Japan
サイト内の現在位置
PIA(プライバシー影響度評価)のご紹介
NECセキュリティブログ2026年5月22日
NECソリューションイノベータ株式会社の北野です。
DXが進むことにより、システム内で個人情報の取扱いが見えなくなっていることが多いかと思います。今回のブログでは、システムでどのように個人情報保護とセキュリティ対策すればよいかの判断材料としてPIA(プライバシー影響度評価)についてご紹介します。
目次
1. はじめに
近年、改正個人情報保護法施行や在宅勤務の普及、DX(デジタルトランスフォーメーション)の社内施策の影響による社内システムのデジタル化、クラウド利用の増加等により、個人情報保護の話題が増えていると感じています。DXを推進する中で、知らず知らずに個人情報を扱っていることになっていた、取り扱う個人情報が増えていた、というケースが見受けられます。
コロナ禍の消費者動向の変化もあり、カメラ画像や生体認証等を用いたビジネスや通販による直販業務を始められる会社が増加し、いままで個人情報を活用してこなかった企業が新たに個人情報を取り扱うケースが増えていると感じています。このような企業を想定した取扱いの事例を、第2章でご紹介したいと思います。
2. 忘れがち・見落としがちな個人情報保護
まず、紙媒体を含めた全般的な個人情報保護を説明します。「個人情報保護」というと、情報セキュリティ対策をイメージされる方が多いかと思いますが、情報セキュリティは個人情報保護の一部です。安全管理以外には、利用目的等の通知・公表、利用目的に限定した取扱い、本人からの苦情・相談対応があります。
安全管理措置(情報セキュリティ対策)については、考え方は個人情報以外の情報と同じですので、ここからはリスクが高い電子データ(個人データ)のデータセキュリティ対策を中心に話を進めていきたいと思います。
社内でDX等により新たな取組を行う場合、個人データが絡むことが多くます。ここでは新たな施策や日常業務等により発生する個人データの取扱い業務とそのリスクを見ていきましょう。
2-1 通販サイトの企画
人々の外出抑制や在宅勤務に伴い、今まで一般消費者との接点が薄かった製造業や卸業でも売上を伸ばすために直販サイトを始められるケースが見受けられます。通販で購入いただいた商品の配送を自社で行う際には、注文者(一般消費者も含む)の配送先、氏名、連絡先(メールアドレス、電話番号)等を入手するケースに当たります。なお、受注や発送を委託先に任せて、注文者の個人情報を一切入手しない場合は、個人情報の取扱いには該当しない場合もありえますが、自社名で通販業務を行う際は、委託元責任が発生するため、個人情報の取扱いに該当します。
また、ビジネスモデルに応じて、取り扱う個人情報に関するリスクが異なる点についても注意が必要です。BtoB (Business to Business)の場合は、担当者名に加え、会社名、会社所在地、会社の連絡先(電話、メールアドレス等)は、一般的に個人データに該当しますが、いわゆる“名刺情報”であり、ある程度公開されている個人データです。一方、BtoC(Business to Consumer)の場合、購入者個人の自宅の住所や自宅の電話番号・私物の携帯番号、生年月日や性別などプライベート情報が含まれる場合は、一般的に公開されていない個人データに該当します。よって、BtoBかBtoCによって、取扱う個人データのリスクが異なります。
2-2 生体情報に関する情報
業務効率化やDXに向けて、IoTを使い始めている企業も多いと思います。また、一般消費者向けに、IoT機器を使ったサービスを展開する際には、個人データを扱うことになるケースもあります。例えば、温湿度計、体温計、体重計もスマートデバイスからクラウドに連携できる機器も増えていますが、これらのデータ集約や分析するサービスを行う際には、個人データを扱うことになる場合があります。
体温計、体重計は、個人に関する情報であるため、ユーザ名やメールアドレス等の個人に紐づく場合は個人データに該当するケースが多いです。また、温湿度計のデータは、一見個人データに該当しないようにも思えますが、位置情報と連動して、利用者の居間や寝室等の設置場所情報を登録する場合は、個人データに該当する場合があります。
2-3 画像データ
監視カメラを利用している企業も多いと思います。基本的に画像で個人を識別できる場合は個人データに該当する可能性があります。よく街中やお店の入り口に「防犯カメラ設置中」や「防犯カメラ作動中」というような看板を見かけたことがある方は多いと思いますが、これは個人データの取得に当たるケースがあるためです。録画をしていないケースもあるかと思いますが、録画して顔認証等で個人識別をする際は、個人データに当たります。
入退室装置やPCログインで顔認証を使ったりするケースもあるかと思いますが、この場合は個人識別をしている状態だと思います。また、工場や倉庫内で、カメラを使った個体識別を行っていて、個人の顔が映り込むケースがある場合、個人データに該当する場合があります。
3. 個人情報を適切に守るためには
本章では以下の流れで話を進めていきます。
- 保護すべき個人情報(または個人データ)を明確にする
- 業務毎に個人情報のライフサイクルを明確にし、場面ごとのリスクを把握する
- リスクに対応した対策を検討する(IT施策に限らず、業務フロー作成や残留リスク管理も含む)
3-1 個人情報の流れの把握
個人情報保護を適切に行うためには、現状確認が必要です。つまり、個人情報毎にどのように入手して、どのように社内で取り扱われ、社外に出ていくのか、いわゆる“個人情報のライフサイクル”の流れを追って確認することが必要です。
