PIAことはじめ

Transcript

1. Copyright © 2023 LEACT All rights reserved.
   PIAことはじめ
   プライバシーガバナンスナイトVol.01
   2023.03.01 @株式会社メルカリ
   

   View Slide

2. Copyright © 2023 LEACT All rights reserved.
   自己紹介
   世古 修平（せこ しゅうへい）
   n 法律事務所LEACT（弁護士）
   n LINE株式会社（Privacy Counsel）
   n IPA（試験委員）
   n 経済産業省（電子商取引及び情報財取引
   等に関する準則 研究会委員）
   2
   

   View Slide

3. Copyright © 2023 LEACT All rights reserved.
   Agenda
   n 1.PIAとは
   n 2.取組みのコツ
   n 3.ハマりがちな落とし穴
   3
   

   View Slide

4. Copyright © 2023 LEACT All rights reserved.
   良かったらハッシュタグをつけてツイートしてください
   # PIAことはじめ
   4
   

   View Slide

5. Copyright © 2023 LEACT All rights reserved.
   1.PIAとは
   

   View Slide

6. Copyright © 2023 LEACT All rights reserved.
   最近、色々な官公庁がPIAについて言及するようになってきました
   PIAとは
   1
   PIAはいいぞ
   6
   

   View Slide

7. Copyright © 2023 LEACT All rights reserved.
   最近、色々な官公庁がPIAについて言及するようになってきました
   PIAとは
   1
   PIAはいいぞ
   7
   結果、若干のバズワード感も…
   

   View Slide

8. Copyright © 2023 LEACT All rights reserved.
   【例1】経済産業省
   PIAとは
   1
   出所：https://www.meti.go.jp/policy/it_policy/privacy/guidebook12.pdf
   8
   

   View Slide

9. Copyright © 2023 LEACT All rights reserved.
   【例2】総務省
   PIAとは
   1
   出所：https://www.soumu.go.jp/main_content/000734726.pdf
   9
   

   View Slide

10. Copyright © 2023 LEACT All rights reserved.
    【例3】個人情報保護委員会
    PIAとは
    1
    出所：https://www.ppc.go.jp/personalinfo/independent_effort/
    10
    

    View Slide

11. Copyright © 2023 LEACT All rights reserved.
    PIAとは、プライバシーについてのリスクマネジメント手法です
    PIAとは
    1
    プライバシー影響評価，PIA(privacy impact assessment，PIA)
    個人識別可能情報の処理に関する潜在的なプライバシー影響の，特定，分析，評価，協議，伝達及
    び対応の計画を立てるための全体的なプロセスであって，組織のより広範なリスクマネジメントの枠
    組みに組み込まれたもの。
    JIS X 9251:2021 (ISO/IEC 29134:2017)
    プライバシー影響評価，PIA(privacy impact assessment，PIA)
    11
    

    View Slide

12. Copyright © 2023 LEACT All rights reserved.
    個人情報保護委員会が「一般的なPIAのプロセス」を紹介してくれています
    PIAとは
    1
    出所：https://www.ppc.go.jp/personalinfo/independent_effort/
    12
    

    View Slide

13. Copyright © 2023 LEACT All rights reserved.
    【①準備】まずはデータの流れ等を確認します
    PIAとは
    1
    出所：https://www.ppc.go.jp/personalinfo/independent_effort/
    13
    

    View Slide

14. Copyright © 2023 LEACT All rights reserved.
    【②リスクの特定・評価】そこからリスクを洗い出し、評価をします
    PIAとは
    1
    出所：https://www.ppc.go.jp/personalinfo/independent_effort/
    14
    

    View Slide

15. Copyright © 2023 LEACT All rights reserved.
    【③リスクの低減】リスクを低減するための対応策を策定・実行します
    PIAとは
    1
    出所：https://www.ppc.go.jp/personalinfo/independent_effort/
    15
    

    View Slide

16. Copyright © 2023 LEACT All rights reserved.
    これをサイクルとして実施し、Privacy by Designを実現するのがPIAです
    PIAとは
    1
    出所：https://www.ppc.go.jp/personalinfo/independent_effort/
    JIS X 9251:2021 (ISO/IEC 29134:2017)
    DX 時代における 企業のプライバシーガバナンスガイドブック
    16
    

