「個人情報の保護に関する基本方針」(平成16年4月2日閣議決定、令和4年4月1日一部変更)において、PIAや個人データの取扱いに関する責任者を設置すること等によりデータガバナンスの体制を構築することが重要であるとの指摘がなされています。
事業者においては、下記の個人データの取扱いに関する責任者・責任部署の設置に関する事例集、データマッピング・ツールキット、 PIAレポートも参考にしつつ、データガバナンス体制を構築することが望まれます。
個人データの取扱いに関する責任者・責任部署の設置に関する事例集
事業者内に個人データの取扱いに関する責任者を設置することは、データガバナンス体制を構築するための有効な手段となります。そこで、実効的な責任者の設置や活動につながることを期待して、「個人データの取扱いに関する責任者・責任部署の設置に関する事例集」を公表しました。
データマッピング
IT社会の進展に伴うデジタル化によって、各事業者において保有するデータが増加する中で、その保有するデータを適切に管理する必要性が近年高まっています。
そこで、”事業者が取り扱うデータを事業者全体で整理して、取扱状況等を可視化する”(=データマッピング)際の一助とする目的で「データマッピング・ツールキット」を作成しました。
- データマッピングツール
PIAの取組の促進(PIAレポート)
個人情報等を取り扱うにあたっては、個人情報等の保護を含む個人の権利利益の保護を事業の設計段階で組み込むことが肝要です(「プライバシー・バイ・デザイン」の考え方)。
そこで、個人情報等の収集を伴う事業の開始や変更の際に、プライバシー等の個人の権利利益の侵害リスクを低減・回避するために、事前に影響を評価するリスク管理手法であるPIA(Privacy Impact Assessment、個人情報保護評価)の意義や手順等をまとめました。
- PIAの取組の促進