最近では、クラウド活等が定番ですので、データフロー図(DFD)の方が整理がしやすいと思います。他社やクラウド事業者とのやり取りが発生することも多いですので、どのシステムと連携する必要があるかの整理が重要です。
データフロー図の整理は、PIA(プライバシー影響度評価)の実施のために必要な手段です。PIAは、日本では行政機関や地方自治体がマイナンバーを扱うシステムで「特定個人情報保護評価」で実施が義務付けられているものです。
最近では、デジタル田園都市構想でのスマートシティや顔認証等の生体情報(個人識別符号)を扱うシステムではPIA実施が推奨されています。
データフロー図の作成に当たり、基本的には、どのシステムのどのプロセスでどのような個人情報を処理しているか、プロセス(処理内容)毎にインプット、アウトプットを整理していくことが重要です。
これを全体に繋げ、個人情報のライフサイクルを完結させます。
3-2 必要な個人情報のセキュリティ対策の確認
個人情報のライフサイクルが整理できたら、次は個人情報の情報セキュリティ対策(安全管理措置)を確認しましょう。ちなみに、行政機関・地方自治体等に実施・報告義務がある「特定個人情報保護評価」では、特定個人情報に関し、以下のようなリスクに対し、ライフサイクルに沿って評価・対策を行っています。
個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン(通則編)」(以下「通則ガイドライン」)10項では、大項目として、7項目挙げられています。
10-1. 基本方針の策定
10-2.個人データの取扱いに係る規律の整備
10-3.組織的安全管理措置
10-4.人的安全管理措置
10-5.物理的安全管理措置
10-6.技術的安全管理措置
10-7.外的環境の把握
7項目の中で10-5項(物理的安全管理措置)、10-6項(技術的的安全管理措置) 現場レベルでの具体的な対策が必要であり、それ以外の項目は組織全体での体制やルールの整備、見直し・情報収集です。電子データ(個人データ)に関連する10-6項をさらに細かく確認すると、技術的安全管理措置をさらに細かく確認すると、中項目として4項目に分類されて、講じなければならない処置が説明されています。このように、個人情報の安全管理を実施するために、各項目の処置を確認しながら、組織としての対応を検討します。
| 講じなければならない処置 | 要約 |
| ①アクセス制御 |
|
| ②アクセス者の識別と認証 |
|
| ③外部から不正アクセス等の防止 |
|
| ④情報システムの仕様に伴う漏えい等の防止 |
|
表1 個人情報の保護に関する法律についてのガイドラインのセキュリティ対策項目抜粋
通則ガイドラインでは、データの暗号化保存については必須ではないとされていますが、アクセス制御として暗号化を使うことは万が一の漏えい時対策としては有効です。アクセス制御ができない場合の例として、インタネット上の通信や、万が一の措置として「10-5物理的安全管理措置」では、PCや電子媒体での持出時には暗号化が必要とされています。
どこに個人データを保存するかによってセキュリティリスクが変わってきます。自社内でシステムを構築している場合の対策はもちろん必要です。最近増加している外部のサイトやテナントを利用するケースでも対策は必要です。その場合は、委託先管理の観点で、委託前に上記対策が適切に実施されているかの確認と定期的な確認(点検)が必要です。
また、バックアップも含め、海外のサイトを使う場合は、利用者に対して、海外へ個人データを移転することや国名の明示が必要となる場合があります。移転先や移転先での取扱いの有無等で条件が変わりますので、通則ガイドラインで確認が必要です。
まとめ
今回は個人データ(電子データ)のセキュリティ対策を実施する上での進め方を解説してきました。電子データのセキュリティ対策が確保できた際は、紙媒体の物理的安全管理対策(通則ガイドライン10-5項)も同様のステップで対策を行うことが望ましいです。
余談ですが、2022年に改正されたISO/IEC 27002は大項目が大きく見直され、14項目から4項目(組織的管理策、人的管理策、物理的管理策、技術的管理策)に整理されました(ISMSの認証基準であるISO/IEC 2700もは2022年改定)。通則ガイドラインの10-3~10-6項と同じ項目になっていますので、ISMSの枠組みでセキュリティ対策を進めることが可能となります。個人情報以外の情報の安全管理措置は、個人情報と同じ様に対策を行うことができるため、個人情報もそれ以外の情報についても同様に対策を実施することが望ましいです。
当社ではセキュリティコンサルティングサービスも実施していますので、当社までお問い合わせください。
参考文献
- [1]個人情報保護委員会「データガバナンス(民間の自主的取組)」
https://www.ppc.go.jp/personalinfo/independent_effort/ - [2]個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/
執筆者プロフィール
北野 博之(きたの ひろゆき)
担当領域:セキュリティコンサルティング、プライバシー保護コンサルティング
専門分野:個人情報保護
前職は日本情報処理開発協会(JIPDEC:現日本情報経済社会推進協会)にて、プライバシーマーク制度やISMS制度に関わっていました。
執筆者の他の記事を読む
アクセスランキング