DPIAの実施方法

①実施時期
DPIAは、「処理の前に」実施しなければなりません（第35条第1項および第35条第10項、前文第90項および第93項）。DPIAは、一定の処理業務の内容がまだ確定していないとしても、処理業務の設計において現実的に可能な限り早期に開始されるべきであるとされています。前述の通り、特定の技術または組織的対策の選択は処理により生じるリスクの重大性または可能性に影響を与えうるため、DPIAの展開プロセスの進展に伴って、影響評価の個別の段階を繰り返すことが必要となる可能性もあります。

②実施方法
データ保護影響評価は、少なくとも以下の事項を記載する必要があります（第35条第7項）。

• 想定される処理業務および処理の目的の体系的な記述。該当する場合には、管理者が追求する正当な利益。
• 目的に関する処理業務の必要性および比例性の評価
• データ主体の権利および自由に関するリスクの評価
• リスクに対応することを想定した対策。データ主体および関係するその他の者の権利および正当な利益を考慮し、個人データの保護を確保し、かつGDPRの遵守を立証するための保護措置、セキュリティ対策およびメカニズムを含む。

下記の図表は、DPIAを実施に関する包括的なプロセスを表したものです。ここで記載される各プロセスは、実務上、DPIAが完了するまでの間に複数回にわたり再度実施される可能性があります。

行動規範（Code of conduct）（第40条）の遵守は、データ処理業務の影響を評価する際に考慮されなければならないとされています（第35条第8項）。行動規範とは、管理者または処理者のカテゴリーを代表する組織またはその他の団体が、特定の分野における企業のニーズを考慮して作成するデータ保護に関する規範をいいます。行動規範に従って処理業務が行われていることは、データ保護に関する十分な対策が実施されていたことを立証するために有益であると考えられています。GDPRの遵守状況を立証するための認証（Certification）（第42条）および拘束的企業準則（Binding Corporate Rules (BCR)）（第47条）による対応状況も考慮の対象となります。

DPIAの一般的な実施方法における要素が踏まえられていれば、どのような方法論を採用するかは管理者の裁量に委ねられますが、参考となる枠組みを提供するものとしては、以下が挙げられます。

EUの包括的な枠組みの具体例

ドイツ: Standard Data Protection Model, V.1.0 – Trial version, 2016.

スペイン: Guía para una Evaluación de Impacto en la Protección de Datos Personales (EIPD), Agencia española de protección de datos (AGPD), 2014.

フランス: Privacy Impact Assessment (PIA), Commission nationale de l’informatique et des libertés (CNIL), 2015.

英国: Conducting privacy impact assessments code of practice, Information Commissioner’s Office (ICO), 2014.

EUの特定のセクターに関する枠組みの具体例

Privacy and Data Protection Impact Assessment Framework for RFID Applications

Data Protection Impact Assessment Template for Smart Grid and Smart Metering systems

③DPIAの実施方法に関するその他の留意事項
管理者においてデータ保護責任者が選任されている場合は（第35条第2項）、データ保護責任者（Data Protection Officer: DPO）の助言も求めなければならず、DPOの助言および行われた決定はDPIAにおいて文書化される必要があります。また、DPOは、DPIAの実施についても監視する必要があります（第39条第1項第c項）。したがって、例えば、会社が新しい技術を導入して新商品・サービスを立ち上げる際にDPIAが必要となる場合、DPOがDPIAに関してどのような姿勢で対応するかによって当該新商品・サービスの立ち上げのスケジュールに多大な影響を及ぼす可能性があります。すなわち、DPOがDPIAの実施義務や実施後のDPIAに関するデータ保護監督当局への事前相談の要否について、過度にデータ保護を重視した態度で助言を行う場合、不必要にDPIAに関するデータ保護監督当局に対し事前相談を行わなければならない個人データの処理行為が出てくることになり、それによって当該新商品・サービスの立ち上げを、データ保護監督当局からDPIAの実施についてクリアランスを得るまで、行うことができないことになります。
そのため、DPOの選任はこの点でDPIAとも連動する問題であることを考慮して実務対応を行う必要があります。DPOの地位および選任については、本連載第4回「データ保護責任者（Data Protection Officer）の要件」も御参照下さい。

データ保護監督当局との事前相談

上記の通り、DPIAは、処理業務が自然人の権利および自由に対する高度のリスクをもたらす可能性がある場合において必要とされます。その場合、データ管理者は、データ主体の権利および自由に対するリスクを評価し、当該リスクを受け入れ可能なレベルまで軽減させ、かつGDPRの遵守を立証することを想定した対策を示す必要があります。

もっとも、特定されたリスクがデータ管理者の対策によって十分に対応できない場合は、依然として残余リスクが高いデータ処理であるため、管理者はデータ処理を行う前にデータ保護監督当局に対する相談を行う必要があります。残余リスクが高いデータ処理の例としては、データ主体が重大なまたは回復不能といえる結果に直面する可能性があり、これを克服することが不可能である、または当該リスクが発生することが明白であるといえる場合が挙げられます。

まとめ

上記の通り、DPIAに関するGDPR対応は、まずDPIAの実施義務の要件について検討を行うことが出発点となります。そのため、企業としては、上記の通りデータマッピングを行い、自社におけるGDPRの適用対象となる個人データの処理行為の内容を把握したうえで、それらの処理行為が上記のDPIAの実施義務の有無の判断基準に照らして、DPIAの実施義務のある個人データの処理行為を判断すべきです。DPIAの評価に基づく対策によっても依然として高度のリスクが残る場合には、データ処理を行う前にデータ保護監督当局との事前相談を行う必要があります。今後、DPIAの要否に係るデータ保護監督当局による処理業務のリストが公表されることになるため、DPIAの実施義務の検討においては、データ保護監督当局によるそれらのリストの動向についても留意しておく必要があります。