ICO(英国個人情報保護監督機関)に学ぶデータマッピングのポイント
Yamamoto
はじめに
今回のブログではデータマッピングの実施方法について、そのポイントをわかりやすくまとめた英国の個人情報保護監督機関であるICOのガイドを参考に実践する際のポイントをピックアップして紹介します。
ちなみに「データマッピング」と似た概念で「データインベントリ」というものがあります。データインベントリは、前回のブログで言及したプライバシープログラムを構成する要素です。よくデータマッピングと混同しやすいのですが、異なるものです。
データマッピングは、組織内でのデータ処理活動(個人データの流れ)を把握し、収集、処理、保存、共有、削除される方法についてドキュメント化するプロセスです。データマッピングの目的は、個人データの使用方法やアクセス権を誰が持っているかについて、明確で詳細な情報を提供することです。データマッピングは、GDPRの要件に適合するための重要なステップであり、個人データのプライバシーやセキュリティに対する潜在的なリスクを特定するのに役立ちます。
データインベントリは、組織が収集、処理しているすべての個人データについて包括的なリストを作成することです。これには、データのタイプ、データのソース、使用目的、および処理の法的根拠などが含まれます。データインベントリの目的は、組織が保有する個人データを特定し評価し、処理する合法的な根拠を確認することです。
GDPRにおけるデータマッピング
EU GDPRでは、説明・証明責任の原則(Accountability)に沿って個人データの処理がなされていることを証明する必要があります。このためには、いくつかの技術的および組織的な措置を講じる必要があります。その措置の1つが第30条1項(Article 30 Records of processing activities)に記載された以下の内容です。
個々の管理者、及び、該当する場合、管理者の代理人は、その責任において、取扱活動の記録を保管する。その記録は、以下の情報の全てを含める(Each controller and, where applicable, the controller's representative, shall maintain a record of processing activities under its responsibility. That record shall contain all of the following information):
一般データ保護規則(GDPR)の条文 (PDF : 981KB) 個人情報保護委員会 第30条 取扱活動の記録 (1)項
それでは、組織は、データ処理活動をどのように文書化すればよいのでしょうか?今回のブログでは、データマッピングの実践方法について解説します。
データマッピングを実施する上での前提条件
データマッピングでは、組織全体(個人データに関与する従業員すべて)が参加することが重要です。そうすることで、組織が処理しているデータをマッピングする際に、抜け漏れがないようにします。組織全体での取り組みとしてドキュメント化タスクをサポートするための十分なリソースを確保するには、事前準備として経営陣の賛同や承認を得ることも重要です。
データマッピング実施手順
どのような個人データをどこに保有しているかという基本的な考え方ができれば、英国GDPRの下で記録すべき情報のドキュメント作業を開始するには十分な状態といえるでしょう。どのように行うかはお客様次第ですが、以下の3つのステップを実行することで、より良い結果を得られると思います:
質問票を作成する
質問票は、個人データを処理していると特定された組織の関係者に配られます。ドキュメント化が必要な部分への回答を促すような、わかりやすい(専門用語のない)質問になるよう心がけてください。
質問例
- なぜ個人情報を利用するのですか?
- 誰についての情報を保有しているのですか?
- その人についてどのような情報を保有していますか?
- 誰と共有していますか?
- どのくらいの期間、情報を保持しますか?
- どのように安全性を担保していますか?
