Tweet
Tweet

Slide 1

Slide 1 text

Copyright © 2023 LEACT All rights reserved. PIAことはじめ プライバシーガバナンスナイトVol.01 2023.03.01 @株式会社メルカリ

Slide 2

Slide 2 text

Copyright © 2023 LEACT All rights reserved. 自己紹介 世古 修平(せこ しゅうへい) n 法律事務所LEACT(弁護士) n LINE株式会社(Privacy Counsel) n IPA(試験委員) n 経済産業省(電子商取引及び情報財取引 等に関する準則 研究会委員) 2

Slide 3

Slide 3 text

Copyright © 2023 LEACT All rights reserved. Agenda n 1.PIAとは n 2.取組みのコツ n 3.ハマりがちな落とし穴 3

Slide 4

Slide 4 text

Copyright © 2023 LEACT All rights reserved. 良かったらハッシュタグをつけてツイートしてください # PIAことはじめ 4

Slide 5

Slide 5 text

Copyright © 2023 LEACT All rights reserved. 1.PIAとは

Slide 6

Slide 6 text

Copyright © 2023 LEACT All rights reserved. 最近、色々な官公庁がPIAについて言及するようになってきました PIAとは 1 PIAはいいぞ 6

Slide 7

Slide 7 text

Copyright © 2023 LEACT All rights reserved. 最近、色々な官公庁がPIAについて言及するようになってきました PIAとは 1 PIAはいいぞ 7 結果、若干のバズワード感も…

Slide 8

Slide 8 text

Copyright © 2023 LEACT All rights reserved. 【例1】経済産業省 PIAとは 1 出所:https://www.meti.go.jp/policy/it_policy/privacy/guidebook12.pdf 8

Slide 9

Slide 9 text

Copyright © 2023 LEACT All rights reserved. 【例2】総務省 PIAとは 1 出所:https://www.soumu.go.jp/main_content/000734726.pdf 9

Slide 10

Slide 10 text

Copyright © 2023 LEACT All rights reserved. 【例3】個人情報保護委員会 PIAとは 1 出所:https://www.ppc.go.jp/personalinfo/independent_effort/ 10

Slide 11

Slide 11 text

Copyright © 2023 LEACT All rights reserved. PIAとは、プライバシーについてのリスクマネジメント手法です PIAとは 1 プライバシー影響評価,PIA(privacy impact assessment,PIA) 個人識別可能情報の処理に関する潜在的なプライバシー影響の,特定,分析,評価,協議,伝達及 び対応の計画を立てるための全体的なプロセスであって,組織のより広範なリスクマネジメントの枠 組みに組み込まれたもの。 JIS X 9251:2021 (ISO/IEC 29134:2017) プライバシー影響評価,PIA(privacy impact assessment,PIA) 11

Slide 12

Slide 12 text

Copyright © 2023 LEACT All rights reserved. 個人情報保護委員会が「一般的なPIAのプロセス」を紹介してくれています PIAとは 1 出所:https://www.ppc.go.jp/personalinfo/independent_effort/ 12

Slide 13

Slide 13 text

Copyright © 2023 LEACT All rights reserved. 【①準備】まずはデータの流れ等を確認します PIAとは 1 出所:https://www.ppc.go.jp/personalinfo/independent_effort/ 13

Slide 14

Slide 14 text

Copyright © 2023 LEACT All rights reserved. 【②リスクの特定・評価】そこからリスクを洗い出し、評価をします PIAとは 1 出所:https://www.ppc.go.jp/personalinfo/independent_effort/ 14

Slide 15

Slide 15 text

Copyright © 2023 LEACT All rights reserved. 【③リスクの低減】リスクを低減するための対応策を策定・実行します PIAとは 1 出所:https://www.ppc.go.jp/personalinfo/independent_effort/ 15

Slide 16

Slide 16 text

Copyright © 2023 LEACT All rights reserved. これをサイクルとして実施し、Privacy by Designを実現するのがPIAです PIAとは 1 出所:https://www.ppc.go.jp/personalinfo/independent_effort/ JIS X 9251:2021 (ISO/IEC 29134:2017) DX 時代における 企業のプライバシーガバナンスガイドブック 16

