Reading Time: 1 minutes
この記事の所要時間: 約 6分

第4回 データマッピングおよび処理者へGDPR対応状況の確認

「GDPR対策をDIYするブログ」へお越しいただきありがとうございます。
前回の第3回は「DPOの設置、プライバシーポリシー・Cookieポリシーの作成」について説明しました。

第4回は「データマッピングおよび処理者へGDPR対応状況の確認」についてご説明します。今回もニュートン・コンサルティングが開催するGDPR講座(以下GDPR講座)で解説される内容を参考に説明していきます。

1. データマッピング

■「データマッピング」とは

GDPRが示すデータマッピングとは平たく言えば、EEA域内の個人データ資産の棚卸と、その個人データ資産を扱う業務プロセスの現状把握です。ITの世界でデータマッピングというと異なるデータベース間で取り扱うデータの関連性を示すようなことを想像しますが、GDPRの世界では異なる意を持っています。

■「データマッピング」の方法

いろいろ進め方はありますが、一般的なのはデータマッピングを調査するためのヒアリングシートを関係部署へ配布し、記入したものを回収します。配布時には記入サンプルなども添付することで対応の範囲や深さを示すことができ手戻りを少なくすることができます。また、配布するだけではく必要に応じて対象部署等への記入説明会やインタビューを実施する事も考慮します。

■「データマッピング」の範囲

EEA域内の個人データを扱う国内外問わず全ての拠点・部署が対象です。

■洗い出しの対象の情報(例)

データマッピングにて洗い出しする情報の例として以下のようなものが挙げられます。

-個人情報保名前
-識別番号
-所在地データ
-職業上のE-mailアドレス
-オンライン識別子(IPアドレス/ クッキー識別子)
-身体的/生理学的/遺伝子的/精神的/経済的/文化的/社会的固有性に関する要因
-クレジットカード詳細
-顧客の連絡先
-上司の従業員業務評価の閲覧
-従業員の的嗜好を表す個人データ
-健康(ライフログ)

さらに一般の個人データに比べ更に機微な情報とされる「特別カテゴリデータ」として以下のようなものが挙げられます。

-人種/種族的出身
-政治的見解
-宗教又は哲学的信念
-労働組合の組合員たる地位
-遺伝子データ
-生体データ
-健康又は性的嗜好に関する情報

■「データマッピング」に利用できるツール

プライバシーマークやISO27001/ISMSなどで整理した情報資産管理台帳や、IPAが発行するリスク分析シートに含まれる情報資産管理台帳などを参考に、さらに必要な情報を追加するなどが有効でしょう。

IPA(独立行政法人情報処理推進機構)
中小企業の情報セキュリティ対策ガイドライン
https://www.ipa.go.jp/security/keihatsu/sme/guideline/
<ツールA>リスク分析シート(全5シート、76.4KB)
https://www.ipa.go.jp/files/000055518.xlsx

また、EU側当局の一つである、英国のICO(Information Commissioner’s Office)では、データマッピングのための入力シートが公開されています。

Information Commissioner’s Office
https://ico.org.uk/
Documentation template for controller/ データ管理者向け
https://ico.org.uk/media/for-organisations/documents/2172937/gdpr-documentation-controller-template.xlsx
Documentation template for processor/ データ処理者向け
https://ico.org.uk/media/for-organisations/documents/2172936/gdpr-documentation-processor-template.xlsx

データマッピングはGDRPへの対応を進めるにあたって最も重要な基礎情報となる現状分析業務です。調査対象は国内外に渡ることが多くなることから決して楽な作業ではありませんが、ここをしっかり対応することで、後続するギャップ分析、対応策検討フェーズにおいて、的を得た解を導き出すことができます。

2. 処理者へGDPR対応状況の確認

GDPRの前身であるEUデータ保護指令においては、データ処理者が行った違法な処理においても、データ管理者が法的な義務、責任を負う形となっていました。GDPRでは、データ管理者のみならず、データ処理者自身にも直接的な一定の法的な義務、責任を課す内容を含めています。

■データ処理者へのGDPR対応状況を確認する目的

GDPR遵守のための「処理者」に関するGDPR準拠状況を把握し、今後の自社におけるGDPR準拠に向けた検討材料とします。

■データ処理者へのGDRP対応状況を確認する内容

主にデータ処理者には以下のような内容を確認します。

-GDPRへの準拠予定があるか?ある場合いつ対応する予定か?
-GDPR準拠する場合どのような対応を行うか?
-現時点でのセキュリティ活動を証明するものがあるか。例えば第三者認証取得状況(Pマーク、ISMSなど)は?
-データ漏洩や改ざん、外部からのサイバー攻撃の予兆を検知する仕組みを導入しているか?そしてその内容は?
-処理データに関して仮名化、匿名化等の対応はしているか?
-データ漏洩が疑われる場合の連絡のプロセスが整っているか?そのプロセスはどのようなものか?
-データ漏洩が発覚した場合に72時間以内に弊社に連絡する仕組みが整っているか?
-データ削除依頼などを行った場合に1か月以内に実行可能か?
-データ削除を依頼した場合に、遅滞なく確実に対応した旨の証明書などを提出できるか?

