データマッピングやPIA自動化を始める前に:基本となる用語を解説

いざOneTrustでデータマッピングを行う際にユーザーにとってわかりづらいのが、インベントリとそれに関連するワードの意味やその用途です。

今回は、OneTrustのデータマッピングで使用されている、聞きなれない文言について解説します。

インベントリ

データマッピングのコアであるインベントリですが、日本では、台帳といわれることが多いようです。インベントリは、個人情報を管理するための台帳または目録であり、情報を格納する「データベース」だと思っていただけるとよいかと思います。

台帳は、データ処理活動、アセット、エンティティ、ベンダー、プロジェクトといったように用途ごとに分かれています。データベースで例えると「テーブル」がこれにあたります。さらにデータ処理活動で定義された1つ1つの活動が、データベースの「レコード」にあたります。

InventoryDescription

以下の表はそれぞれのインベントリについてまとめたものです。

インベントリタイプ説明
データ処理活動新製品TrustNowコーヒーの販売キャンペーンなど、ビジネスや非営利活動において個人データを取り扱う活動はデータ処理活動にあたります。
データ処理活動には、誰が責任者で、どういう個人データを扱っているのか、目的や法的根拠などの情報が含まれます。
アセットSAPやSalesforceなどのアプリケーションデータベース、DWH、ファイルサーバーなどのIT資産の他、社内の個人情報をファイリングしている物理的なファイルキャビネットなどがアセットにあたります。
アセットの粒度をどれくらい細かくする必要があるかは、適用を受ける法令やOneTrustでどこまで見たいかといった要件によって変わります。
事業体事業体というと堅苦しくイメージも付きにくいので、法人といっても差し支えないかと思います。ここでいう法人は関連会社や子会社、ビジネスパートナーなどを指します。
また、自社がController(管理者)ではなく、Processor(処理者)に当たる場合(自社が個人情報を委託先として取り扱う場合)、管理者となる事業体をこちらに登録し、管理します。
ベンダー外部の委託業者を指します。データ処理の業務を外部の下請け業者に依頼している場合やクラウドサービスを利用して行っている場合、それらがベンダーになります。

属性(Attribute)

属性は、(主に)上記のそれぞれのインベントリに対して、情報を付与する項目全般を指します。OneTrustでは、属性は、データ処理活動の属性やベンダーの属性などがあります。

インベントリは単なる箱であり、実際の情報として何を含めるのかは、属性で項目として定義していく必要があります。

例えば、データ処理活動でその処理活動で個人データを廃棄するまでの期限や判断基準を台帳に含めたい場合、それらを入力するための項目として属性を定義する必要があります。

個人データ

インベントリにおいて最も重要なのは、そのインベントリがどのような個人情報を取り扱ったり、保管したりしているかということです。

この個人データは、どういう個人データが含まれるかを明確にするために、以下に分かれています。(※データマッピングやPIA自動化で必要となる部分だけを説明するため、データ分類については割愛します)

  • データ主体のタイプ:顧客、従業員、株主など企業や組織から見た場合の個人のタイプ
  • データカテゴリ:職歴、ロケーション、生体データなど、データエレメントをグルーピングしたもの
  • データエレメント:氏名やメールアドレス、性別、勤め先などの個人情報もしくは個人情報に関連しうるもの

上記では一般的な用途としてそれぞれの項目を説明しましたが、実際の個人情報を要件に合わせて整理し、より簡単に入力や管理しやすくするために、カスタマイズして利用することが重要です。

インベントリはどのように更新されるか?

インベントリは以下の3つの方法で更新が可能です。(※APIでも更新は可能ですが、一般的ではないので、ここでは割愛します。)

  • PIA/DPIA自動化モジュールで作成したアセスメントに回答→承認のプロセスを経て更新(台帳の更新対象の項目とするかどうかは、アセスメント内の質問ごとに個別に設定可能)
  • インベントリ画面から直接更新
  • Excelの専用テンプレートをインポートすることで更新

まとめ

ポイント

  1. インベントリ(台帳)自体はただの情報を入れる器であり、その器は、データ処理活動、アセット、ベンダーなどインベントリの特性ごとにあらかじめ分かれている。
  2. インベントリ(台帳)としてどういう情報を項目として含めるかは属性で定義する。
  3. インベントリの目的は、個人情報を管理することなので、それぞれのインベントリでどういった個人情報が取り扱われているかを、インベントリに反映する。

インベントリ ダイアグラム

今回説明した用語の関係性を1つの図にまとめると以下のようになります。

この記事をシェアする

OneTrust は、プライバシー分野でNo.1のソリューションです。

その理由は、機能の網羅性にあります。

OneTrustのソリューションに興味がありましたら

お気軽にお問い合わせください