    View Slide

17. Copyright © 2023 LEACT All rights reserved.
    基準になる「お作法」や、派生系としての「方言」が色々あります
    出所：https://webdesk.jsa.or.jp/books/W11M0090/?bunsyo_id=JIS%20X%209251:2021, https://ec.europa.eu/newsroom/article29/items/611236, https://www.ppc.go.jp/files/pdf/data-
    mapping_tool-kit.pdf, https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-2-en-templates.pdf, https://iapp.org/media/pdf/resource_center/pdpc_singapore_guide_to_dpias_2021.pdf
    PIAとは
    1
    17
    

    View Slide

18. Copyright © 2023 LEACT All rights reserved.
    でも、ことのはじめって大抵「面白そう」がモチベーションじゃないですか
    出所：https://mercari.connpass.com/event/275422/
    PIAとは
    1
    18
    

    View Slide

19. Copyright © 2023 LEACT All rights reserved.
    なので今日は取組みのコツと、ハマりがちな落とし穴を紹介します
    PIAとは
    1
    Copyright © 2023 LEACT All rights reserved.
    n 2.取組みのコツ
    Copyright © 2023 LEACT All rights reserved.
    n 3.ハマりがちな落とし穴
    19
    

    View Slide

20. Copyright © 2023 LEACT All rights reserved.
    2.取組みのコツ
    

    View Slide

21. Copyright © 2023 LEACT All rights reserved.
    皆さん、事業/開発部門とはどこでコミュニケーションをとっていますか？
    出所：https://www.javatpoint.com/software-engineering-software-development-life-cycle
    コツ
    2
    21
    

    View Slide

22. Copyright © 2023 LEACT All rights reserved.
    気を抜くと、どうしてもリリース直前（後）のレビューになりがちですよね
    出所：https://www.javatpoint.com/software-engineering-software-development-life-cycle
    コツ
    2
    22
    

    View Slide

23. Copyright © 2023 LEACT All rights reserved.
    私の場合、極力3箇所で議論に混ぜてもらえるように努力をしています
    出所：https://www.javatpoint.com/software-engineering-software-development-life-cycle
    コツ
    2
    23
    

    View Slide

24. Copyright © 2023 LEACT All rights reserved.
    最初に思い出して欲しいのが「法務あるある」な、こんな経験です
    ABC株式会社とこの契約を結びたいので、
    契約書のチェックをお願いします。
    あ、それと契約締結に伴って、
    XXXの社内手続が必要だと聞いたのですが…
    コツ
    2
    24
    

    View Slide

25. Copyright © 2023 LEACT All rights reserved.
    無意識に同じことをしていません？
    （…いやいやいや）
    ありがとうございます、契約書確認します。
    XXXの社内手続はうちでは管轄していないので、
    ちょっとわからないですね。
    申し訳ないですがYYY部署に確認してください。
    コツ
    2
    25
    

    View Slide

26. Copyright © 2023 LEACT All rights reserved.
    Difining（ビジネス視点）
    1 対面する部署 2 すること 3 心がけ
    コツ
    2
    26
    

    View Slide

27. Copyright © 2023 LEACT All rights reserved.
    Difining（ビジネス視点）
    1 対面する部署 2 すること 3 心がけ
    企画 議論 愛 / 敬意
    コツ
    2
    27
    

    View Slide

28. Copyright © 2023 LEACT All rights reserved.
    Design（フロントエンド視点）
    1 対面する部署 2 すること 3 心がけ
    AND
    コツ
    2
    28
    出所：https://www.figma.com/ja/
    

    View Slide

29. Copyright © 2023 LEACT All rights reserved.
    Design（フロントエンド視点）
    1 対面する部署 2 すること 3 心がけ
    AND
    デザイナー
    画面遷移(UX)
    の確認
    想像と質問
    コツ
    2
    29
    出所：https://www.figma.com/ja/
    

    View Slide

30. Copyright © 2023 LEACT All rights reserved.
    Deployment（バックエンド視点）
    1 対面する部署 2 すること 3 心がけ
    コツ
    2
    30
    

    View Slide

31. Copyright © 2023 LEACT All rights reserved.
    Deployment（バックエンド視点）
    1 対面する部署 2 すること 3 心がけ
    エンジニア 実装の確認 橋
    コツ
    2
    31
    

    View Slide

32. Copyright © 2023 LEACT All rights reserved.
    そして、これらが実現できるかはPdM*との関係構築にかかっています
    コツ
    2
    32
    * 会社により名称が異なるかもしれません。当該プロダクトに関して各部門のハブになるようなポジションの人を想定しています。
    