Slide 17

Slide 17 text

Copyright © 2023 LEACT All rights reserved. 基準になる「お作法」や、派生系としての「方言」が色々あります 出所:https://webdesk.jsa.or.jp/books/W11M0090/?bunsyo_id=JIS%20X%209251:2021, https://ec.europa.eu/newsroom/article29/items/611236, https://www.ppc.go.jp/files/pdf/data- mapping_tool-kit.pdf, https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-2-en-templates.pdf, https://iapp.org/media/pdf/resource_center/pdpc_singapore_guide_to_dpias_2021.pdf PIAとは 1 17

Slide 18

Slide 18 text

Copyright © 2023 LEACT All rights reserved. でも、ことのはじめって大抵「面白そう」がモチベーションじゃないですか 出所:https://mercari.connpass.com/event/275422/ PIAとは 1 18

Slide 19

Slide 19 text

Copyright © 2023 LEACT All rights reserved. なので今日は取組みのコツと、ハマりがちな落とし穴を紹介します PIAとは 1 Copyright © 2023 LEACT All rights reserved. n 2.取組みのコツ Copyright © 2023 LEACT All rights reserved. n 3.ハマりがちな落とし穴 19

Slide 20

Slide 20 text

Copyright © 2023 LEACT All rights reserved. 2.取組みのコツ

Slide 21

Slide 21 text

Copyright © 2023 LEACT All rights reserved. 皆さん、事業/開発部門とはどこでコミュニケーションをとっていますか? 出所:https://www.javatpoint.com/software-engineering-software-development-life-cycle コツ 2 21

Slide 22

Slide 22 text

Copyright © 2023 LEACT All rights reserved. 気を抜くと、どうしてもリリース直前(後)のレビューになりがちですよね 出所:https://www.javatpoint.com/software-engineering-software-development-life-cycle コツ 2 22

Slide 23

Slide 23 text

Copyright © 2023 LEACT All rights reserved. 私の場合、極力3箇所で議論に混ぜてもらえるように努力をしています 出所:https://www.javatpoint.com/software-engineering-software-development-life-cycle コツ 2 23

Slide 24

Slide 24 text

Copyright © 2023 LEACT All rights reserved. 最初に思い出して欲しいのが「法務あるある」な、こんな経験です ABC株式会社とこの契約を結びたいので、 契約書のチェックをお願いします。 あ、それと契約締結に伴って、 XXXの社内手続が必要だと聞いたのですが… コツ 2 24

Slide 25

Slide 25 text

Copyright © 2023 LEACT All rights reserved. 無意識に同じことをしていません? (…いやいやいや) ありがとうございます、契約書確認します。 XXXの社内手続はうちでは管轄していないので、 ちょっとわからないですね。 申し訳ないですがYYY部署に確認してください。 コツ 2 25

Slide 26

Slide 26 text

Copyright © 2023 LEACT All rights reserved. Difining(ビジネス視点) 1 対面する部署 2 すること 3 心がけ コツ 2 26

Slide 27

Slide 27 text

Copyright © 2023 LEACT All rights reserved. Difining(ビジネス視点) 1 対面する部署 2 すること 3 心がけ 企画 議論 愛 / 敬意 コツ 2 27

Slide 28

Slide 28 text

Copyright © 2023 LEACT All rights reserved. Design(フロントエンド視点) 1 対面する部署 2 すること 3 心がけ AND コツ 2 28 出所:https://www.figma.com/ja/

Slide 29

Slide 29 text

Copyright © 2023 LEACT All rights reserved. Design(フロントエンド視点) 1 対面する部署 2 すること 3 心がけ AND デザイナー 画面遷移(UX) の確認 想像と質問 コツ 2 29 出所:https://www.figma.com/ja/

Slide 30

Slide 30 text

Copyright © 2023 LEACT All rights reserved. Deployment(バックエンド視点) 1 対面する部署 2 すること 3 心がけ コツ 2 30

Slide 31

Slide 31 text

Copyright © 2023 LEACT All rights reserved. Deployment(バックエンド視点) 1 対面する部署 2 すること 3 心がけ エンジニア 実装の確認 橋 コツ 2 31

