EU GDPR – Record of Processing Activities ( 処理活動の記録 )

本ブログでは、2018年に施行されたEU GDPR (General Data Protection Regulation: 一般データ保護規則)の中からピックアップした規定について、その要件やEU規制当局が示しているガイドライン等をご紹介するとともに、OneTrustのソリューションについてもご紹介します。

はじめに

企業が「どのような情報を持っているか」「その情報がどこにあるか」「その情報を使って何をしているのか」を適切に管理することで、社内の情報ガバナンスを改善し、昨今厳格化されている各国のプライバシー法規制への遵守に備えることができます。 また、顧客から開示を求められた際の説明責任を果たす際に、迅速に対応することも可能となります。

EU GDPR (General Data Protection Regulation; 一般データ保護規則)では、個人データを扱う管理者・処理者の双方において、「Record of Processing Activity (ROPA: 処理活動の記録、以下ROPAと記載)」が義務付けられています。EU域内の個人データを扱う日本の企業や組織においても遵守は必須であり、個人データの適切な管理方法は、益々重要となってきています。

今回の記事ではICO (英国個人情報保護監督機関)のガイドラインを参考に、ROPAの要件や実行にあたっての重要なポイントを中心にご紹介します。

ROPA 処理活動記録とは?

Record of Processing Activity (ROPA) はデータのライフサイクル全体にわたって実行されるトランザクション (処理活動)の記録簿を指しており、GDPRの特有の用語になりますが、ここ最近では個人データ サイクルの追跡と記録の総称としても使われています。

GDPRの第5条で定められている7つの原則のうちの「Accountability (説明責任)の原則」への準拠を立証するために、ROPAを実行することが求められています。具体的な要件についてはGDPR 第30条の中でROPAの管理者・処理者(および該当する場合、それぞれの代表者) の双方の要件について定められています。

GDPR 第30条 で規定されているROPAの要件

管理者に求められる要件
  • 組織の名前と連絡先の詳細( ※該当する場合は共同管理者、その代表者、および DPO)
  • 処理の目的
  • 個人データの種類
  • データ主体のカテゴリ
  • 第三国又は国際機関に対する個人データの移転、及び、第49 条第1 項第2 副項に規定する移転の場合、適正な保護措置を示す文書
  • 個人データ保存スケジュール
  • 技術的および組織的なセキュリティ対策の説明
  • 処理者によって実行されたすべての処理活動の内部記録
処理者に求められる要件
  • 組織の名前と連絡先の詳細
  • 個人データの種類
  • 第三国又は国際機関に対する個人データの移転、及び、第49 条第1 項第2 副項に規定する移転の場合、適正な保護措置を示す文書
  • 技術的および組織的なセキュリティ対策の説明

ROPAのガイドライン

前項でご紹介した管理者・処理者それぞれに求めらる要件を満たすための処理活動記録については、一度記録したら完了というわけではありません。
記録は企業や組織のデータ処理活動にあわせて、日々更新されることが求められます。
ICOのガイドラインではROPAを実行する上で、下記のポイントを示しています。

ROPAのガイドライン
  • 情報を簡単に追加、削除、修正できるよう電子形式で記録する
  • 記録を定期的にレビューし、常に最新の状態を維持する
  • データを最小限に抑えるために、処理活動および処理するデータの種類を定期的に確認する

その他推奨されている記録

ICOのガイドラインではその他以下のドキュメントについても、処理活動の記録からアクセスしやすい状況にしておくことを推奨しています。

  • 個人データ処理の法的根拠
  • 個人データの情報源
  • 同意の記録
  • 管理者、処理者の間の契約内容
  • 個人データ保管先のロケーション
  • 個人データ侵害の記録
  • 個人データ保存に関する方針など

ROPAのテンプレート例

ICOのガイドラインにある通り、企業や組織の担当者は処理活動記録を定期的にレビューし、常に最新の状態を維持することが求められています。
では、どのような書式で記録する必要があるのでしょうか?
ICOではROPAの管理者用・処理者用のテンプレートを公開しています。


