はじめに
今日、データ活用は企業の生命線とも言えます。そこで不可欠になるのが適切な個人情報管理(プライバシー管理)です。GDPRや改正個人情報保護法などの法令遵守はもとより、マーケットの信頼(Trust)を獲得するためにもその重要性は高まっています。
こうした中、欧米を中心にプライバシー管理に特化したSaaSが台頭しており、その筆頭として大きなシェアを誇るのが OneTrust です。日本国内でも、大手企業を中心に活用事例が増えてきています。
OneTrustとは
OneTrustは、データプライバシー、委託先管理、ITセキュリティ、AIガバナンスなど、現代企業が直面するデジタルリスクを統合管理・可視化するSaaSプラットフォームです。
2016年の設立以来、14,000社以上に導入されており、GDPRや改正個人情報保護法、さらには最新のEU AI Act(欧州AI法)などの法規制対応を効率化するツールとして、世界的に大きなシェアを誇っています。
本編
この記事では、OneTrustの用語についてご紹介します。
インベントリー
- 従来の「個人情報管理台帳」を半恒久的に運用できる電子的な記録領域として実装したもの。
- 「レコード」と呼ばれる単位で情報を記録し、永続的に最新情報に更新しながら運用する。「インベントリ」というと、「インベントリ」全体のことを指す場合もあれば、特定の1つの「レコード」を指すこともある。
- 「レコード」には、 「データ処理活動」「アセット」「事業体」「ベンダー」 という4種類があり、それらの「レコード」を互いに「関係」付けることによって、個人情報の取り扱い状況を多面的・有機的に記録・更新・参照できる構造になっている。
- 各々の「レコード」上で記録・更新・参照される情報は、「属性」と呼ばれる変数とその値のペアの形式で記録される。「属性」の値の形式は、複数から複数選ぶ選択肢、自由記述の文字列、数字など、様々な形式から選べるようになっており、個人情報取り扱いで典型的に利用される「属性」をOneTrustがデフォルトで提供しているものもあるが、個々のユーザ組織の運用に合わせて「属性」をカスタマイズ定義することが多い。
データ処理活動
- インベントリの一種で、プロジェクトなど組織の活動を目的や関係者の範囲などのまとまりの単位として考え、その中で行われる個人情報の取り扱い状況を「レコード」として記録・更新・参照するもの。
属性 (Attribute)
- 属性は、(主に)上記のそれぞれのインベントリに対して、情報を付与する項目全般を指します。OneTrustでは、属性は、データ処理活動の属性やベンダーの属性などがあります。
個人データ
- 「インベントリ」の「属性」の値として、取り扱い個人情報の種別や特性を記録する際に用いる表現を、OneTrustテナント環境内で表記ゆれなく記録・更新参照できるように統一的に定義しておく形式。
- 「データ主体タイプ」「データカテゴリ」「データ分類」「データ要素」 を決めておくことができる。
- 個人情報保護に関する法令の規定では、取り扱う個人情報の種別や特性の条件によって適用性や規定内容が定められていることが多いため、「インベントリ」の記録情報において表現やとりうる値をあらかじめ定めておくことによって、OneTrustのワークフローなどの機能で「インベントリ」の情報運用と連携させたリスク管理運用が実装できる。
評価
- 個人情報取り扱いに関わる組織活動の担当者、関係者、周辺ステークホルダーなど、アサインされた人が「質問票」に回答することによって個人情報取り扱い状況に関わる情報を記録する。
- 質問回答の「承認」によって自動的に「インベントリ」(「インベントリ」の「レコード」)の「属性」の値として書き込み、「インベントリ」を連携更新することもできる。