データ保護影響評価 (DPIA)
データ保護影響評価 (DPIA) とは何ですか?
データ保護影響評価 (DPIA)GDPR 第 35 条が要求する構造化評価で、高リスクな個人データ処理を開始する前に、個人の権利と自由に対するリスクを特定し低減するもの。
データ保護影響評価(DPIA)は、EU GDPR 第 35 条(および英国 GDPR、ブラジル LGPD など同等の法令)に基づき、自然人の権利と自由に高いリスクをもたらす可能性のある処理を行う前に必須となる手続きです。管理者は処理の性質・範囲・状況・目的を文書化し、必要性と比例性を評価したうえで、データ主体に対するリスクを分析し、緩和策を定めます。トリガーとなる典型例には、組織的な監視、特別カテゴリーデータの大規模処理、法的効果を伴う自動意思決定などがあります。DPIA の結果、残余リスクが依然として高い場合は、処理の開始前に監督機関への事前協議を行う必要があります。DPIA は GDPR の管轄外でもベストプラクティスとして広く採用されています。
● 例
- 01
小売業者が万引き検知のための顔認識カメラ導入前に DPIA を実施する。
- 02
人事部門が AI による応募者スクリーニング(自動意思決定を含む)導入前に DPIA を行う。
● よくある質問
データ保護影響評価 (DPIA) とは何ですか?
GDPR 第 35 条が要求する構造化評価で、高リスクな個人データ処理を開始する前に、個人の権利と自由に対するリスクを特定し低減するもの。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
データ保護影響評価 (DPIA) とはどういう意味ですか?
GDPR 第 35 条が要求する構造化評価で、高リスクな個人データ処理を開始する前に、個人の権利と自由に対するリスクを特定し低減するもの。
データ保護影響評価 (DPIA) からどのように防御しますか?
データ保護影響評価 (DPIA) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
データ保護影響評価 (DPIA) の別名は何ですか?
一般的な別名: DPIA, プライバシー影響評価, PIA。