DPIA・PIA
（データ保護影響評価、プライバシー影響評価、個人情報保護評価）

DPIA（Data Protection Impact Assessment，ディーピーアイエー）・PIA（Privacy Impact Assessment，ピーアイエー）という仕組みをご存じでしょうか。

個人情報を含むデータを活用したビジネス・ITサービス・新技術・事務に有用な仕組みです。その仕組みがもたらすメリット，個人情報の取扱いが必要な理由，個人情報保護対策を体系的に説明することができます。またGDPRでも義務化されているほか，GDPR以外でもアメリカ，カナダ，香港，韓国，オーストラリア等様々な国で実施されており，ISO規格化もされるなど，国際的アピール力のある仕組みでもあります。

「個人情報保護」というと，何をイメージしますか。個人情報保護法，Pマーク，ISMS，プライバシーポリシー等でしょうか。

自分が消費者等として自分の個人情報を外部サービスに預けるときなどは，どうでしょうか。プライバシーポリシーをちゃんと読もうと，思うでしょうか。「大きい企業だから」「ちゃんとしたサービスだから」「多分大丈夫」と先方を信頼して，個人情報を預けていることもあるのではないでしょうか。

とはいえ，個人情報の取扱いは，現状ではある意味「ブラックボックス」になっている場合もあります。

「私の個人情報は誰にどのように取り扱われているの？」
「私の個人情報は何に使われるの？」
「私の個人情報は誰に提供されていくの？」
「私の個人情報はどのように管理されているの？」
「私の個人情報はちゃんと守られているの？」

これらの疑問に対して，現状のプライバシーポリシーからは，はっきりした回答が得られないことも多いです。この点，DPIA/PIAは，これらの疑問にはっきりと回答することができます。DPIA/PIAでは，「どのように個人情報を取り扱うのか」「どのようなリスク対策を講じるのか」「プライバシー権保護/個人情報保護にどのように取り組んでいるのか」を明らかにします。

個人情報を含むデータを活用して，新しいビジネス・ITサービスを企画したり，先進技術を導入したり，新しく画期的な公的業務を実施しようとしても，社内外/庁内外から様々な懸念が表明されることもあります。

「個人情報が危ない，問題だ」という懸念に対し，「このサービスは必要/有用です」と回答したとしても，あまり説得力はありません。そのサービスが必要であったり有用であったりしても，個人情報を取り扱う以上，リスクがゼロになることはほぼあり得ないとも考えられるからです。

その点，DPIA/PIAを実施することで，そのサービスがどういう効果をもたらすもので，なぜ個人情報を取り扱うのか，そして個人情報への悪影響を限りなく低減させるために具体的にどのような方法をとっているのか，個人情報への懸念としてどういうリスクが考えられそのリスクへ具体的にどう対策をとっているのか等を，より具体的に説明することができ，また第三者による評価を受けることなども可能であり，個人情報を適切に取り扱うことをユーザ・消費者にアピールする手法にもなり得ます。

また，自社従業者や委託先に対しても，DPIA/PIAが，個人情報保護の理解を深める効果をもたらすことが考えられます。自分に関連する業務において具体的にどのような点に留意すればよいのか，顧客からの個人情報関連の質問に対してどのように具体的に説明することが可能か等，さまざまな理解を深めてもらうことに役立つとも考えられます。

各企業・公的機関等では，個人情報保護法についての研修を実施していると思います。研修は大変重要ですが，例えば法律に関する抽象的な研修の場合，従業者や委託先からすれば，自分の業務と具体的に何が関係するのか，自分は具体的に何に気を付ければよいかわからず，理解が深まらないことも考えられなくはありません。これに対し、DPIA/PIAを活用すれば，自分の業務で自分が具体的に何に気を付けるべきか，また個人情報に対する説明を顧客から求められた場合にどういう風に具体的に回答できるのか等について，より実践的な理解を深めることも可能ではないかと思います。

DPIA/PIAは，GDPRでは35条・36条で規定されています。「特に新たな技術を用いるような種類の取扱いが，自然人の権利及び自由に対する高いリスクを発生させるおそれがある場合」に，管理者（Controller）にDPIAを実施する義務を課しています。例えば，人権に対する影響の強いプロファイリング，センシティブデータの大規模な取扱い，大規模で人権に対する影響の強い監視等を行う場合には，とりわけDPIAの実施が求められます（GDPR35条3項）が，DPIAを実施すべき場合はこれらに限りません。

ガイドライン（「データ保護影響評価（DPIA）及び取扱いが2016/679規則の適用上、「高いリスクをもたらすことが予想される」か否かの判断に関するガイドライン」）も公表されており，仮日本語訳も日本の個人情報保護委員会から公表されています。

また日本でも，マイナンバーに関しては，「特定個人情報保護評価」として地方公共団体，行政機関等に義務付けられるほか，個人情報全般に関しても，個人情報保護委員会や総務省資料で言及されています。なお，水町雅子弁護士は，海外のPIAを調査し日本に導入する業務を内閣官房で行い，特定個人情報保護評価の立案・評価書様式作成・規則/指針/解説作成・下審査を行いました。