プライバシー成熟度モデル:プライバシーの取り組みをどう評価するか? 

はじめに

プライバシーの取り組みを評価する際、成熟度モデルによる評価および改善に向けたロードマップと進捗の可視化は、非常に有効なアプローチです。

今回のブログでは、プライバシー成熟度モデルについて紹介します。

成熟度モデルについて

成熟度モデルは、組織が特定の分野における現在の進捗状況を評価できるようにするための評価システムとして、ソフトウェア開発、人事、学習、マーケティング、サイバーセキュリティなどの幅広い分野で使用されています。

成熟度モデルとして一般的に有名なものとしては、サイバーセキュリティ分野におけるフレームワークであるAICPA(アメリカ公認会計士協会)が開発したAICPAサイバーセキュリティ成熟度モデル(CMM)の認知度が高く、今回紹介するプライバシー成熟度モデルも含め、さまざまな分野で同様のアプローチが採用されています。

プライバシーに関する成熟度モデルは、さまざまな機関から発表されており、米国公認会計士協会とカナダ公認会計士協会が発表しているものが最もよく知られています。モデルを見ていただくとわかる通り、評価の基準(クライテリア)の数が多いモデルとなっており、入門編としてはとっかかりづらいかもしれません。

そこで、米国公認会計士協会とカナダ公認会計士協会のものよりは、クライテリアが凝縮されているものの、入門編として最適なフランスの個人情報保護監督機関にあたるCNILが公開している成熟度モデルについて紹介したいと思います。

CNILの成熟度モデル

CNIL成熟度モデルは、その名の通り、フランスの個人情報保護監督機関にあたるCNILが開発したモデルであり、一般データ保護規則(GDPR)に準拠した組織のコンプライアンス評価と改善をサポートするためのツールです。

CNIL成熟度モデルは、GDPRの法規制要件、およびCNILのデータ保護に関する専門知識に基づいています。組織は、プライバシー慣行を評価し、改善すべき領域を明らかにし、データ保護対策のロードマップを策定するための枠組みを提供しています。

IAPPのブログにおいても、「CNILがプライバシー成熟度モデルの入門を探している人にとって有益なガイダンスを提供する」と述べられています。

弊社では、この成熟度モデルをベースに、GDPR固有の項目を汎用化することで、日本のお客様にもご使いいただけるようにするとともに、プロジェクトの開始においても、現時点でのお客様の成熟度を評価する際に使用しています。

弊社でカスタマイズした成熟度モデル(一部掲載)

以下の図は、成熟度モデルの例ですが、上部の列名が成熟度を表し、左の行項目が各プライバシーのアジェンダを表しています。下記の図に「現在」と「OneTrust導入後」やプライバシープログラム実施してく中でのマイルストーンごとに、どこに位置しているかをそれぞれマークすることで、開始前とその後の改善や弱点/課題を可視化するのに使用することができます。

さいごに

プライバシー成熟度モデルを使用すれば、現在のプライバシーの取り組みの進捗を評価するだけでなく、今後組織が成熟度をUPさせるためのロードマップやタスクがそれぞれのアジェンダごとにより明確になります。

もし、自社のプライバシー成熟度モデルに興味のある方は、ぜひ、こちらのフォームよりご相談ください。

この記事をシェアする