プライバシー影響評価(PIA)


プライバシー影響評価(PIA)とは

プライバシー影響評価(以下、PIA)は、個人情報等を収集するなど、プライバシーに関わるサービスやシステムを企画・開発する際に、プライバシーリスクの低減・回避を目的に、事前にリスク評価を行う手法です。PIAは英語で、「Privacy Impact Assessment」と表現します。

近年、サービスやシステムの企画段階から、プライバシーへの配慮を行う「プライバシー・バイ・デザイン」が注目されています。これを実践するための一手法として、PIAが挙げられます。

プライバシー影響評価(PIA)の実施によるメリット

ステークホルダーからの信頼性獲得

PIAの実施及び結果公表により、

  1. 社内の従業員リテラシーの向上に寄与
  2. 社外ステークホルダーに対するプライバシーデータ取扱いの透明性を高め、説明責任を果たす

プライバシーリスク防止による事業コストの削減

  1. 潜在的なプライバシーリスクを検出
  2. 不要な開発投資や、甚大な被害発生を防止

プライバシー影響評価(PIA)の実施方法

プライバシー影響評価(PIA)の一般的なプロセスは以下の3つに区分することができます。

準備

PIA実施可否についての検討

  • プライバシーデータ取扱いフロー変更や事業拡大時、または新技術利用時にPIA実施推奨

PIA実施目的の確認

  • 対象サービス等におけるPIA実施の目的を確認

体制の構築

  • 実施責任者の任命、実施計画やスケジュールの策定

取扱データ・ステークホルダー整理

  • データフローやステークホルダー全体図等の作成
リスクの特定・
評価

リスク特定

  • 消費者等の権利に関するリスクの有無を確認

リスク評価

  • 一例として、特定したリスクの「A : 影響度」と「B : 発生可能性」の観点で評価
リスクへの
対応

対応方針決定

  • リスク評価の結果を基に、 リスクへの対応方針を決定

リスク低減

  • 「A : 影響度」、「B : 発生可能性」が一定あるリスクに対しては低減対応を検討、実施

開発計画・内容の変更

  • 影響度、発生可能性のいずれも高い場合には開発計画やサービス内容を変更

プライバシー影響評価(PIA)の実践事例

顔認証入退場管理システムを題材にしたPIAの実践事例を各工程ごとにご紹介いたします。今回は、セーフィーが提供する顔認証入退場システム、Safie Entrance2においてシステムの整理を実施します。

顔認証入退場管理システムの概要

  1. サービス利用前に、管理者は利用者からプライバシーデータ(氏名、メールアドレス、顔画像データ)を受領し、同意の元データ登録を行う
  2. 利用者は、顔認証端末カメラに顔をかざし、認証を行う
  3. 2.で取得した顔画像データと、登録されている顔画像データの特徴量が一致した場合、電気錠が開錠される

1.準備

PIA実施可否について検討
  • 人物の顔画像等、プライバシーデータを利用しており、流出や滅失等が起こると影響が甚大
  • 顔認証システムという新技術を利用
PIA実施目的の確認
  • サービス利用時のプライバシー影響(データの目的外利用や、不適切な取得のリスク)を明らかにする
体制の構築
  • 実施責任者の任命
  • 投入人員数などのリソース計画
  • スケジュール策定
取扱データ・ステークホルダー整理

今回は、データフローやステークホルダーを合わせた全体スキーム図を作成します。

2.リスクの特定・評価

今回は具体的な利用ケースごとに、サービスユーザーのプライバシーに関わるリスクを特定・評価します。

Case.01リスクの特定

登録した顔画像データが不正利用されることはないか。

Safie Entrance2を利用している会員制店舗の利用契約をしたところ、入退室のため顔画像データの提出を求められた。このデータが不正利用されることはないか。

リスクへの評価
A:影響度

[顔画像データの特徴]

  • 顔画像から抽出する目や鼻、口、輪郭などの特徴量から個人が特定される
  • 人物の顔は簡単に変更できるものではない

→影響度は高い

B:発生可能性

[入退室管理にのみ利用]

  • 顔画像データ及び、顔認証システムは入退場管理にのみ利用

[高度なセキュリティ]

  • Safie Entrance2では、顔画像データを保存しているサーバにおいて強固なセキュリティを施工

→発生可能性は低い

Case.02リスクの特定

勝手に顔画像を撮影・登録されてしまうことはないか。

同じテナントに入居している企業がSafie Entrance2の利用を始めた。近くを通るときに顔が映ることがあるが、顔画像の撮影・登録は自動で行われるのか。

リスクへの評価
A:影響度

[顔画像データの特徴]

  • 顔画像から抽出する目や鼻、口、輪郭などの特徴量から個人が特定される
  • 人物の顔は簡単に変更できるものではない

→影響度は高い

B:発生可能性

[顔画像データ登録は管理者が実施]

  • 顔画像データの撮影・取得をSafie Entrance2の端末にて行うことはない。

→ユーザから提供された顔画像データをもとに、組織の管理者が登録を行う仕様のため

[不要な顔画像データは削除]

  • 組織の管理者にて、退職者など不要となった顔画像データの削除を実施

→発生可能性は低い

3.リスクの低減

対応方針決定

リスク評価結果をもとに、リスクへの対応方針を決定します。

今回は、利用ケースごとにリスクの特定・評価を行ったため、リスク低減の方策検討も、利用ケースごとに行います。
検討後、リスクを十分に低減出来ない場合には、提供中止も含めてサービス企画を検討しなおします。

各ケースでのリスク低減

Case.01

登録した顔画像データが不正利用されることはないか。

リスクの低減
A:影響度
  • 顔画像データの登録画面にわかりやすく利用目的を記載することを検討
B:発生可能性

開発計画・内容の変更

「A : 影響度」は低減可能であり、「B : 発生可能性」は低い

→サービス提供を継続

Case.02

勝手に顔画像を撮影・登録されてしまうことはないか。

リスクの低減
A:影響度
  • 認証端末上に顔画像が登録されていないことを表示することを検討
B:発生可能性

開発計画・内容の変更

「A : 影響度」は低減可能であり、「B : 発生可能性」は低い

→サービス提供を継続

※サービス仕様は予告なく変更の可能性がございます

本ページの内容は、以下資料を参照して作成しております。(PDFが開きます)