データ保護影響評価（DPIA）

DPIA とは

UK GDPR Article 35 が義務化する事前評価プロセス：

「処理が自然人の権利・自由に高いリスクをもたらす可能性がある場合、コントローラーは処理の前にその処理がデータ保護に与える影響の評価を行わなければならない」

データ最小化の検証プロセスとしての側面：DPIA の中核に「この処理は本当に必要か」という問いがある。

DPIA が義務となる条件

Article 35(3) が挙げる「高リスク処理」の例：

1. プロファイリング（自動化された意思決定を含む）
   → 信用スコアリング、採用スクリーニング等

2. 特別カテゴリデータの大規模処理
   → 健康データ、遺伝情報、政治的意見等

3. 公共の場所での大規模な体系的監視
   → CCTV、顔認識システム等

ICO が追加する処理の例：

・新技術の使用（IoT、AI、機械学習）
・第三者へのデータ提供（合否を決める可能性がある場合）
・生体認証データの処理

DPIA の 3 要件構造

A. 処理とその目的の体系的説明
   ├── 何のデータを
   ├── 誰から
   ├── どのように収集・処理・共有・保存・削除するか
   └── → RoPA と直結する（処理の地図）

B. 必要性と比例性の評価
   ├── この目的を達成するために、このデータは本当に必要か？
   ├── より侵害度の低い代替手段はないか？
   ├── 法的根拠（Article 6）は何か？
   └── → データ最小化の3要件テストそのもの

C. リスク評価と軽減措置
   ├── データ主体へのリスクを特定（機密性・可用性・完全性）
   ├── 各リスクの発生可能性と深刻度を評価
   ├── 軽減措置の設計（仮名化・暗号化・アクセス制御等）
   └── 残余リスクが許容範囲か判断

必要性・比例性テストの実施方法

DPIA の「B. 必要性と比例性の評価」は、データ最小化の検証そのもの：

評価すべき質問（ICO チェックリスト）:
  □ 処理の目的は特定・明示・正当か（Purpose Limitation）
  □ 各データ項目は目的と関連性があるか（Relevant）
  □ 収集データは目的達成に十分か（Adequate）
  □ より少ないデータで同じ目的を達成できないか（Necessary）
  □ データ主体にとって合理的な期待の範囲内か
  □ 特別カテゴリデータが含まれる場合、Article 9 の根拠があるか

DPIA が不要な場合の判断基準

「高リスクではない」と判断できる場合は義務ではない（ただし推奨）：

DPIA 不要の条件:
  ✓ 以前の類似処理で DPIA を実施済み
  ✓ ICO の事前承認済み行動規範に従った処理
  ✓ 処理が小規模・低リスク（個人情報が少量・機微でない）
  ✓ 自然人の権利・自由への高リスクが合理的に排除できる

判断に迷う場合:
  → DPIA を実施した方が後々の証拠として有効
  → リスクが低いことを示す文書化自体がアカウンタビリティの実践

DPIA と監督機関への事前相談

残余リスクが「高い」と判断された場合：

Article 36 の事前相談（Prior Consultation）:
  DPIA の結果、残余リスクが許容できない場合
  → 監督機関（ICO）へ処理開始前に相談義務が発生

ICO は以下を期待:
  - DPIA の全文書
  - コントローラー・DPO の連絡先
  - 処理の目的・方法
  - 利害関係者への影響評価
  - 計画している軽減措置

DPIA と RoPA の関係

RoPA（Article 30）:
  全ての処理活動の記録
  → 「何を処理しているか」の包括的目録

DPIA（Article 35）:
  高リスク処理に対する深掘り評価
  → RoPA の特定処理に対して実施
  → RoPA に DPIA の実施有無を記録

関係:
  RoPA が DPIA の対象処理を特定する
  DPIA の結果が RoPA の内容を更新・補強する