- 著者
-
長谷川 久美
中田 亮太郎
瀬戸 洋一
- 出版者
- 日本セキュリティ・マネジメント学会
- 雑誌
- 日本セキュリティ・マネジメント学会誌 (ISSN:13436619)
- 巻号頁・発行日
- vol.32, no.3, pp.35-43, 2019-01-25 (Released:2019-03-25)
- 参考文献数
- 22
現在,多量の個人情報がシステムに収集,処理,保管されている.また,官民問わず,個人情報の利活用が盛んになっている.個人情報を扱うシステムを適正に構築運用するためには,事前のリスクアセスメントとして,プライバシー影響評価(PIA)が有効である.
PIA の実施動向として,2017 年 6 月に PIA に関する国際標準規格 ISO/IEC 29134:2017 が発行された.EU では 2018 年 5 月に施行される一般データ保護規則(GDPR)でデータ保護影響評価の実施が規定された.日本では,番号法に基づいて特定個人情報保護評価が義務付けられたが,このような背景から,マイナンバー以外の分野でも PIA 実施の重要性が認識されている.
PIA を有効に実施するにはマニュアル(手順書)が必要である.過去に開発した PIA マニュアルは ISO 22307:2008 をベースとしているため,ISO/IEC 29134 適合の PIA 実施マニュアルの改訂が必要となった.PIA 実施マニュアルの開発にあたり,既開発のマニュアルと ISO/IEC 29134 との要求事項の比較を行い,変更点を分析した.比較分析の結果,要求事項には大きな差異は見られなかった.ISO/IEC 29134:2017 では,Due Diligence(デューデリジェンス),ステークホルダーエンゲージメント,リスク対策について明示的に記述された.この分析結果を踏まえ,ISO/IEC 29134 の要求事項を反映した PIA 実施マニュアルを開発した.
本稿では, PIA に関連する各国際規格などの概要と,ISO/IEC 29134 準拠の PIA 実施マニュアル開発にあたり,既開発のマニュアルと ISO/IEC 29134:2017 における要求事項との比較分析結果を中心に述べる.