組織と役割について

はじめに

OneTrustを設定する上で、重要となるのが組織と役割です。

適切な権限(アイテムの見える、見えない、機能の使える、使えない)を設定するためには、組織と役割について正しく理解し、これらを組み合わせて設定する必要があります。

組織

OneTrustで組織を定義する場合、組織は部門を表す場合もあれば、事業体を表す場合もあります。
組織の粒度は、OneTrustプラットフォームを利用するユーザーの用途に応じて柔軟に設定します。

<組織構造>

組織の使い方

OneTrustの組織は「ディレクトリ」または「フォルダ」に似ています。各アイテムはそれぞれの組織ごとに保管されて表示されます。

ユーザーもしくはユーザーグループに対して、アイテム(アセスメント、テンプレート、データ処理活動やアセットなどのアイテム)の見える範囲を限定するために適切な組織階層をデザインし、ユーザーやユーザーグループに対して1つまたは複数の組織を割り当てます。

上記の組織階層の例では、「PIA電子株式会社」の営業部門のユーザーは、配下にある「営業部門」の組織を割り当てた場合、営業部門のアイテムを見ることができますが、同じくPIA電子株式会社の配下にある組織「購買部門」や「人事部門」のアイテムは見ることができません。

両方の組織を見る必要のあるユーザーは?

営業部門と購買部門の両方の組織を見えるようにしたい場合には、2つの方法があります。

  • 上位の組織を割り当てる

上位の組織を割り当てる場合の最大のメリットは、1ユーザーもしくは1ユーザーグループに1つの組織をマップするだけで済むため、メンテナンスがシンプルな点です。デメリットは、「人事部門」のアイテムについても、人事部門にアクセスした際に、人事部門配下のアイテムが見えてしまう点です。

  • それぞれの組織ごとに権限を設定する

こちらのメリットは、見える範囲だけでなく、それぞれの組織での権限についても細かく設定することが可能です。ただし、権限を管理するユーザーグループの粒度が多くなるため、煩雑になる可能性があります。

グローバル設定と組織の関係

OneTrustのグローバル設定の画面では、「組織」ごとに設定の内容が適用される項目と組織全体(アカウント)に適用される項目が、混在しているため、注意して設定する必要があります。

選択された組織ごとに設定が反映される例としては、「メールとブランディング」の設定が挙げられます。どの組織が選択されているかによって、選択した組織のブランディングの設定(ヘッダの色やロゴ)やディレクトリの設定を個別に変更することができます。

ちなみにSSOについても組織レベルで設定できるものの、MyOneTrustによると組織階層の最上位レベルで SSO を構成することを推奨しています。(MyOneTrustのページはこちら


役割

役割(ロール)では、機能の見える見えないも含め、操作できる、できないを制御します。

OneTrustのデフォルトロールそのままでは使えない?

アセスメントやデータマッピング、ベンダーリスク管理などのモジュールでは、デフォルトで用意されているロールをそのまま使用するには、不便な場合があります。実際のプロジェクトでは、要件にあわせて、カスタムでロールを作成する必要があります。
カスタムロールを設定する際の課題としては、カスタムの場合、膨大な機能の中から機能を個別に取捨選択し、付与していくことが求められます。

弊社では、お客様の要件に合わせて、カスタムロールを定義し、使用しています。

どういうロールが必要になるかどう決める?

どういうロールが必要となるかは、誰がどういうアクションをするかを実際の業務フローに沿って図にまとめて、整理したうえで設計することをお勧めします。

図を作成しておくことで、ユーザーやユーザーグループを割り当て後、実際のシステムのユースケー権限に過不足がないかを検証する際にテストケースを明確にすることができます。

アセスメント(PIAなど)の自動化の場合であれば、インベントリの作成、アセスメントの開始、アセスメントへの回答、リスクへの対応、承認または却下を誰、またはどの役職が実施するかを図で整理し、必要となる役割を定義します。

設定画面

実際に組織と役割をユーザーやユーザーグループに設定する際、役割のタブから組織と役割をセットで割り当てます。

OneTrustでは、役割と組織を同時に設定する画面になっており、少し戸惑うかもしれません。

もし、複数の組織を割り当てたい場合、追加でロールと組織の割り当てを行います。(それぞれの組織に対する権限がプラスでユーザーやユーザーグループへ追加されます。)


ユーザーグループ

前項の「役割」で紹介したとおり、役割と組織をユーザーに直接マップしてもよいのですが、ユーザーがたくさんいた場合に、ユーザーごとにロールを差し替えたり、同じ権限、組織(アイテムの見える範囲)をもつユーザーを一括して管理する際に効率化するのにユーザーグループは非常に便利です。

直接ユーザーに割り当てなくても、ユーザーグループに属していれば、マップされた組織と役割が継承されるので、うまく使うことで、メンテナンス負荷を減らしたり、グループの名称をよりユーザーに分かりやすい粒度で表現することでのに役立ちます。

ユーザーグループの粒度をどれくらい細かくするか?

ユーザーグループの属性は、組織x役割で決まります。
したがって、実際のユースケースで組織と役割の組み合わせのバリエーションがどれくらい必要なのかによって変わってきます。

あまりユーザーグループを細かくしすぎると、メンテナンスする側が、設定するのが大変になるので、不必要に細かくするのはおすすめしません。

まとめ

今回のブログでは、導入時に必ず設定する組織や役割について、設定する上での課題をピックアップしました。

OneTrustの組織や役割、さらにはユーザーグループの設計はユーザーの使い勝手や運用時のユーザーの権限管理の作業負荷に影響を与えるため、非常に重要なポイントです。

今回取り上げた中でも、カスタムロールについては、権限として設定する項目が多く複雑なため、社外のベンダーなどの経験豊富な人材へ相談し、進めることを推奨します。

OneTrust は、プライバシー分野でNo.1のソリューションです。

その理由は、機能の網羅性にあります。

OneTrustのソリューションに興味がありましたら

お気軽にお問い合わせください