    View Slide

33. Copyright © 2023 LEACT All rights reserved.
    3.ハマりがちな落とし穴
    

    View Slide

34. Copyright © 2023 LEACT All rights reserved.
    定石通り、最初にきちんとゴールを確認しましょう
    落とし穴
    3
    34
    

    View Slide

35. Copyright © 2023 LEACT All rights reserved.
    …あれ、アセスメントをすること自体が目的でしたっけ？
    落とし穴
    3
    35
    

    View Slide

36. Copyright © 2023 LEACT All rights reserved.
    …っけ？
    出所：https://www.ppc.go.jp/personalinfo/independent_effort/
    落とし穴
    3
    36
    

    View Slide

37. Copyright © 2023 LEACT All rights reserved.
    「XX管理台帳」の悪夢
    落とし穴
    3
    37
    

    View Slide

38. Copyright © 2023 LEACT All rights reserved.
    それとも、素晴らしい結果を公表することが目的でしたっけ？
    落とし穴
    3
    38
    

    View Slide

39. Copyright © 2023 LEACT All rights reserved.
    …
    落とし穴
    3
    39
    

    View Slide

40. Copyright © 2023 LEACT All rights reserved.
    …Privacy by Design？
    落とし穴
    3
    40
    

    View Slide

41. Copyright © 2023 LEACT All rights reserved.
    成果物はby Designされたプロダクトであって、大量の台帳ではないですよね
    落とし穴
    3
    41
    

    View Slide

42. Copyright © 2023 LEACT All rights reserved.
    コミュニケーションツールとしてきちんと「使う」ことが最重要なはずです
    落とし穴
    3
    42
    

    View Slide

43. Copyright © 2023 LEACT All rights reserved.
    結果生まれる副産物として、双方への教育効果があると感じています
    【法務】
    PIAの前提として
    n 事業目的
    n システム構成
    n データフロー
    などを確認することで、事業理解が深まる
    【企画・開発】
    PIAを通じて法務側の
    n 知りたい前提情報
    n 通常抱く懸念点
    n よく提案する代替措置
    を把握することで、法務理解が深まる
    落とし穴
    3
    43
    

    View Slide

44. Copyright © 2023 LEACT All rights reserved.
    結果生まれる副産物として、双方への教育効果があると感じています
    【法務】
    PIAの前提として
    n 事業目的
    n システム構成
    n データフロー
    などを確認することで、事業理解が深まる
    【企画・開発】
    PIAを通じて法務側の
    n 知りたい前提情報
    n 通常抱く懸念点
    n よく提案する代替措置
    を把握することで、法務理解が深まる
    落とし穴
    3
    44
    

    View Slide

45. Copyright © 2023 LEACT All rights reserved.
    n まとめ
    

    View Slide

46. Copyright © 2023 LEACT All rights reserved.
    規程や台帳は手段であって、それだけではかける工数にきっと見合いません
    まとめ
    4
    46
    

    View Slide

47. Copyright © 2023 LEACT All rights reserved.
    Privacy by Designとは、文化が根付くことなのだと思っています
    まとめ
    4
    【法務】
    PIAの前提として
    n 事業目的
    n システム構成
    n データフロー
    などを確認することで、事業理解が深まる
    【企画・開発】
    PIAを通じて法務側の
    n 知りたい前提情報
    n 通常抱く懸念点
    n よく提案する代替措置
    を把握することで、法務理解が深まる
    47
    

    View Slide

48. Copyright © 2023 LEACT All rights reserved.
    【おまけ】テンプレート公開しているので良かったら使ってね
    注：ISO等に完全準拠しているわけではないのでその点だけご注意ください、実務上把握しておきたいと普段から感じる項目からボトムアップで構成しています。
    出所：https://aquatic-leopon-c91.notion.site/Privacy-Impact-Assessment-eab79eb6b878400c901f286945d3746f
    まとめ
    4
    48
    

    View Slide

49. Copyright © 2023 LEACT All rights reserved.
    ご清聴ありがとうございました！
    まとめ
    4
    法律事務所LEACT
    世古修平（せこしゅうへい）
    Website ：https://www.leact.law/
    Twitter ：@seko_law
    Mail ：[email protected]
    49
    

    View Slide