Slide 32

Slide 32 text

Copyright © 2023 LEACT All rights reserved. そして、これらが実現できるかはPdM*との関係構築にかかっています コツ 2 32 * 会社により名称が異なるかもしれません。当該プロダクトに関して各部門のハブになるようなポジションの人を想定しています。

Slide 33

Slide 33 text

Copyright © 2023 LEACT All rights reserved. 3.ハマりがちな落とし穴

Slide 34

Slide 34 text

Copyright © 2023 LEACT All rights reserved. 定石通り、最初にきちんとゴールを確認しましょう 落とし穴 3 34

Slide 35

Slide 35 text

Copyright © 2023 LEACT All rights reserved. …あれ、アセスメントをすること自体が目的でしたっけ? 落とし穴 3 35

Slide 36

Slide 36 text

Copyright © 2023 LEACT All rights reserved. …っけ? 出所:https://www.ppc.go.jp/personalinfo/independent_effort/ 落とし穴 3 36

Slide 37

Slide 37 text

Copyright © 2023 LEACT All rights reserved. 「XX管理台帳」の悪夢 落とし穴 3 37

Slide 38

Slide 38 text

Copyright © 2023 LEACT All rights reserved. それとも、素晴らしい結果を公表することが目的でしたっけ? 落とし穴 3 38

Slide 39

Slide 39 text

Copyright © 2023 LEACT All rights reserved. … 落とし穴 3 39

Slide 40

Slide 40 text

Copyright © 2023 LEACT All rights reserved. …Privacy by Design? 落とし穴 3 40

Slide 41

Slide 41 text

Copyright © 2023 LEACT All rights reserved. 成果物はby Designされたプロダクトであって、大量の台帳ではないですよね 落とし穴 3 41

Slide 42

Slide 42 text

Copyright © 2023 LEACT All rights reserved. コミュニケーションツールとしてきちんと「使う」ことが最重要なはずです 落とし穴 3 42

Slide 43

Slide 43 text

Copyright © 2023 LEACT All rights reserved. 結果生まれる副産物として、双方への教育効果があると感じています 【法務】 PIAの前提として n 事業目的 n システム構成 n データフロー などを確認することで、事業理解が深まる 【企画・開発】 PIAを通じて法務側の n 知りたい前提情報 n 通常抱く懸念点 n よく提案する代替措置 を把握することで、法務理解が深まる 落とし穴 3 43

Slide 44

Slide 44 text

Copyright © 2023 LEACT All rights reserved. 結果生まれる副産物として、双方への教育効果があると感じています 【法務】 PIAの前提として n 事業目的 n システム構成 n データフロー などを確認することで、事業理解が深まる 【企画・開発】 PIAを通じて法務側の n 知りたい前提情報 n 通常抱く懸念点 n よく提案する代替措置 を把握することで、法務理解が深まる 落とし穴 3 44

Slide 45

Slide 45 text

Copyright © 2023 LEACT All rights reserved. n まとめ

Slide 46

Slide 46 text

Copyright © 2023 LEACT All rights reserved. 規程や台帳は手段であって、それだけではかける工数にきっと見合いません まとめ 4 46

Slide 47

Slide 47 text

Copyright © 2023 LEACT All rights reserved. Privacy by Designとは、文化が根付くことなのだと思っています まとめ 4 【法務】 PIAの前提として n 事業目的 n システム構成 n データフロー などを確認することで、事業理解が深まる 【企画・開発】 PIAを通じて法務側の n 知りたい前提情報 n 通常抱く懸念点 n よく提案する代替措置 を把握することで、法務理解が深まる 47

Slide 48

Slide 48 text

Copyright © 2023 LEACT All rights reserved. 【おまけ】テンプレート公開しているので良かったら使ってね 注:ISO等に完全準拠しているわけではないのでその点だけご注意ください、実務上把握しておきたいと普段から感じる項目からボトムアップで構成しています。 出所:https://aquatic-leopon-c91.notion.site/Privacy-Impact-Assessment-eab79eb6b878400c901f286945d3746f まとめ 4 48

Slide 49

Slide 49 text

Copyright © 2023 LEACT All rights reserved. ご清聴ありがとうございました! まとめ 4 法律事務所LEACT 世古修平(せこしゅうへい) Website :https://www.leact.law/ Twitter :@seko_law Mail :shuhei.seko@leact.law 49