Privacy by Designを実現する仕組み: OneTrust

はじめに

海外のプライバシー法規制が強化されていく中で、「Privacy by Design（プライバシー・バイ・デザイン、以下、PbDと表記）」というフレームワークは、製品やサービスを提供する組織にとって、設計段階でプライバシーとデータ保護を組み込むために重要な指針となります。

しかしながら、組織がそうしたフレームワークを理解して、業務プロセスに適用し実践していくためには、ソフトウェアの存在が不可欠です。今回のブログでは、OneTrustのソリューションが、PbDを実践するための仕組みをどのようにサポートするかご紹介します。

Privacy by Design（プライバシー・バイ・デザイン）とは？

PbDは、情報技術やビジネスプラクティス、物理インフラストラクチャーの設計にプライバシーとデータ保護を組み込むことを目的としたフレームワークです。PbDは、プロジェクトやシステムの設計段階から（事前に）プライバシーとデータ保護が考慮されるようにするアプローチです。

PbDフレームワークは、カナダのオンタリオ州の元Privacy Commissioner であるAnn Cavoukian博士によって1990年代に初めて導入されました。その後、世界中の規制当局や組織によって採用され、デジタル時代のプライバシーとデータ保護に関する懸念に対処するためのフレームワークとして採用されています。

Privacy by Designの7原則

PbDフレームワークは、以下の7つの基本原則から構成されています。

1. 事後的でなく予防的：PbDでは、最初からプライバシーを考慮することが必要であり、プライバシーのリスクが問題となる前に予測し、対処する必要があります。
2. プライバシーバイデフォルト：PbDでは、プライバシー設定が自動的に最も保護的なオプションに設定されるようにすることで、個人がプライバシーを保護するために行動を起こす必要がないようにします。
3. デザインにプライバシーを組み込む：PbDは、システムやサービスの設計段階でプライバシーを組み込むことを目指し、システムの機能とアーキテクチャにとって不可欠になるようにします。
4. 完全な機能性：PbDは、プライバシー対策がシステムやサービスの機能性を損なうことがないようにし、個人がプライバシーを犠牲にすることなく、テクノロジーの全ての利点を享受できるようにします。例）あるシステムが個人情報の提供を要求する場合、PbDは、システムが意図した機能を果たすために必要な個人情報のボリュームを減らすために、データ最小化や暗号化などのプライバシー対策を実装します。
5. エンドツーエンドのセキュリティ：PbDでは、システムやサービスの設計段階から最終的な個人情報の廃棄まで、プライバシーとセキュリティがシステムのライフサイクル全体にわたって考慮される必要があります。
6. 可視性と透明性：PbDでは、個人が自分の個人データに関する情報を得て、情報に基づいた判断をすることができるように、組織はプライバシーの実践とポリシーについて通知する必要があります。
7. ユーザーのプライバシーを尊重する：PbDでは、個人をプライバシーの中心に置き、常に個人のプライバシーとデータ保護の権利を尊重することが必要です。

組織は、これらの原則をシステムやサービスの設計に組み込むことで、開発プロセスの各段階でプライバシーが考慮され、個人のプライバシーとデータ保護を保証することができます。

OneTrustとは？

OneTrustは、企業や組織がプライバシーやセキュリティ、コンプライアンスなどのニーズを管理するためのソフトウェアプラットフォームです。一般データ保護規則（GDPR）、カリフォルニア州消費者プライバシー法（CCPA）などのデータ保護やプライバシー規制に準拠するためのツールや機能を提供しています。

OneTrustが提供するクラウドベースの「Trust Intelligence Platform」には、データマッピング、プライバシー評価自動化（PIA/DPIA）、同意管理、クッキーコンプライアンス、データ主体リクエスト対応自動化などのモジュールが含まれています。また、プライバシーマネジメントの最新の状況を可視化するためのダッシュボードも提供されており、組織のコンプライアンス状況を一元的に管理し、コンプライアンスの取り組みをトラッキングすることができます。

OneTrustは、組織がコンプライアンスの取り組みを効率化し、全社的なデータ保護とプライバシーの実践を改善するのをサポートするよう設計されています。さまざまな産業や組織のニーズに合わせてカスタマイズされることができ、金融機関、医療機関、小売業者、技術企業など、13,000以上の様々なビジネスに使用されています。

OneTrust: Privacy by Designを実現する仕組みを紹介

OneTrustは、個人のプライバシーやデータ保護権利を保護するために必要なPrivacy by Design原則を実装し、維持するための包括的な機能を提供しています。

以下、OneTrustの機能群とそれがどのようにPbDを実現するか、その一部について紹介します。

1. プライバシー評価自動化（PIA/DPIA）：OneTrustには、プロジェクトの設計段階でプライバシーリスクを特定し、対処するためにプライバシー影響評価を実施することのできるプライバシー評価自動化機能があります。これにより、アセスメントの開始から終了までのワークフロー、内在するリスクの特定、リスクを緩和するための緩和策（タスク）、ステータスのトラッキング、レポーティングまでをデジタル化することが可能です。
2. データマッピング：OneTrustのデータマッピング機能により、組織が保持する個人データの種類、保管場所、アクセス権限、利用方法を理解することができます。こうした情報は、設計にプライバシーを組み込むといったPbDの原則を実施する上で最初に必要となる情報であり、それらをデジタルのインベントリ（台帳）に集約することが可能です。
3. 自動化されたワークフロー：OneTrustには、組織がプロジェクトの最初からプライバシーに関するタスクやプロセスを管理し、積極的に対処するための自動化されたワークフロー機能があります。これは、PbDに必要なプライバシーを考慮することを最初から実行するための重要な要素です。
4. カスタマイズ可能なポリシー：OneTrustが提供するPolicy＆Notice Management機能により、透明性やユーザーのプライバシーを尊重するといったPbDの原則に従って、ポリシーの多言語対応や地域等の条件により表示させるポリシーを動的に変更して表示するなど、Privacy Policy / Noticeをカスタマイズすることが可能です。
5. 同意管理：OneTrustには、２つの同意管理機能があります。以下の２つの同意管理機能は、プライバシーをデフォルトの設定にし、プライバシーの実践やポリシーについて個人が情報を得ることができるようにするためのPbDの必須要素です。
   • 1. Cookie Consent：Cookieの同意管理のためのツールとして、すでに国内でも多くの企業に導入されています。
   • 2. Consent & Preference：同意を取得、管理するためのウェブフォーム、ユーザーによる同意ステータスの変更ページ（プリファレンスセンター）の作成、ユーザーが、いつ、どのバージョンのプライバシーポリシーや利用目的(その説明含む)に対して同意したかなどの履歴をストアするためのデータベースなど、同意情報を一元管理できる同意管理機能があります。

さいごに

PbD（Privacy by Design）を実装し、自社の製品やサービスに設計段階からプライバシーとデータ保護を組み込むためには、その実現を支援するOneTrustのようなソフトウェアが必要不可欠です。

弊社はOneTrust社のパートナーとして、OneTrustが提供する包括的なソリューションについて、オンラインデモで活用事例も含めてご紹介することが可能です。

OneTrustが提供するPbDを実現するための機能群について興味のある方は、こちらよりデモをご依頼ください。すでに特定の分野のモジュールについて導入をご検討されているお客様については、よりモジュールに特化したデモを実施させていただくことも可能です。