ICO 処理活動記録用テンプレート

ICOでは処理活動記録用のテンプレートを紹介しています。本テンプレートでは、Article30の要件で求められている項目が含まれています。

その他 推奨されている記録

ICOのガイドラインではその他 以下のドキュメントについても、処理活動の記録からアクセスしやすい状況にしておくことを推奨しています。

  • 個人データ処理の法的根拠
  • 個人データの情報源
  • 同意の記録
  • 管理者、処理者の間の契約内容
  • 個人データ保管先のロケーション
  • 個人データ侵害の記録
  • 個人データ保存に関する方針など
その他の処理活動記録用テンプレート例:CNILのテンプレート

フランスの規制当局であるCNILもICOと同じく、第30条で求められている項目を含んだテンプレートを公開しています。

ROPAとデータマッピング(Data Mapping)

ICOではROPAと並行して、データマッピングについても導入時のポイント等ガイドラインを示しています。データマッピングとは、データの収集、処理、保存、共有、削除といった一連の個人データのフローをドキュメント化するプロセスを指します。日本においても、業務で取り扱う個人データのライフサイクルの管理ができることから導入の必要性が高まってきています。
ROPAとの関連性としては、上記のGDPR30条で定められている必須項目の記録をする上で、非常に役立つ運用方法であると考えられます。

データマッピングにはROPAに必要とされる項目の他、次のような項目も含まれます。

  • データの処理情報
  • アセットマップ
  • 国境を越えた転送
  • 技術的・組織的な対策
  • データ処理の概要 など

データマッピングの記録する項目はROPAの要件項目よりも詳細であるため、データマッピングを導入することにより企業は迅速にROPAへ対応することができます。(データマッピング導入時のポイントについては、こちらの記事をご参照ください)

OneTrustのソリューション

前述した処理活動の記録が義務付けされている項目は多岐にわたるため、手作業を中心にした管理方法では非常に対応が困難であることが推測されます。ICOのガイドラインにもある通り、常に最新の状態を維持するためにはシステム活用による業務の効率化が必須となります。OneTrustではデータ管理の効率化・高度化を支援するためにデータマッピングやプライバシー評価自動化(PIA)をはじめとしたソリューションを提供しています。

プライバシー評価自動化 さまざまな法令やフレームワークに対応したテンプレート群

OneTrustでは、さまざまな法令やフレームワークに対応したテンプレート群からユースケースにあったテンプレートを選択することができます。
例えば、ROPAの管理者向けに対応したテンプレートでは、下記の一例にある通り Article 30で求められる要件に関する質問が事前定義済みであり、テンプレートを選択しすぐに評価を作成、開始することが可能です。※お客様の要件に合わせてカスタマイズしたテンプレートを作成することも可能です。

テンプレート例:GDPR 処理活動の詳細に関する質問:組織の名前、処理内容、処理の目的、データ主体、個人データ保存期間

データマッピング データ管理の一元化と可視化

OneTrustのデータマッピングでは、インベントリとよばれる管理台帳を作成し個人データの処理状況を可視化することが可能です。さらに、プライバシー評価自動化で実施した評価をインベントリ上に自動更新することで常に最新の情報を維持することが可能です。

さいごに

今回はEU GDPR で規定されているROPAを実行する上で求められる要件についてご紹介しました。複数の部門、部署、または国別の組織で発生するであろう多岐にわたるデータ処理活動の記録をどのように更新し、管理していくかという点が多くの企業にとって課題となっていることが想像されます。このような状況下において管理方法を自動化し、手作業の範囲を減らすことで、いかに人的・時間的コストを削減していくかということが重要なポイントとなるのではないでしょうか。

弊社では、本ブログでご紹介したデータマッピングやプライバシー評価自動化(PIA/DPIA)をはじめとしたプライバシーマネジメントをサポートするOneTrustのソリューションについてご紹介するウェビナーの開催やデモの実施を行っています。ご興味がありましたら、お気軽にご相談ください。