定期的に個人情報管理者に台帳の更新をリクエストするには？

はじめに

OneTrustでは、プライバシー業務を自動化するための様々な機能があります。その１つが、データマッピングおよびアセスメントのプロセスを自動化するための「自動化ルール」です。

これにより、個人情報保護組織や担当者は、定期的な台帳情報の更新を促すため、リスク レベル、最終評価完了日、最終更新日、契約有効期限などのさまざまな条件に基づいて、インベントリレコードの自動再評価を設定できます。

自動化ルールの設定

まずは、データマッピングのメニューにある「自動化ルール」に遷移し、ルールグループを追加します。

次に自動化ルールを追加していきます。
まず、最初にルールタイプで、OneTrust内で定義されているインベントリやベンダーなどの項目のどれに対して自動化ルールを適用するかを選択します。

ルールタイプで「データ処理活動」を選択後、以下を設定します。

ここで指定する「頻度」や「時間」は、条件チェックを行う頻度であり、インベントリをどれくらいの間隔やタイミングで更新するかという意味ではないので注意してください。

項目	説明
1. 頻度	毎日、毎週、毎月より自動化により設定されたアクションを実行すべきかどうかの条件チェックを行う間隔を選択
2. 時間	時刻を指定する（時刻はUTCベースのため、日本の朝９時に実行したい場合、マイナス９時間した時刻（＝午前０時）を設定する
* 曜日を選択	曜日を選択する（曜日は１つのみ指定）　※「毎週」を選択した場合のみ
* 毎月の日付	日を指定する　※「毎月」を選択した場合のみ

項目	説明
3. 条件A	属性や評価完了日などの条件を指定する。　! 直近の評価完了日から２か月経過したら、再評価を送信したい場合、６０日を指定する。（※日数でしか指定できないため）
4. 条件B	手順３で「評価最終完了日 - テンプレートごと」を指定した場合、自動化ルールによるアクションの対象をテンプレート単位で細かく指定できる。
5. アクション	「データ処理活動の評価を送信する」
6. 以前の評価をコピーする	以前実施したアセスメントの回答内容を再評価するアセスメントに反映したい場合、チェックをつけて、詳細な設定を行う。
7. テンプレート名	送信するテンプレートを指定する。手順４で指定したテンプレートと同一でないものを指定できる。
8. 承認者/回答者	デフォルトでは、回答者、承認者ともに以前の回答者や承認者を指定する設定となっている。基本的には、直接ユーザーを指定するケースはまれなので、前回の回答者、承認者で問題ないケースが多いと思われるが、部署変更などで担当者が変更されるケースの場合に備え、「Business Process Owner」などのユーザータイプの属性を台帳に組み込み、その属性をセットすることもできる。

ルールタイプについて

今回は、「データ処理活動」の再評価を例に説明しましたが、自動化ルールでは、以下のアイテムに対して、自動化ルールを設定することができます。

• アセット
• インシデント
• エンゲージメント
• コントロール　
• タスク
• データ処理活動
• トレーニング
• ベンダー
• ベンダーのプロダクト/サービス
• ポリシー
• 監査
• 契約書
• 事業体
• 手続き
• 評価

さいごに

自動化ルールを使用することで、定期的にOneTrust上の台帳情報（インベントリレコード）を更新することが可能です。直近の評価から６０日経過したものやある属性の回答で指定した選択肢が回答された場合について、再評価を送信したり、リスクに対してフラグを立てたり、リスクレベルによって、別のアセスメントを送信するなど、様々な用途で活用することが出来ます。