主要なビジネス部門と直接コミュニケーションをとる
ある特定の部門や部署がどのようにデータを活用しているかをより深く理解することができます。
たとえば、以下のようなビジネス部門が挙げられます。
- ITスタッフは、技術的なセキュリティ対策に関する質問に答えることができます。
- 情報ガバナンスのスタッフは、保存期間に関する情報を提供することができるはずです。
- 法務・コンプライアンス担当者は、データ共有の取り決めに関して詳細を把握している可能性があります。
ポリシー、手順、契約書、合意文書を特定し、レビューする
ドキュメント化の練習に直接役立つだけでなく、意図したデータ処理活動と実際のデータ処理活動を比較および検討するのに役立ちます。
ドキュメントとして以下が例として挙げられます。
- プライバシーポリシー
- データ保護ポリシー
- データ保持ポリシー
- データセキュリティポリシー
- システム利用手順
- データプロセッサー(処理者)との契約
- データ共有合意書
ドキュメント化のポイント
処理活動のドキュメントは、紙または電子形式で作成する必要があります。一般的に、ほとんどの組織は、必要に応じて簡単に追加、削除、修正できるように、ドキュメントを電子的に管理するほうが有益かと思います。一方、処理活動がほとんど変化しない非常に小規模な組織では、紙の文書でも十分かもしれません。
組織の処理活動をどのようにドキュメント化するにしても、粒度の細かい、意味のある方法で行うことが重要です。例えば、個人データを各カテゴリーごとに、それぞれ保存期間を分けて設定することもできます。
また、あなたが管理者として個人情報を共有する相手方の組織は、あなたが保有しているデータ主体のタイプやデータの処理目的によって異なる可能性があります。処理活動のレコードは、こうした違いを反映する必要があります。以下で例にあげるような情報の断片的な汎用的なリストで、リスト間にリンクがないものでは、英国GDPRのドキュメント化要件を満たすことはできません。
悪い例:GDPRの要件を満たしていない
個人情報のカテゴリ
- 連絡先
- 財務情報
- ライフスタイルに関する情報
- 位置情報
- IPアドレス
個人のカテゴリ
- サプライヤー
- 従業員
- 緊急連絡先
- カスタマー
- クライアント
個人情報のカテゴリ
- 連絡先
- 財務情報
- ライフスタイルに関する情報
- 位置情報
- IPアドレス
良い例:GDPRの要件を満たしている
| 処理の目的 | 個人のカテゴリ | 個人情報のカテゴリ |
|---|---|---|
| スタッフ管理 | 従業員 | 連絡先 |
| 金融機関情報 | ||
| 緊急連絡先 | 連絡先 | |
| 顧客注文 | カスタマー | 連絡先 |
| 金融機関情報 | ||
| IPアドレス | ||
| サプライヤー... | 連絡先 | |
| 金融機関情報 | ||
| 位置情報 | ||
| マーケティング | カスタマー | 連絡先 |
| ライフスタイル情報 | ||
| クライアント. | 連絡先 |
テンプレート
UK ICOでは管理者用と処理者用の2種類のテンプレートが用意されています。
例:管理者用テンプレート
各テンプレートには、ドキュメント化しなければならない情報のセクションと、第30条でドキュメント化する義務はないものの、処理活動のレコードと一緒に管理すると便利な情報の追加のセクションがあります。
これらのテンプレートの使用は必須ではありません。基本的なテンプレートからOneTrustのような専門的なソフトウェアまで、さまざまな方法で組織の処理活動をドキュメント化することができます。
どのようにドキュメントを管理するかは、組織の規模、処理される個人データの量、処理業務の複雑さなどの要因によって異なってくるという点にご注意ください。
ドキュメントの更新
データマッピングの経験がない方にとって「データ処理活動のドキュメントは常にアップデートする必要があるか?」という問いは当然の疑問です。
その質問の回答は、「随時アップデートをする」です。処理活動をレコードとして残すのは、一過性の取り組みではありません。記録した情報は、個人データの処理ついて今現在の状況を反映しなければなりません。レコードを生きたドキュメントとして扱い、必要に応じて随時更新する必要があります。
言い換えると、組織はドキュメントが正確かつ最新であることをチェックするために、レコード情報について定期的なレビューを実施する必要があります。
大規模な組織においては、GDPRに求められるようなドキュメント化要件をExcelファイルを使用し、最新の状態にキープするのは困難なため、OneTrustのようなGDPRをはじめ、世界中のプライバシー法規制に対応した専門的なソフトウェアを活用し、データマッピングを実施、運用することをお勧めします。
さいごに: OneTrustの紹介
今回のブログでは英国の監督機関であるICOが公開しているガイドをヒントにデータマッピングの方法論について紹介させていただきました。
OneTrustの「データマッピング」機能は、Excelで管理されている既存の台帳(インベントリ)を一括取り込み機能によってデータインベントリ(台帳)の作成、更新を行うことができます。
OneTrust データマッピングの概要
また、OneTrustのプライバシー評価自動化機能の中でインベントリをリンクすることで、PIAやDPIAといったプライバシー影響評価のプロセスの自動化することができ、その中で回答された最新の情報をインベントリに自動反映することで、インベントリ情報(情報資産、データ処理活動、事業体、ベンダー、プロジェクト)を常に最新の情報に保つことができます。
OneTrustの優れたところはそれだけではありません。PIAやDPIAなどの影響評価によって特定、スコアリングされたリスクの管理、それを軽減するための対策など、組織がプライバシー関連業務においてかかる負担を軽減してくれます。
OneTrustの機能を実際のデモ画面でご覧になりたい方は、弊社のこちらよりお気軽にお問い合わせください。
TrustNow株式会社 
OneTrust は、プライバシー分野でNo.1のソリューションです。
プライバシー法規制の要求事項について包括的に対応している点が人気の理由です。
OneTrustのソリューションに興味がありましたら、
お気軽にお問い合わせください
