連載第5回では、自社における個人データの越境移転状況を適切に把握する手段としてデータマッピングを進める際のポイントと、その効率的な実行をサポートするプライバシーテックの活用について紹介する。

自社で保持する大量のデータの所在をまず可視化し、把握する必要がある(写真/Shutterstock)
自社で保持する大量のデータの所在をまず可視化し、把握する必要がある(写真/Shutterstock)

データマッピングを実施して初めて分かる越境移転の状況

 データマッピングとは、自社において個人データを取り扱う業務や関係するデータベースを可視化する活動である。個人情報保護法における「組織的安全管理措置(3)個人データの取扱状況を確認する手段の整備」の一環として、台帳を作成する活動もこれに当たる。多くの企業においては、個人情報を取得するタイミングで台帳を作成し、年1回程度の頻度で個人データの件数や項目の更新を行っている。

 データマッピングを行うことで保有個人データの所在が明らかとなり、自社が外国の事業者に個人データの提供を行っているか否か判断することができる。また、越境移転を行っていた場合、その件数やデータのセンシティビティーを把握することで、講ずべき安全管理措置についても検討を進められる。本連載を通じて述べてきた通り、データマッピングこそが、越境移転についても個人データを取り扱う際の土台となる。

 越境移転に関して企業のプライバシー保護担当者が把握すべき事項は、個人データが外国の第三者に提供されているか否かだけではない。令和2年(2020年)改正個人情報保護法では「保有個人データに関する公表事項の充実」の方針の下、「外的環境の把握」という形で、外国にある第三者が提供するクラウドサービスに個人データを保存している場合、個人情報取扱事業者は当該クラウドサービス提供事業者の所在する外国の名称などを通知・公表することが求められる。この対応は、委託先を通じてデータを保存している場合も同様に求められることから、22年4月の改正法全面施行に向けて、企業などは対応を迫られている。

 今後は、台帳において把握すべき項目に「クラウドサービスを通じた外国でのデータ保存の有無」や「委託先における外国でのデータ保存の有無」が加わることが想定される。

データマッピングを進める際のDX時代ならではの落とし穴

 データマッピングという聞き慣れない言葉も、保有個人データの台帳管理を指すのであれば、自社でも既に対応できていると胸をなで下ろす読者諸氏も多いと思われる。ここで注意したいのは、その台帳が自社の個人情報データベースを漏れなく捉えているかという点である。

有料会員になると全記事をお読みいただけるのはもちろん
  • ①2000以上の先進事例を探せるデータベース
  • ②未来の出来事を把握し消費を予測「未来消費カレンダー」
  • ③日経トレンディ、日経デザイン最新号もデジタルで読める
  • ④スキルアップに役立つ最新動画セミナー
ほか、使えるサービスが盛りだくさんです。<有料会員の詳細はこちら>
5
この記事をいいね!する