プライバシー影響評価ガイドライン
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2020/09/24 14:24 UTC 版)
「プライバシー影響評価」の記事における「プライバシー影響評価ガイドライン」の解説
PIAガイドラインとは、PIAの実施手順や実施体制を具体的に記述したものである。 現在、PIAの実施を法律(hard law)で義務づけているのは米国のみであり、カナダ、オーストラリア、ニュージーランドにおいては、ソフトロー(soft law)に相当するガイドラインで実施を推奨している。これらの国々では、歴史的経緯から英国法に由来するコモン・ローを採用しており、制定法に依らずPIAを発展させてきた結果、このような制度となっている。 各国共通のPIAガイドラインは存在せず、各国の行政機関やプライバシーに関する独立した第三者機関(プライバシーコミッショナーなど)が、各国事情に応じたガイドラインを公表している。今後は、各国でISO22307の要求事項に準拠したガイドラインの作成が必要となる。 ISO22307に記載されている要求事項を元に作成したPIAガイドラインの例を紹介する。 1.PIA計画 対象システムがPIA実施を必要とするかどうかを判断する予備PIAの実施。 新規システムなのか、既存システムの変更なのか明確にするPIA実施範囲や、開発の種類の特定。 概要、ビジネス目的、経営目標、ライフサイクルなどの情報を収集する対象システムの情報を収集。 必要な専門知識の特定および中立的評価が関与する度合いの決定。 プライバシー・フレームワークとして選択したポリシーや標準等の特定。 PIA結果を、対象システムについての意思決定に反映することについての合意。 2.評価 PIA計画によって定義された実施対象範囲について、以下を実施する。 システムで使用される個人情報の、ビジネスプロセスとデータフロー分析 プライバシーポリシーの遵守に関するギャップ分析 インフラストラクチャおよびセキュリティプログラムの影響度分析 3.PIA報告 PIA報告書の様式は組織によりカスタマイズが可能だが、最低限以下の項目についての記載が必要である。 対象システムの概要とPIAを実施した範囲 PIA実施にあたって必要とされる専門的な知識と、関与する独立第三者機関の位置づけ PIA報告書に基づいて行われる意思決定プロセス 対象システムに係るプライバシーポリシーおよび関連法令、規則、標準等 対象システムに係るプライバシーリスク、PIAの過程で認識されたその他のリスク リスクを緩和する代替策 報告書を受領し、PIA結果と提案事項に責任を持つ経営幹部の識別
※この「プライバシー影響評価ガイドライン」の解説は、「プライバシー影響評価」の解説の一部です。
「プライバシー影響評価ガイドライン」を含む「プライバシー影響評価」の記事については、「プライバシー影響評価」の概要を参照ください。
- プライバシー影響評価ガイドラインのページへのリンク