個人情報保護法改正法、自主規制、PIAの関係について、瀬戸洋一・産業技術大学院大学教授にお話をうかがいました。

（前編はこちら／中編はこちら）

合意形成に本当に必要なのはPIA

──新たな制度やシステムにおける合意形成プロセスとして、改正案では「マルチステークホルダープロセス」が盛り込まれています。

瀬戸：マルチステークホルダープロセスというのは合意形成をするプロセスですが、具体的にどう合意を形成するのかは示されていません。マルチステークホルダープロセスというのは、みんなで足を引っ張り合わないで、ある程度皆が納得する意見を出しましょうということに過ぎません。

そもそも、マルチステークホルダーという言葉には違和感があります。なぜなら、ステークホルダーという言葉そのものに、複数の関係者が含まれています。それを「マルチ」というのは……。

──「頭痛が痛い」ということですね（笑）

瀬戸：そういうことです（笑）。その上で、法改正で触れられているマルチステーホルダープロセスは、対等な関係者間で合意を形成しましょう、という提唱をしているだけで、具体的な手段については触れていません。バズワードでごまかす案件ではないと思います。

バズワードでなく、本当に必要な手段がプライバシー影響力評価（PIA）です。PIAによる合意形成は、個人情報を収集する主体が、個人情報を取得するために、こういう目的でやる、こう安全管理します、と個人情報を提供する消費者や市民に理解してもらうためのプロセスです。つまり、PIAとは説明責任のことなんですよ。

PIAはリスクの技術対策だけではなくて、法制度の変更も促すプロセスがある。だから、いままで存在しなかったシステムについて実施することが多い。香港では、交通ICカードシステムを新しく導入するときに、アメリカはスマートグリッドを導入するときに、それぞれ行われました。

アメリカのスマートグリッドの事例は、スマートグリッドの実体がまだないものですから、どのような情報漏えいが生じるかわからず、どのような法整備をすればいいのかもわからない。こうした企画段階のものに対してPIAを行ったわけです。事前にリスクを評価して、こういうリスクがあるから、こういう技術的対策を置き、さらに法律も新たに作る必要がある、といった報告書が提出されました。このスマートグリッドのPIAの事例は米国標準技術研究所NISTが行い、報告書が公開されています。

この他にも欧米では公的組織が個人情報を収集する場合、PIAが義務づけられています。EUデータ保護規則で、PIAを実施しないと罰則が大きくなると規定されています。

──民間部門でのPIAの実施状況はどうでしょうか。

瀬戸：欧米では民間でも行っています。この場合、非公開に実施されることが多いようです。オーストラリアの実施状況を調査した際、銀行などが組織内で実施していましたが、あくまでも内部システムの構築プロセスの一環で対応されていて、情報は公開されていません。日本では私の大学が民間組織対応しており、過去8年ほどで7件の実施事例があります。

──PIAを実施していること自体も非公開なのでしょうか。

瀬戸：実施していることが非公開ではなく、PIA報告書が非公開となっています。調査してみると、欧米ではいろいろな企業が取り組んでいることが分かります。

──となると、「誰もやっていないから自分もやらなくていい……」というのは、ちょっと実態を見誤っている可能性がありますね。

瀬戸：少なくともマイナンバー対応に関しては、たとえば金融機関のような重大な責任を担う企業であれば、報告書は非公開でもPIAをやるべきですね。顧客への説明責任も果たせますし、事業者自身のリスクを低減することができるでしょう。

──民間事業者の立場からすると、参照できる事例が少ないような気もします。非公開の事例も多いとなれば、なおさらです。扱っているデータは異なりますが、概念やアプローチは、自治体向けのPIAを参照するのがいいのでしょうか。

瀬戸：確かに、自治体の特定個人情報保護評価は、民間部門に比べてある程度は先行しています。ただし、特定個人情報保護評価はシステムを対象とするのではなく事務（業務）を対象としていたり、自己評価であったりと、グローバルスタンダードからかなりはずれています。民間での実施は欧米で導入している、第三者評価を基本としシステムを対象とするプライバシー影響評価を実施するべきです。これはかなり強く主張したいですね。

