ISO/IEC 29134:2017 適合のプライバシー影響評価実施マニュアルの開発

抄録

現在，多量の個人情報がシステムに収集，処理，保管されている．また，官民問わず，個人情報の利活用が盛んになっている．個人情報を扱うシステムを適正に構築運用するためには，事前のリスクアセスメントとして，プライバシー影響評価（PIA）が有効である． PIA の実施動向として，2017 年 6 月に PIA に関する国際標準規格 ISO/IEC 29134:2017 が発行された．EU では 2018 年 5 月に施行される一般データ保護規則（GDPR）でデータ保護影響評価の実施が規定された．日本では，番号法に基づいて特定個人情報保護評価が義務付けられたが，このような背景から，マイナンバー以外の分野でも PIA 実施の重要性が認識されている． PIA を有効に実施するにはマニュアル（手順書）が必要である．過去に開発した PIA マニュアルは ISO 22307:2008 をベースとしているため，ISO/IEC 29134 適合の PIA 実施マニュアルの改訂が必要となった．PIA 実施マニュアルの開発にあたり，既開発のマニュアルと ISO/IEC 29134 との要求事項の比較を行い，変更点を分析した．比較分析の結果，要求事項には大きな差異は見られなかった．ISO/IEC 29134:2017 では，Due Diligence（デューデリジェンス），ステークホルダーエンゲージメント，リスク対策について明示的に記述された．この分析結果を踏まえ，ISO/IEC 29134 の要求事項を反映した PIA 実施マニュアルを開発した． 本稿では， PIA に関連する各国際規格などの概要と，ISO/IEC 29134 準拠の PIA 実施マニュアル開発にあたり，既開発のマニュアルと ISO/IEC 29134:2017 における要求事項との比較分析結果を中心に述べる．