野村総合研究所(NRI)は10月20日、企業がITを活用して個人情報を適切に管理するツール「OneTrust」で活用できる、国の個人情報保護委員会が公表したデータマッピングの推奨項目に対応したテンプレートを作成し、同日より提供開始したことを発表した。

  • OneTrustを用いたデータマッピングの業務イメージ

    OneTrustを用いたデータマッピングの業務イメージ

個人情報保護委員会が10月13日に公表した文書では、データマッピングは個人情報保護法ガイドライン(通則編)の組織的安全管理措置における「個人データの取扱状況を確認する手段の整備」の一手段として明確に位置付けられた。

マッピングは、個人情報を管理する社内の各部署において、どのようなデータを保有し、どのように保管しているか、部署内や委託先でのデータの利用やアクセスの状況、第三者への提供状況等をデータごとに整理する作業のこと。これにより、自社が保有する個人情報について、各部署での取扱状況を一覧化し、全社的に把握することが可能となる。

個人情報保護委員会が公表したデータマッピング表はExcel等の表形式だが、OneTrustを利用すればシステム上でマッピングが実施可能。OneTrustでは、現場の責任者・担当者とデータ保護部門の責任者・担当者をワークフローの中で事前に設定し、回答依頼、現場での入力、回答内容の確認、修正依頼、バージョン管理など、マッピングに関わるやり取りの大半をシステムで自動化し、責任者・担当者の負担を大幅に軽減できるという。

法令保護の対象となる個人情報について、データマッピングを行うことによって社内における法令遵守状況の確認が容易となり、自社のコンプライアンス向上が期待される。データマッピングの結果は、データ活用に伴う個人情報漏洩や企業イメージ低下等のリスクを事前に把握し、対処するためのプライバシー影響評価(PIA)を実施するかどうかの判断基準として活用できる。OneTrustでは、データマッピングの結果に連動させてPIAを実施する機能も提供している。