特定個人情報保護評価は、検証が行われずに制度化されたことが問題だと考えます。ただし、これには仕方がない点もあります。自治体システムの多くは、大手ベンダーが構築したパッケージシステムで構築されており、カスタマーである自治体からはその構造の詳細までは把握できないことが一般的です。つまりグローバルスタンダードのPIAを実施できない。また、たとえ開示されて、システム仕様を把握できたとしても、例えば「ここはDESではなくAESにしてほしい」と要望したところで、パッケージシステムが故に、他のカスタマーのニーズと整合させなければいけませんから、ベンダーは早々には対応できない問題があります。つまり自治体の責任範囲はあくまでも事務なんですね。

システム構成に対するPIA制度と、運用におけるプライバシーマーク制度が混在しているのが特定個人情報保護評価の実態なのです。先ほどもお話しましたが、私の大学において過去8年ほどで7件の実施事例があり、本学のウェブサイトで、ガイドラインおよびPIA報告書を公開しているので是非ご覧になってください。

──PIAの報告書等が公表されている場合の「読み方」にも影響しそうですね。

瀬戸：そもそも、全項目評価の報告書はPIAを専門にしている私が読んでも、システム構成、業務フロー分析、リスク分析の結果、その対策が本当に適切なのか理解が困難です。また、一つの報告書（全項目評価報告書）のページ数が100ページにわたるものも多く、理解するのに時間と専門知識と根気を要します。パブリックコメントを得るという行政手続きで公開していますが、一般市民がわかるのかなといった感想です（笑）。

ただ、グローバルスタンダードであるPIAの方はもっと明確です。正しいPIAの手続きを踏んでいれば、セキュリティ監査やシステム監査の報告書と同じような基調で記述されていますから、多くて20ページ程度のドキュメントです。こうした、ドキュメントの読みやすさや分かりやすさということも、プライバシーに関するリスクが共有されているかどうかを考える、一助となるでしょうね。

民間部門ではグローバルスタンダードに沿ったPIAを実施すべき

──民間事業者としては、必要性は理解できても、具体的な進め方には逡巡がありそうですね。しかし、PIAを実施しないステークホルダーの合意形成は、果たして可能なのでしょうか。

瀬戸：PIAを実施しないステークホルダーの合意形成は、不可能だと思います。セキュリティに関する情報を公開するのですから、どの程度まで脅威脆弱性情報を公開するのか、情報を提供する方には、かなり悩ましい課題です。一方、情報を公開される側（情報を提供する個人）にとっては、必要な情報を公開してくれているのか、隠している情報があるのではないかという疑念が生じます。

PIAにおける情報公開の内容は国際標準で検討され、欧米での多くの実施されてきた洗練された手法であるため、ステークホルダー間における情報共有の方法としては、これ以上の手段はないのではないかと思います。PIAは要求事項や手順が明確なんです。そう考えれば、PIAを推進した方が、より具体的な合意形成プロセスに進めるとは思いますね。

──今回の個人情報保護法改正で、民間団体（業界団体）による自主規制が挙げられていますが、この自主規制をする前提として、PIAは必須ということでしょうか。

瀬戸：必須だと思いますよ。特に金融、医療、防犯等の分野では、PIAを自主的にやる必要があります。ただ、自主的と言っても、むやみにやってもコストがかかるので、業界の代表的組織、例えば医療は保険医療福祉情報システム工業会（JAHIS）、防犯カメラは日本防犯設備協会（SSAJ）、銀行関係は金融情報システムセンター（FISC）、といったところがPIAのガイドラインを作るなどして、コストがかからないようにすべきです。また、PIA評価書をそれぞれの代表的組織にプライバシーコミッショナー組織を設置し、チェック助言指導するのが理想ではなないかと考えます。

PIAを実施すること自体は容易です。ただし、適正に実効性のある実施は、簡単なことではありません。そのためにはPIAガイドライン、第三者評価機関の制度が必要となります。「安全・安心」とよく言われますが、安全はテクノロジーで担保できますが、安心は心の問題だから、例えば暗号化しているから漏洩しても安全と言われても、不安をぬぐいきることはできない。心の問題は、ひとりひとりが納得しなければ解決しないので、説明責任が必要なんです。

そのためには、きちんと情報を公開する。実施者と受け手の方が意志を共有するとか、科学的根拠、客観的な知見を理解しやすく社会に伝える必要があります。そうした営みを踏まえた信頼の構築こそが、PIAの意義なんです。

了