■データ処理者へのGDPR対応状況を確認する方法

データ処理者に対し、GDPRの取組状況、今後の取組予定、現状のセキュリティ対策等を確認する方法は様々ですが、電話インタビュー、訪問インタビュー、調査票を作成しメール等で回答依頼する等が挙げられます。

■データ処理者へのGDPR対応状況を確認する対象範囲

EEA個人データを取り扱うデータ処理者全てが対象となります。

■データ処理者へのGDPR対応状況を確認する利用ツール

「データ処理者向け調査票」
※文末でダウンロード頂ける資料にイメージが含まれています。

「GDPR対策をDIYするブログ」第4回は「データマッピングおよび処理者へGDPR対応状況の確認」について書きました。ここまでのステップについて、ニュートン・コンサルティング社が開催するGDPR講座で解説される「~GDPR完全対応講座~ワークショップ解説資料(ワークショップ①~⑥、⑧⑨抜粋)」の資料を以下よりダウンロードいただけます。

次回GDPR対策をDIYするブログ第5回では、「ギャップ分析と対応策の検討を行う」についてご説明します。

最後に1つご案内させていただきます。

今後、GDPR対策を進める上で、対応を迫られている組織の担当者が1日で対応方針を決定したい。その場でコンサルタントに相談しながら不明点を解決し、自社に戻って実装を進めたいという場合には、以下ニュートン・コンサルティング社が提供するGDPR講座の参加をご検討ください。

ニュートン・コンサルティング GDPR講座
GDPRセミナー(EU 一般データ保護規則)ツール完全提供!
~完全準拠ツールをすべて提供&GDPRの概要と取組む際の勘所~
https://www.newton-consulting.co.jp/academy/curriculum/201804gdpr.html
場所:ニュートン・コンサルティング株式会社

【~GDPR完全対応講座~ワークショップ解説資料(ワークショップ①~⑥、⑧⑨抜粋)】
ニュートンコンサルティング発行

■ZohoにおけるGDPRへの取組の紹介

弊社ゾーホージャパンはグローバル企業Zoho Corporation傘下の日本法人です。GDPR施行の前日2018年5月24日Zoho CorporationのCEOは次の動画による声明を行っています。

https://m.youtube.com/watch?v=IovXB__qQPQ

動画におけるZoho CorporationのCEO Sridhar Vembu による声明内容(和訳)

ご挨拶申し上げます。
ゾーホーは、一企業として、お客様のプライバシーを真剣に考えています。それに向け、我々はビジネスモデルを変更しました。お客様のプライバシーを侵害しないためにも、お客様の明確な許可なくお客様のデータを第三者に売却したり、開示したりすることは決して行いません。この点は今までの我々の対応と全く変わりありません。GDPRはお客様のプライバシーを守るための我々の取り組みをより強いものにさせました。
さらに、これを念頭に置いて、我々はGDPRレベルの運用をワールドワイドのお客様に向け拡大し適用しました。これはヨーロッパの規制ではありますが、GDPRに定められたGDPRレベルのプライバシー保護をワールドワイドのお客様に拡大する宣言をします。
この取り組みは、私たちのお客様のプライバシー保護のための取り組みなのです。
そう。プライバシーを選ぶなら、是非ゾーホーを。
ありがとうございます!

この弊社CEOの声明では、GDPRレベルのセキュリティポリシーをWWの顧客や拠点に対して適用するという宣言を行いました。

また、ZohoではGDPRに対してあらゆる取り組みを開始しております。

GDPR Readiness – Zoho
https://www.zoho.com/jp/lp/gdpr.html(日本)
https://www.zoho.com/lp/gdpr.html

当ブログを運営するIT運用管理セキュリティソフトウェアのManageEngineにおいてもGDPR対応を支援するソリューションを提供しております。
GDPRの要件とManageEngineの対応を示した情報などを以下ページにて公開しております。

GDPR対応ソリューション-準拠に向けたポイント- | ManageEngine
https://www.manageengine.jp/solutions/gdpr/lp/(日本)

GDPR Compliance – Solutions – Checklist – Software | ManageEngine
https://www.manageengine.com/gdpr/index.html

GDPRをDIYするブログ 連載目次
第1回 GDPRの概要と日本における現状
第2回 GDPRへ対応するための作業ステップと事前準備
第3回 DPOの設置、プライバシーポリシー・Cookieポリシーの作成
第4回 データマッピングおよび処理者へGDPR対応状況の確認(今回)
第5回 ギャップ分析と対応策の検討を行う
第6回 GDPRにおけるIT対策
第7回 ルール決定と文書化(最終回)

Tags : GDPR