Columnコラム

プライバシー保護に有効な「データマッピング」とは?
基本から効果的な活用法まで

2022年5月25日

ご相談・無料お見積り

「データ活用」が注目され、多くの企業が、ビジネス上のあらゆる判断において様々なデータをいかに活用するかを模索していますが、一方でデータに含まれる利用者の個人情報やプライバシーをどう保護するかが課題となっています。データ活用が重要とはいえ、プライバシーの保護は最優先であり、適切な対策が欠かせません。その対策のベースとして有効なのが、どこにパーソナルデータがあるのかを把握するための「データマッピング」です。今回は、データマッピングの基本とともに、ユースケースとしてその効果を紹介します。

データマッピングとは?プライバシー保護にどうつながるのか?

パーソナルデータの取得、利用・提供、管理状況等を把握する

プライバシー保護の観点における「データマッピング」とは、パーソナルデータを取り扱う業務やサービスについて、パーソナルデータの取得、利用・提供、管理状況などを把握することを指します。データの関連性を定義し、どこにどのようなデータがあるかを把握することで、「パーソナルデータをどの業務で利用しているのか」、「パーソナルデータがどのデータベースに保存されているのか」や、「利用目的」、「利用方法」、「提供先」などを適切に管理できるようになるのです。

なぜ、プライバシー保護にデータマッピングが有効なのか?

これまでも個人情報を取り扱う企業では「個人情報管理台帳」などでどんなデータがあるか(項目)や利用目的、保管場所などを管理してきました。しかし、スピーディにビジネスを進めるため、SaaSなど外部サービスの利用が増加し、管理が複雑化しています。2022年4月には改正個人情報保護法が施行され、利用目的の詳細な説明や開示等請求への対応、海外へのデータ移転時の利用者へのより丁寧な説明が求められるようになりました。「どこでどのデータがどのように取り扱われているか」をより厳格に管理することが求められるなかで、データマッピングが注目されているのです。
また、パーソナルデータといっても、氏名・住所・メールアドレスなどから、病歴といったよりシビアな管理が求められるもの、Cookie情報など種別が複数あり、これらを細かく整理するためにもデータマッピングは有効です。特にサービス利用者から自身の個人情報の開示や訂正・消去の依頼(請求権対応)があった際に、データの所在を管理していなければ、適切に対応することができません。「自社の情報は削除したが、業務委託先にデータが残っていた」という状態ではトラブルになる可能性もあります。プライバシー保護に関する業務を円滑に進めるためにも、早急にデータマッピングをおこなうことをお勧めします。

<ユースケース>データマッピングの効果的な活用法

個人情報管理台帳の管理を効率的に行う

プライバシーマークの取得のため、個人情報管理台帳を整備している企業も多いことでしょう。しかし、現状、これらはエクセルによる手作業の管理が一般的になっています。個人情報管理台帳の整備にツールを使用することで、年1回の棚卸作業を効率化できるだけではなく、どの部署がどのようなパーソナルデータを取り扱っているのかを見える化することができます。

個人情報保護法への準拠状況を的確に把握することができる

2022年4月に施行された改正個人情報保護法には、新たに、個人関連情報への規制、越境移転に係る情報提供の充実等が設けられました。個人情報保護法は3年に1回見直されることになっているため、今後も新規に対応すべき事項が出てくる可能性があります。ツールを使用することで、法律に準拠していないデータの取り扱いを抽出したり、過去の回答内容の履歴に基づいて対応方針を検討したりすることができます。

データマッピングの進め方

データマッピングは定期的に更新することが重要

プライバシー観点でのデータマッピングをおこなう場合、基本的には全社が対象となります。社内にあるパーソナルデータの情報(データベース名称、データ項目、管理者など)を漏れなく把握し、登録します。その上で重要なのが、定期的に更新することです。一度定義して終わりとするのではなく、サービス内容を変更する、グループ会社などにデータを提供する、外部ツールを新たに導入するなど変化があるタイミングで見直し、更新する必要があります。

自動化するツールを活用しつつ、最後は現場の“人”が登録する

情報収集をおこなう際は、パーソナルデータの情報を抜け・漏れなく集める必要がありますが、データベースなどから自動でデータ収集するツールなどにより、工数を抑えて収集することが可能です。ただし、ツールで自動取得できるのはあくまでデータ化されているものであり、「紙ベースでやり取りしている」「紙を保管している」といったものは漏れてしまいます。これらも見逃すことなく把握するために、最終的にはパーソナルデータを取り扱う現場部門が責任を持って、把握・登録を行う必要があります。

データや業務の関連性を可視化する「データマッピングツール」

プライバシー観点からのデータマッピングを実現する「OneTrust」

データマッピング自体はExcelなどを使って手作業で実施することも可能ですが、複雑化するデータの関連性などを管理するためにはデータマッピングツールを活用するとよいでしょう。様々なツールがありますが、プライバシー観点からのデータマッピングに適しているのは、グローバルで高いシェアを持つプライバシー管理ソフトウェア「OneTrust」です。OneTrustではデータ同士の関連性だけではなく、業務とデータを関連付けて管理し、「この業務で使われているデータはなにか」や、逆に「このデータを使っている業務はなにか」などを簡単に把握できます。また、可視化に優れており、ダッシュボードでデータの状況をまとめて把握できるほか、国ごとのデータ保存状況や、越境移転の状況などを世界地図上に表示することも可能です。

OneTrust画面イメージ:データマッピングによりデータや業務の関連性を可視化

図:OneTrust画面イメージ:データマッピングによりデータや業務の関連性を可視化

コンサルティングから定着支援までワンストップでサポート

NRIではOneTrustの代理店としてお客様の導入支援をおこなっており、ソリューション導入から運用支援まで一気通貫で伴走します。導入時におけるOneTrust利用方法の解説といった基本から、データ登録時の項目作成の支援や、利用定着までしっかりと対応し、ツールの導入だけではなく、要件整理やコンサルティングから、導入後の運用、体制作りまでトータルに支援します。

データマッピングの導入支援なら、asleadにお任せください

asleadではデータマッピングを活用したサービスの開発・導入実績を豊富に持っています。お客様に合わせた最適なご提案をさせていただきますので、まずはお気軽にお問い合わせください。

ご相談・無料お見積り

お問い合わせ

OneTrust に関するご相談は、下記よりお気軽にお問い合わせください。

お問い合わせフォーム ※個人情報は、お問い合わせ対応に利用致します。
お問い合わせ