査法人（以下、PwCあらた）は25日、パーソナルデータ（個人情報）を利用した新しいサービスの創出を目指す企業に向け、プライバシーリスクを早期に発見および是正できる仕組みである、プライバシー影響評価（PIA）の構築支援を強化すると発表した。

　構築支援では、PIAの最新イドラインとなるISO 22307:2008、ISO/IEC 29134:2017、JIS X 9251:2021などの内容をベースに、PwCあらたのデータ利活用支援業務や監査業務を通じて培った、リスク管理やガバナンスの知見を活用し、独自に開発したツールを使用する。

PwCあらた独自開発のツールを使用した支援内容のイメージ

　評価の進め方としては、まずシステム・サービスの企画（または変更）の段階において、PIAの実施の是非を決める。PIAを実施する必要があると判定された場合には、その準備として、PIAを「いつ」「誰が」「どのように」実施するかを計画する。

　実行段階では、まずシステム・サービスの情報の流れを可視化し、次にシステム・サービスにおけるプライバシーリスクを特定・評価する。その後、評価結果に応じて、リスクへの対応方針を決め、対応計画を策定する。

　最後にPIAのフォローアップとして、実施結果をしかるべき関係者に報告し、必要に応じて公表することも検討する。

　PwCあらたでは、企業がプライバシーリスクに適切に対応するためには、法令を順守しているだけでは十分ではなく、プライバシーの問題を経営課題として捉え、組織全体で取り組む態勢を構築しなければならないと説明。そのためには、問題発生後の対症療法とならないよう、データ利活用の企画・設計段階からプライバシーへの影響を評価し、予防策を事前に組み込んでおくことが重要だとしている。

　その手段の1つとなるのがPIAで、2021年1月にはPIAについてのガイドラインであるISO/IEC 29134:2017に基づくJIS規格（JIS X 9251:2021）が発行されており、個人情報の保護に関する法律に基づいて設置された個人情報保護委員会からは、「PIAの取組の促進について-PIAの意義と実施手順に沿った留意点-」が2021年6月に公表されるなど、PIAへの注目が高まっていると説明。PwCあらたでは、企業などが適切にパーソナルデータを活用し、消費者に不安を与えることなく便利なサービスを提供していけるよう、支援を強化していくとしている。