【CIA試験講義】パート1 セクションA-6-d: データ・プライバシーの維持における役割
テーマ:信頼のガーディアン ~プライバシー保護への助言~
前回のアシュアランス業務(A-5-c)では、プライバシー監査について学びました。それは「ルール通りに守られているか」を事後的に評価する活動でした。
今回のアドバイザリー業務(A-6-d)では、「これからどうやってプライバシーを守る体制を作るか」、あるいは「変化する規制にどう対応するか」という、より前向きで構築的な関わり方を学びます。
GDPR(EU一般データ保護規則)やCCPA(カリフォルニア州消費者プライバシー法)など、世界中で規制が厳格化する中、組織は「評価」される前に「助言」を求めています。
1. プライバシー・アドバイザリーの典型的な場面
内部監査人がプライバシー領域で助言を求められるのは、主に以下のようなタイミングです。
- 新しい規制への対応(Gap Analysis):
- 「新しい法律が施行されるけど、ウチの会社は何が足りていないの?」
- 監査人は、現状(As-Is)とあるべき姿(To-Be)のギャップ分析を支援します。
- 新システム・新サービスの開発(Privacy by Design):
- 「新しいアプリで顧客データを集めたいんだけど、設計段階で気をつけることは?」
- 後付けではなく、最初からプライバシー保護を組み込む「プライバシー・バイ・デザイン」の考え方を助言します。
- データ侵害発生後の対応:
- 「漏洩してしまった。再発防止策を一緒に考えてほしい。」
- 原因究明とプロセス改善の提案を行います。
2. 具体的なアドバイザリー活動の内容
監査人は、経営責任(決定権)を持たずに、以下の活動を通じて組織を支援します。
- データ・マッピングの支援:
- 組織内の「どこに」「どんな個人情報が」「誰によって」管理されているか、データの棚卸し(インベントリ作成)をファシリテートします。
- プライバシー影響評価(PIA: Privacy Impact Assessment)のレビュー:
- 経営陣が実施したPIA(新しいプロジェクトがプライバシーに与えるリスクの評価)に対し、客観的な視点から「リスクの見落としがないか」を助言します。
- プライバシー・ポリシーの策定支援:
- 他社のベストプラクティスを提示し、ポリシー案に対するコメントを行います(最終承認は経営陣)。
3. 「DPO(データ保護責任者)」との関係と独立性
ここが試験の最重要ポイントです。 多くの組織には、法的に設置が義務付けられたDPO(Data Protection Officer)や、プライバシー担当役員がいます。
- 原則: 内部監査人は、DPOの役割を兼務してはいけません。
- 理由: DPOは、プライバシー管理体制を構築・運用し、規制当局との窓口になる「経営責任(第2線)」を担うからです。監査人がDPOになると、将来その業務を客観的に監査できなくなります。
内部監査人の役割は、DPOを「支援」することであり、「代行」することではありません。
4. セキュリティとの混同に注意(再確認)
アドバイザリー業務においても、「セキュリティ」と「プライバシー」の区別は重要です。
- セキュリティへの助言: 「暗号化技術は何を使うべきか?」(技術的助言)
- プライバシーへの助言: 「そもそもこのデータを収集する同意を得ているか?」「利用目的は限定されているか?」(権利・運用的助言)
監査人は、技術(セキュリティ)が確立されていても、運用(プライバシー)に穴があればリスクは防げないことを啓蒙する必要があります。
まとめ
セクションA-6-dのポイントは、「Privacy by Designの推進者」です。
これからのプライバシー対応は「守りの監査」だけでは間に合いません。
内部監査人は、ビジネスが始まる前の設計段階(Design)に入り込み、「ここでそのデータを集めるのはリスクが高すぎますよ」と予防的な助言を行うことで、組織の信頼(Trust)を守る役割が期待されています。
【練習問題】パート1 セクションA-6-d
