個人情報保護法・GDPRを踏まえたPIAのベストプラクティスについて話せます
■背景
大手自動車メーカー(以降、A社)向けにPIA事務局業務を実施しました。
A社においては、既に一定のPIAフレームワークがあったものの、法令との紐づけ関係が不明瞭であったり、担当者によって評価に差が出てしまうような状態になってしまっていました。
そのため、PIA項目それぞれがどのような法令と紐づいているのかを整理した上で、その法令を違反した場合のリスクを事前に想定し、対策含めて方針を立てておくことで、担当者による評価・リスク対応のブレを削減する必要がありました。
私はその中で、実際に各項目と法令(個人情報保護法・GDPR)の紐づけ関係の整理を行い、各項目ごとに、順守できていなかった場合のリスクを洗い出しまでを行い、綱目を精緻化しました。
また、当該項目を元に実際にPIAを数十件ほど行うことで、その有効性を検証し、実際にそれまで担当者によって品質のばらつきが生じていたPIAを、どの担当者でも一定レベルで業務遂行可能な状態にするための支援を行いました。
■話せること
・個人情報保護法、GDPRを踏まえた理想のPIAベストプラクティス(項目、プロセスいずれも可)
・PIAを全社に浸透させるために必要なTips
・PIA推進者が業務にあたる際に困る点、及びその解決策に係るTips
等