PIAおよびその他の関連制度
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2020/09/24 14:24 UTC 版)
「プライバシー影響評価」の記事における「PIAおよびその他の関連制度」の解説
冒頭で述べたとおり、PIAとは、個人情報の収集を伴う情報システムの導入等における、プライバシーに関する影響の事前評価プロセスであることから、個人情報保護に関連して構築された制度は、PIAと関連するものということができる。主には、プライバシーマーク制度(以下「Pマーク制度」)やISMS(情報セキュリティマネジメントシステム)適合性評価制度(以下「ISMS制度」)があるほか、個人情報の保護に関する包括的な法令である個人情報保護法制がある。 Pマーク制度は、事業者が個人情報の取扱いを適切に行う体制等を整備していることを認定するものである一方、ISMS制度は、情報セキュリティに関し、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、計画に従い、システム運用時にISMSが確立されていることを評価する制度である。また、個人情報保護法制は、民間部門および公的部門を対象とした法律があり、いずれも個人の権利利益の保護を目的として、「利用目的の特定」や「適正な取得」といった個人情報を取り扱う上でのルールを定めている。 いずれの制度も、システム開発後における事業者または組織の運用体制に対する評価制度、あるいは法制度であり、この点が、システム開発前においてシステムそのものに対して評価を行うPIAとは大きく異なる特徴といえる。 システムライフサイクルを考慮すれば、開発段階でPIAを実施し、その後の運用段階でPマーク制度やISMS制度を活用することにより、各制度の特長を補完することができる。このため、より効果的なプライバシー保護策を実施することができる。 個人情報保護法制とPIAとの関係については、次の点を指摘することができる。すなわち、民間部門を対象とした個人情報保護法では、5,000人を超える個人情報を事業に利用する事業者(個人情報取扱事業者)に対してのみ個人情報を取り扱う上での義務を定めており、また、保護対象も個人の識別が可能な情報(個人情報)のみに限定している。しかしながら、実社会において、個人の識別が可能でない情報であっても他人に知られたくないプライバシー情報は数多く存在するものであり、また、かかるプライバシー情報を含めた情報の漏えいがひとたび発生した場合、「個人情報取扱事業者」かどうかに関係なく、被害者は損害賠償請求訴訟を起こすことが考えられる。つまり、個人情報保護法を遵守していればリスクが回避されるものでもなく、この点で、より広範に、かつ、より深くプライバシーに関する影響評価が可能なPIAを実施することは、リスク回避において有効である。
※この「PIAおよびその他の関連制度」の解説は、「プライバシー影響評価」の解説の一部です。
「PIAおよびその他の関連制度」を含む「プライバシー影響評価」の記事については、「プライバシー影響評価」の概要を参照ください。
- PIAおよびその他の関連制度のページへのリンク