Q1. 組織は、新たに施行される厳格な個人情報保護法に対応するためのプロジェクトチームを立ち上げた。内部監査部門長(CAE)に対し、このプロジェクトへの関与が求められている。アドバイザリー業務として、内部監査人が果たすべき役割として最も適切なものはどれか。
A. 法令対応のためのプライバシー・ポリシーを起草し、最終承認を行う。
B. 新しい法規制の要件と、組織の現在のプライバシー管理態勢との間のギャップ分析(Gap Analysis)を行い、不足しているコントロールについて助言する。
C. 組織のデータ保護責任者(DPO)に就任し、規制当局への報告義務を負う。
D. 個人情報を取り扱うすべての従業員のアクセス権限設定作業を代行する。
【解答・解説】
正解と解説を表示
正解(B): 内部監査人のアドバイザリー業務としての適切な役割は、現状とあるべき姿の差異(ギャップ)を特定し、そこを埋めるための助言を行うことです。これは経営責任を負わずに組織を支援する最良の方法です。
不正解(A): ポリシーの最終承認は経営責任です。
不正解(C): DPOへの就任は、運用責任を負うことになるため、内部監査の独立性を損ないます。
不正解(D): 権限設定の実作業(運用)はIT部門や管理者の責任です。
Q2. マーケティング部門が、顧客の行動履歴データを分析する新システムの導入を計画している。内部監査人が開発段階でアドバイザリー業務として関与する際、「プライバシー・バイ・デザイン(Privacy by Design)」の観点から行うべき助言はどれか。
A. システムの処理速度を最大化するために、データの暗号化機能を無効にするよう提案する。
B. データの収集段階で、顧客から明確な同意を得る機能や、顧客自身がデータを削除できる機能をシステム要件に組み込むよう助言する。
C. 開発コストを削減するために、セキュリティ・テストの回数を減らすよう提案する。
D. システムが完成した後に、プライバシー侵害がないか監査することを約束する。
【解答・解説】
正解と解説を表示
正解(B): プライバシー・バイ・デザインとは、企画・設計段階からプライバシー保護の仕組みを組み込むアプローチです。「同意の取得」や「削除権(忘れられる権利)の行使」といった機能は、後付けが難しいため、設計段階で助言することが極めて重要です。
不正解(A): セキュリティ(暗号化)を犠牲にする提案は不適切です。
不正解(C): リスクを高める提案は監査人の役割ではありません。
不正解(D): これは「完了後のアシュアランス」であり、開発段階での「デザイン(助言)」に関する設問の意図と異なります。
Q3. 内部監査部門がデータ・プライバシーに関するアドバイザリー業務を提供する際、留意すべき「独立性への脅威」に関する記述として、正しいものはどれか。
A. プライバシーに関する専門知識がない場合でも、OJTで学べばよいため、業務を引き受けてもよい。
B. 過去にプライバシー監査(アシュアランス)を行った部門に対して、アドバイザリー業務を提供することは禁じられている。
C. 監査人がプライバシー管理プログラムの設計や運営の意思決定に関与すると、将来そのプログラムを客観的に監査できなくなる(自己監査の脅威)ため、意思決定は経営陣に行わせる必要がある。
D. 外部の規制当局と直接対話することは独立性を高めるため、監査人が組織を代表して当局との折衝を行うべきである。
【解答・解説】
正解と解説を表示
正解(C): アドバイザリー業務における最大のリスクは、深く関与しすぎて経営責任(決定・運用)を取り込んでしまうことです。監査人がプログラムを設計・決定してしまうと、将来のアシュアランス業務において「自分の作品」をチェックすることになり、客観性が損なわれます。
不正解(A): 専門的能力(Proficiency)が不足している場合は、業務を辞退するか、専門家をチームに加える必要があります。
不正解(B): アシュアランスの後にアドバイザリーを行うことは可能です(逆のケースは配慮が必要ですが、順序の問題ではありません)。
不正解(D): 当局との折衝(組織の代表としての行為)は経営責任の一部であり、通常は法務部やDPOの役割です。
