プライバシーマネジメント: スコープを明確にする4つの質問

はじめに

今回のブログでは、プライバシーマネジメントで対応すべきスコープを明確化するための質問について紹介します。

近年、法規制の厳格化や相次ぐ個人情報の漏洩により、企業や組織にとってこれまで以上にプライバシーマネジメントが重要視されています。しかし、ひとくちにプライバシーマネジメントといっても、画一的にすべてをやろうとすると、プライバシー業務のスコープと負荷は膨大なものとなります。また、他社をの事例を参考に行うだけでは、自社が本来対処すべき課題が抜け漏れたり、後回しになる可能性もあります。

今回ご紹介する4つの質問は、企業がプライバシー保護の取り組みを行う上で、何に取り組むべきか、また何を優先すべきかの解像度を明確にしてくれます。

スコープを明確にする4つの質問

組織のプライバシーマネジメントの在り方や戦略を考える上で、何を優先すべきか(何を優先しないか)を理解することが重要です。

プライバシーを適切に保護し、法規制や業界独自のスタンダードやルールを遵守するには、法規制等で求められる要件を正しく理解し、それを遵守するための組織体制、仕組み・プロセスを構築していくことが求められます。

質問1:自社のビジネスで対象となる法規制や業界団体の基準やルールは?

この質問では、自社がどのプライバシー法規制ガイドライン(法律ではないが実質的に遵守すべき指針業界独自の基準やルール(例えば、カード業界であれば、PCI-DSSなどの独自のスタンダードがあります。)を遵守すべきかを確認します。

日本のプライバシー法規制だけが適用対象とは限りません。日本企業であってもの、海外(異なる法域)の法規制の対象になる可能性があります。

例えば、EUのGDPRでは、EUの居住者向けにサービスを提供したり、ビジネスを行っている企業は、拠点がEUにあるかどうかに関係なく適用対象となる可能性があります。

また、米国のカリフォルニア州のCCPAやCPRAでは、カリフォルニアに拠点がなかったとしても、カリフォルニア州の居住者から個人情報を収集したり、サービスを提供する場合、カリフォルニア州で事業を行っているとみなされる場合(CPRAに明確に事業要件は記載されていないものの)には、カリフォルニアのプライバシー保護法の適用対象となる可能性があります。

個人情報の定義やこども(未成年)の定義およびその取り扱いルールについても国や地域によって異なりますし、越境移転に関するルールについても理解し、対応することが求められます。例えば、EUの従業員データを日本の本社からEUのシステムへアクセスし閲覧する場合のようなデータの物理的な移動を伴わない場合(現地従業員のデータの閲覧など)もGDPRの適用対象となります。

自社のスコープを検討する上で、現在のビジネスでカバーすべき範囲だけでなく、これから数年後の将来的なビジネスプランも踏まえ、今後適用対象となる法規制も含め、検討する必要があります。

質問2:プライバシー保護に関して、顧客は組織に対して何を期待していますか?

顧客は、自身の個人情報について法律に遵守し取扱われること、技術および組織的に適切に保護されることを期待して、自身のデータを預けています。

しかし、どのレベルで厳格に保護されるよう求めているかは、扱われる個人情報の内容によって変わってきます。例えば、人種・民族、政治的思想、宗教、健康、生体データなどの個人の自由や権利にに重大なリスクを及ぼす危険性のあるデータやマイナンバーやクレジットカードなどの詐欺や犯罪に使用されることで個人が重大な不利益を被るデータについては、より厳格な取扱いルールとセキュリティ措置を期待するのは、個人として当然のことです。

質問3:プライバシー保護の取り組みをリードするのは誰ですか?

会社の規模によってプライバシーに携わる役割やリソースは様々ですが、規模の大小にかかわらず、プライバシー保護の取り組みをリードする役割を決める必要があります。リード役は特定の社員の場合もあれば、プライバシー保護組織のような組織の場合もあります。

役割を決める際、求められるスキルも考慮する必要があります。大企業の場合、複数の組織が関与するため、関係部門と協力し、課題に対処することが出来るファシリテーション能力が重宝されます。また、法規制について外部の専門家に支援を依頼したり、ソフトウェアツールの選定・導入計画などプログラムを構築する上で必要なヒト(要員)、モノ(IT)、カネ(予算)の決定を支援することも求められます。

質問4:どのようなデータを保持していますか? 個人情報管理台帳はありますか?

どういったデータを保持しているかは、これまで紹介した質問のうち、最も重要な質問です。企業で保有している個人情報の詳細を明らかにすることで、プライバシー保護の取り組みで優先すべき課題や関連する法規制およびそれらの情報の取扱いに関するリスクに応じた適切な対応方針を決め、取り組むことができます。

もし、すでに個人情報管理台帳があり、その情報が定期的に更新されていれば、その情報をもとに現状を把握することができますが、存在しない場合は、以下のような質問のリスト(質問票)として各情報管理者に送り、取り扱っている個人情報の一覧と管理に必要な情報を集めます。

自社のデータを理解する質問例

・どのような個人情報を持っていますか? 

  データ主体(従業員、契約社員、顧客、見込み客)と要素(氏名、電話番号、性別、年齢)

・それデータはどの業務でどのように利用していますか?

  給与支払い、注文の履行、Emailマーケティング、オンサイト・Webinarイベント、メルマガ

・そのデータはどこで保管していますか?

  書棚やロッカー、会社のPC、ネットワークドライブ、CRMやMAなどのソフトウェア、クラウドストレージなど

・そのデータは誰に提供・共有されていますか?提供、共有先は海外ですか?契約形態はどのような形ですか?

  企業名、海外の企業(拠点)への共有・提供の有無、委託または共同管理者

・どのような要配慮個人情報が含まれますか?

  人種、労働組合への加盟の有無、宗教、遺伝データ

個人情報管理台帳の自動化に:OneTrust ソリューション

自社で保有・管理している個人情報を理解するための質問票は、一般的にはExcelで情報管理者へ送信し、回答をとりまとめ、個人情報管理台帳となるExcelファイルにとりまとめる方法で運用されている場合も多いかと思います。

台帳をExcelで管理する弊害として、以下が挙げられます。

  • いつ、どの台帳レコードが誰によって更新されたのか分からない。常にその時点のデータだけが参照でき、履歴を追うことが出来ない
  • 複数の台帳ファイルが存在し、どれが最新か分からない(場合によっては、1つの最新データに統合するための作業が追加で発生する)
  • 各項目の入力内容にルールがなく、用語もバラバラなため、台帳データの分析や調査といった二次利用に活用しにくい

OneTrustのようなデータマッピング機能をもつソリューションを使用することで、上記の問題は全て解決できます。台帳の更新や管理などに伴う煩雑なプロセスや担当者間のやりとりや進捗状況の管理、さらには、入力された取扱い情報を管理しやすい形でデータベース化することが可能です。

さいごに

対応すべき法規制や顧客の期待、さらには企業の規模や現在どういった個人情報をどのように取り扱っているかによって、課題の優先度やどこまで対応すべきかは変わります。

今回のブログで紹介した4つの質問を通して、スコープが明確になれば、取り組むべき課題やタスクと優先順位も明らかになります。

これからプライバシー保護の取り組みやこれまでのプログラムの見直しを検討されている方は、今回紹介した4つの質問を通して、自社のプライバシー保護の取り組みで対応すべき課題とその解像度を高めるのに役立てていただけると幸いです。

この記事をシェアする

OneTrust は、プライバシー分野でNo.1のソリューションです。

その理由は、機能の網羅性にあります。

OneTrustのソリューションに興味がありましたら

お気軽にお問い合わせください