こんにちは。弊社のGDPRエヴァンジェリスト、Wです。

2018年5月25日に施行された、EUのGeneral Data Protect Regulation(一般データ保護規則、以下GDPR)対応の是非を決定する為の「データマッピング」について記載します。

GDPRが雑誌やインターネットの記事になる際、「データマッピング」という言葉が散見されます。

ではデータマッピングとは何でしょうか?

IT業界でよく使われるデータマッピングの意味合いとは異なり、「個人データの棚卸」と考えて頂いて構いません。

具体的には、「社内に散在する欧州経済領域(以下、EEA)のデータ主体の個人データの所在特定とデータ処理状況の棚卸」になります。

■何故データマッピングが必要?

日本の多くの企業では、社内の各部門がそれぞれで個人データを含む情報を業務で取り扱っていて全社横断的に個人データの取り扱いを把握している部署がない、という事も多々あります。

そのような状況下では、自社の個人データの取り扱いの有無がそもそも不明であり、GDPRが域外適用されるか否かの調査に着手する以前の問題で、対応を検討しようにも材料がありません。

まず社内の個人データの有無・所在を確認し、取り扱いの状況を確認する必要があります。

■データマッピングの要点

(a) EEA域内の個人データを取り扱う(可能性のある)業務の洗い出し

部門横断的に洗い出しを行う必要があります。

社内にどのような業務があるのかリストアップし、それぞれの業務がEEA域内の個人データを取り扱う事があるのか確認します。

(b) リストアップした業務についての調査

(a)で調査したEEA域内の個人データの詳細を確認します。

具体的には

b-1. EEA域内の個人データの取得の経緯・場面・手法

b-2. EEA域内の個人データの種類

b-3. EEA域内の個人データが必要な理由

b-4. EEA域内の個人データの廃棄のタイミング

b-5. EEA域内の個人データの保管方法・処理方法・アクセス権

b-6. EEA域内の個人データはミッションクリティカルか?(業務遂行上不可欠な個人データか?)

b-7. EEA域内の個人データは特別なカテゴリに属するか(労働組合員である事の情報や政治的意見、遺伝情報など)

b-8. EEA域内の個人データのデータ主体は16歳未満(又は加盟各国が設定する年齢を下回る)か?

b-9. EEA域内の個人データを社外に業務委託や移転しているか?

など。

データ取得元

データ取得元 個人データの種類 データが必要な事由 データ保持期限
・どこから取得したデータか。
メール、WEB、名刺など。
・e-mailアドレス
・電話番号
・IPアドレス
など。
・解析
・マーケティング
・CRM
など。
・YYYYMMDD
・要求に応じ削除など。
ハンドリング Mission Critical? 個人データの特別なカテゴリか データ主体は16歳未満か
・どのようにデータを保管しているのか。
・どのようにデータを処理しているのか。
・誰がアクセスできるのか。
など。
・業務遂行上必要不可欠か。

すでに社内に個人データ管理台帳がある場合は、それに加える形で作成しても構いません。

また英国にEUの監督機関の一つであるICO(Infomation Commissioner’s Office)があり、

https://ico.org.uk/

データマッピングのテンプレートがダウンロードできます。

▼For Data Controller

Documentation template for controllers

▼For Data Processor

Documentation templete for processors

■まとめ

・データマッピングは社内の「個人データ」の棚卸

・データマッピングはGDPR対応是非を決めるスタート地点

データマッピングは、数か月を要する場合もあります。

その場合は、時間をかけてデータマッピングを網羅的に行うのではなく、社内のデータ処理の状況に凡そのあたりをつけて調査するのが望ましい場面も出てきます。

優先順位をつけ対応を進めていく戦略も考えましょう。

 

参考:

GDPR対策コンサルティングサービス|クロス・ヘッド

https://www.crosshead.co.jp/products/sec_all/gdpr/