はじめに
今日、データ活用は企業の生命線とも言えます。そこで不可欠になるのが適切な個人情報管理(プライバシー管理)です。GDPRや改正個人情報保護法などの法令遵守はもとより、マーケットの信頼(Trust)を獲得するためにもその重要性は高まっています。
こうした中、欧米を中心にプライバシー管理に特化したSaaSが台頭しており、その筆頭として大きなシェアを誇るのが OneTrust です。日本国内でも、大手企業を中心に活用事例が増えてきています。
OneTrustとは
OneTrustは、データプライバシー、委託先管理、ITセキュリティ、AIガバナンスなど、現代企業が直面するデジタルリスクを統合管理・可視化するSaaSプラットフォームです。
2016年の設立以来、14,000社以上に導入されており、GDPRや改正個人情報保護法、さらには最新のEU AI Act(欧州AI法)などの法規制対応を効率化するツールとして、世界的に大きなシェアを誇っています。
本編
本記事では、企業が個人情報保護対応を実施する際の一般的なOneTrustの活用方法、特に質問票を用いた情報更新の方法についてステップバイステップで解説します。
OneTrustデータマッピングとは
OneTrustのデータマッピングは、これまでエクセルで個別に管理されていた情報を一つの台帳に集約し、一元管理と可視化を実現します。これにより、エクセル管理特有の「多数のエクセルファイルのバージョンの乱立」「項目間の情報のずれや解離」「過去の履歴を追跡するのが困難」といった課題を解消することが可能です。さらに、データ処理活動、ITシステム、委託先の情報を一つのプラットフォームにまとめることで、組織全体の状況を一目で把握できるようになります。一箇所の情報を更新するだけで関連する全データへ自動的に反映されるため、エクセル特有の情報のズレや重複入力を排除し、常に正確なROPA(処理活動の記録)を維持できます。
※OneTrust データマッピングの詳細については、弊社のOneTrustナレッジの記事の中でもご紹介しています。
データマッピング関連の用語の解説
ここでは、OneTrustを使用する上で出てくる特有の用語について解説します。
インベントリとは
インベントリ(台帳)とは、OneTrustのデータマッピング機能において、管理・追跡の対象となる個々のデータ処理活動やデータ資産に関する詳細な記録のことです。これには、処理の目的、関係するシステム、データの流れ、保管場所、セキュリティ対策などが含まれます。データマッピングにおいては、インベントリ(台帳)の正確性を維持することが、不可欠となります。
その他の用語
OneTrustでは、「評価」「質問票」「テンプレート」という用語が頻繁に登場しますが、それぞれの用語の定義は以下の通りです。
- 評価:質問票に対して、回答者や承認者を指定し、回答や承認が行われる一連のプロセスです。
- 質問票:テンプレートを実際の評価プロセスで利用し、回答者が情報を入力するためのものです。
- テンプレート:OneTrustが提供する質問票の雛形、またはユーザーが独自に作成した質問票の雛形を指します。質問票のもとになるものです。
つまり、テンプレートは質問票の設計図であり、質問票はその設計図に基づいて作成される成果物と考えると分かりやすいでしょう。
注意
テンプレートと質問票は見た目はほとんど同じであるため、説明者によっては、質問票の雛型である「テンプレート」も評価で使われている「質問票」も区別せずに、「テンプレート」または「質問票」と呼ぶことがあるので、注意しましょう。
【評価機能の役割】
OneTrustのデータマッピング機能において、「評価」は、データ処理活動に使用される情報の所在や処理方法を可視化するための手段の一つです。一方、OneTrustのプライバシー評価自動化機能では、「評価」が中心的な機能となり、「評価」そのものを効率的に実施・管理するためのツールとして活用されます。
本稿では、日本のお客様における一般的なOneTrustのデータマッピングの利用方法、特に質問票を用いた情報更新について解説します。
テンプレートの作成方法
評価のテンプレートの作成方法は、大きく分けて二つの方法が存在します。一つは、ギャラリーに用意された既存のテンプレートを選択する方法であり、もう一つは、ユーザーが独自のテンプレートを最初から構築する方法です。
ギャラリーからテンプレートを選択する場合、OneTrustによってあらかじめ提供されているテンプレートを追加し、そのまま利用するか、または必要に応じてカスタマイズすることが可能です。テンプレートの作成に不慣れなユーザーは、この方法から着手することで、比較的容易に質問票を作成することができます。例えば、GDPRコンプライアンス評価のためのテンプレートや、CCPAコンプライアンス評価のためのテンプレートなどが用意されています。これらのテンプレートは、組織のニーズに合わせて、質問内容を追加したり、回答形式を変更したり、必須項目を設定したりするなど、柔軟にカスタマイズできます。
※ギャラリーからテンプレートを選択して作成する手順については、別の記事でご紹介予定です。
【テンプレートのギャラリーの画面】
オリジナルテンプレートの作成方法
ここでは、現在Excelで管理されている質問をOneTrustのデータマッピング機能の質問票に変換する手順を、以下のステップで説明します。
STEP 5とSTEP 6は必須ではありませんが、作成したテンプレートをより使いやすくするための便利な設定です。これらの詳細については、本ガイドの第3回と第4回でご紹介しています。
移行準備:Excel質問票の詳細な把握と整理
まず、貴社の現状のExcel質問票を把握してください。質問の内容、回答形式、必須回答の有無などを整理します。特に、回答形式はOneTrustのテンプレートに移行する際に重要になるため、きちんと整理しておきましょう。
質問でよく使用される回答形式の例:
・選択形式(単一選択、複数選択)
・テキスト形式(自由紀述)
・日付形式
・YES/NO形式
以下の企業の個人情報管理例を参考に、現在お使いのEXCELテンプレートのデータを、データマッピングにどのように組み込んでいくかを、このシリーズで段階的に解説します。
参考例の想定シナリオ
ある企業が本社の人事部門における従業員の個人データ管理状況について、年2回適切な運用がなされているかを確認するケースを考えてみましょう。
現状では、雇用担当者がExcelシート上の個人情報に関する質問に回答し、個人情報管理責任者がその回答内容に問題がないかを確認しています。
OneTrustのデータマッピング機能を利用することで、これまでExcelシートで行っていた回答作業を、OneTrust上の質問票に直接入力できるようになります。
人事担当者が OneTrust上の質問票に回答し、承認されると、「本社の人事部門における従業員の個人データ管理」というデータ処理活動のインベントリ(台帳)が自動的に更新されます。これにより、個人情報管理責任者は、インベントリ(台帳)の内容を確認するだけで、個人情報の取り扱いにおける潜在的なリスクを効率的に管理できます。
『雇用活動評価シート.xls』の内容
以下に、参考例としているExcelシート「雇用活動評価シート」に記載されている質問内容を記載します。
次回は、このExcel評価シートの情報をOneTrustのテンプレートに移行する手順を詳しくご案内いたします。
最後までお読みいただき、ありがとうございました。