OneTrustで個人データを定義する

2023年7月12日 最終更新日時 : 2024年4月26日 Yamamoto

はじめに

OneTrustでは、企業または組織で取り扱っている個人情報を把握するために、それらをどのような構成で表示するかについて「個人データの構成」機能で定義します。

ここでいう個人データの構成とは、顧客、従業員、株主など個人(データ主体)のタイプ、個人識別情報、職歴情報、生体情報などのカテゴリ、氏名、電話番号、メールアドレスといった個人データ項目(要素)を指します。

今回は、OneTrustの「個人データの構成」の機能と実装時のヒントについて紹介します。

個人データの構成について

インベントリ管理ツールから「個人データの構成」を選択します。

個人データの構成では、以下の4つのタブに分かれていますが、今回紹介するのは「データ主体タイプ」、「データカテゴリ」、「データ要素」の3つです。(「データ分類」は別モジュールで使用しますが、今回は特に使用しないので割愛します。)

データ主体のタイプ

「データ主体タイプ」のデータ主体とは、個人と読み替えていただければわかりやすいかと思います。

データ主体のタイプには、顧客や従業員などあらかじめ用意されたタイプもありますが、自身で新たにタイプを作成いただくことも可能です。

データカテゴリ

データカテゴリは、個人情報の項目をカテゴリ分けするためのものです。

個人情報の項目(要素)は非常に多く、プライバシー影響評価などアセスメント(質問票)で取り扱う個人情報項目を選択する際に、データカテゴリなしで選択していくのは難しいでしょう。データカテゴリを正しく設定し、グループ分けが適切であれば、評価の回答者にとっても選択時に見つけやすくなります。

データ要素

データ要素とは、個人データの各項目です。年齢やIDやパスワード、人種、労働組合への加入状況など、組織が取り扱う個人に関する情報に含まれる項目を定義します。

カスタマイズについて

個人データの構成では、組織ごとに見せ方の構成を変えることが可能です。見せ方をカスタマイズする際、既存のデータ主体タイプやカテゴリにとらわれず、要件にもとづいた構成にすることも可能です。どうすれば、選択しやすく誤解を招かずに網羅的に選択されるかをユーザーの意見も反映し、試行錯誤しながら進めてください。

データ主体タイプの制限

例えば、ある組織では、データ主体のタイプのうち、従業員のデータのみを扱っているため、「顧客」などそれ以外の選択肢を表示しないように設定したい場合、データ主体タイプの「表示/非表示を管理する」より、表示するタイプを限定することが可能です。

また、下記の図のように、それぞれのデータ主体のタイプに対して同じカテゴリ(例では「個人識別情報」)およびデータ要素(例では「氏名」)をそれぞれのタイプにマッピングすることが可能です。

EUと日本で異なるカテゴリとなる項目を制御するには?

この機能を使用することで、データ主体タイプをデフォルトの「顧客」や「従業員」などの切り口で管理するのではなく、日本、EU(EEA)、アメリカなど法管轄地域ごとで表示・非表示を分けることが可能になります。もし、組織階層(日本本社、EU支社、US支社など)での表示・非表示で要件を満たせる場合には、問題ありませんが、組織単位で個人情報の選択肢を限定sるのが難しいケースの場合、個人データタイプをカスタマイズして作成し、コントロールする方法もあります。

アイテムの削除について

個人データを定義して、使い始めてから不要となった場合に削除したい場合もあるかと思います。

データ主体タイプ 、データカテゴリ、データ要素ともに削除が可能ですが、いくつか制約があります。

データカテゴリは、データ要素が紐づいてない場合、もしくはアセスメント(評価)に回答として選択されているなど紐づけられていない状態の場合、削除することが可能です。

もし、データカテゴリがすでにデータ要素に紐づけれている場合、以下の画面のようにエラーで削除できないため、エラーの内容を確認し、エラーを解消し(今回の例ではマップされているデータ要素を外す)、削除してください。

エラーメッセージ

アイテムの変更について

変更については、データ主体タイプ、データカテゴリ、データ要素ともに、一度作成するとキーについては変更することができません。ただし、翻訳等についてはいつでも変更可能です。

もし、作成したキーの名前が適切でなく、変更したい場合、一度削除して、新規に作成するしかありません。

変更や削除時の注意点

開発の終盤や運用開始後ともなると、変更する場合の既存アプリケーションへの影響範囲についても考慮する必要があります。すでにPIA/DPIAのアセスメントで表示・スキップロジックの条件制御に属性を使用している場合や、アセスメントの質問で属性の一部として選択肢に利用している場合、削除や変更により不具合や質問の説明文との間に不整合が生じる可能性があるため(特に削除の場合)、検証や再設定などが極力ないよう進めていく必要があります。

OneTrust は、プライバシー分野でNo.1のソリューションです。

プライバシー法規制の要求事項について包括的に対応している点が人気の理由です。

OneTrustのソリューションに興味がありましたら、

お気軽にお問い合わせください

ソリューションについて
ウェビナー
OT カテゴリー
データマッピング/PIA
前の記事
組織と役割について
2023年6月23日
次の記事
サポート問い合わせ機能のカスタマイズ
2023年8月24日