- 2023年 1月 24日
各国のプライバシー保護規制を守り、プライバシーを組織的に管理・保護するための取り組みが「プライバシーガバナンス」です。プライバシーガバナンスは今や企業統治の主要な分野となっています。プライバシーガバナンスが機能せず、個人データの侵害やデータ漏洩などのインシデントが発生すると、従業員や取引先、消費者など、企業経営のステークホルダーの信頼を失うことにつながりかねません。
プライバシーガバナンスの成否は、企業経営に多大な影響を与えると言っても過言ではありません。プライバシーガバナンスを機能させる鍵であり、プライバシーガバナンスの核となるのがデータマッピングです。
データマッピングとはなにか
データマッピングは、企業や組織において個人データがいつ、どこで、誰が、どのように、どのような目的で取り扱うのかという個人データ処理業務の現状を棚卸し明らかにする「事実調査」と、それぞれの個人データ処理業務に内在するリスクを評価する「リスクアセスメント」の二つの側面を持つ活動です。
下図はプライバシーガバナンスの全体像を示す模式図ですが、そこに示されるとおり、プライバシーガバナンスには数多くの業務があり、それらが円滑に連携することで、プライバシーガバナンスのサイクルが機能するようになります。そのためには、プライバシーガバナンスに関わる全ての部署が、個人データ処理業務の内容とリスクについて正確かつ最新の情報と知識を共有することが必要条件です。それを実現する活動がデータマッピングです。
個人情報保護委員会がデータマッピングの雛形となるフォーマットを公表するなど、最近ではデータマッピングへの注目が高まってきています。プライバシー保護の取り組みが進んでいる企業の中には、積極的にデータマッピングを進めているところもありますが、そのような企業や組織の多くでは、データマッピングのベースとなっているのがスプレッドシートを使った作業であるのが現状です。
一方、世界的にはグローバル企業を中心に、専用ツールを活用したデータマッピングを進める企業が増えてきています。そのような企業は、世界規模で個人データ処理業務を管理する必要性に迫られており、かつデータ主体による苦情の申立てや監督機関による調査・制裁のリスクに常に直面していることから、プライバシーガバナンスを健全に機能させることが重要な経営戦略となっており、データマッピングツールはそれを実現する戦略ツールとして活用されています。
データマッピングツールの有用性
スプレッドシートを使ったデータマッピングでは、調査対象が増えると集計が複雑になり進捗把握が難しくなる、調査対象国が増えると、各国の法令や言語に合わせた調査票を作成しなければならないなどの問題があり、それらが、個人データ処理業務の管理やプライバシー保護を担当する現場にとって大きな負担となっています。さらに、膨大なスプレッドシートのデータから、企業や組織のプライバシーリスクの管理につながるような知見を獲得する、インシデント発生時に状況を迅速かつ正確に把握する、リスクの高い個人データ処理業務を抽出して監査やモニタリングするといった、プライバシーガバナンス目的で調査結果を活用するのは簡単ではありません。
データマッピングツールでは、調査票の作成、調査票への回答、回答内容の承認、承認済みの調査結果の記録がツール上で自動的に実行されます。調査票への回答や承認の状況や記録済みの調査結果はダッシュボード上で一覧化されるので、調査の進捗状況を容易に把握できます。
調査票の質問にリスクスコアを与えることで、好ましくない回答があった場合にはツールが自動的にリスクフラグを立て、リスクレベルを自動計算するため、個人データ処理業務のリスクレベルを定量的に評価できます。
また、個人データ処理業務で利用するサーバー、端末、データ保管場所などのアセット、業務に関係する社内組織、委託先の情報を合わせて登録すると、個人データ処理業務内のデータの流れを示すデータフロー図や、国境を超えた個人データの移転(越境移転)をツール上で図示できます。
これらの機能を活用することにより、個人データ処理業務の管理やリスクアセスメント業務をサイクルとして管理できるようになり、プライバシーガバナンスの有効性を高めることができます。
データマッピングの進め方
これまでデータマッピングツールの活用の有用性を説明してきましたが、大企業ではツールによるデータマッピングを一気に進めることは困難なことから、段階的にツール導入を進め、スプレッドシートベースの業務からツールベースの業務への転換、そしてグローバルな個人データ処理業務の管理に発展させていくことが望ましいと考えます。また、グローバルにデータマッピングを進めるにあたっては、世界のプライバシー保護法令の要求を踏まえた調査票の作成や調査票の多言語化などの設定も必要となります。
弊社は豊富なプライバシー保護対応支援実績をもつコンサルタントが、お客様の事業や組織に合わせた効果的なデータマッピングツールの導入をサポートいたします。どうぞお気軽にお問い合わせください。