プライバシー保護対応におけるOneTrustの導入支援

グローバル化するビジネスや情報通信技術の発達、ビッグデータ活用の拡大などに対処するために、世界各国でプライバシー法規制の整備・改正が進んでいます。個人の権利が強化される、高額な制裁金が科される、個人情報の加工方法や処理に係る要件が定義されるなど、これまでの法令より厳格になっています。このような時勢に鑑み、企業がデータプライバシーの分野で生じるコンプライアンス上の課題やリスクを迅速に発見し、対処することが求められています。

OneTrustは、データプライバシーにおける一元化・可視化と自動化を実現することで、企業のプライバシー保護対応に関する課題に対し、包括的なデータプライバシーソリューションを提供することができます。

PwCコンサルティング合同会社（以下、PwCコンサルティング）は、ツール導入の効果算出から導入する際の現状把握、対象業務フローの確認／検討、データ移行、ユーザーテスト／教育、運用の定着／効率化まで、OneTrustの導入を幅広く支援します。

OneTrustのデータマッピングとPIA & DPIA評価自動化

OneTrustのデータマッピングおよびPIA & DPIA評価自動化は、プライバシーとデータ管理の側面に焦点を当てた機能です。これらの機能は、企業がデータフローを理解し、プライバシーに関連するリスクを評価するのに役立ちます。

1. データマッピング

データマッピングは、企業がどのようにデータを収集し、処理し、保管しているかを可視化する機能です。OneTrustのデータマッピングは、主に以下のような機能を提供します。

• データインベントリの作成：企業はデータを蓄積する場所やその性質に関する情報を記録し、データインベントリを作成できます。
• データフローマッピング：データの移動経路を示し、データのフローを可視化して、データがどのように移動しているかを理解できます。

2. PIA & DPIA自動化

PIA & DPIA自動化は、データ処理活動が個人のプライバシーに及ぼす影響を評価する機能です。OneTrustのPIA & DPIA自動化は、以下のような機能を提供します。

• リスク評価：データ処理活動が個人のプライバシーに与える潜在的なリスクを評価し、特定のリスクに対処するための対策を提案します。
• 法令遵守の確認：各データ処理活動が関連する法令や規制に適合しているかどうかを確認し、不適合があればそれに対処するためのアクションをサポートします。

PwCのサービス

PwCコンサルティングは、OneTrustの導入に向け、プライバシーガバナンス管理体制に基づいた組織構成の設計、適切な権限設定、データ移行方法の検討、リスク抽出基準の策定、導入後の従業員教育を考慮したうえで、①導入課題／対応すべき論点の洗い出し、②導入要件の整理および導入の実施、③OneTrust運用の定着の3つのステップでクライアントを支援します。

①導入課題／対応すべき論点の洗い出し

プライバシーガバナンス管理体制のあるべき姿を実現するために、OneTrustの導入に期待する効果を整理したうえで、導入にあたっての課題や対応すべき論点を洗い出します。

②導入要件の整理および導入の実施

洗い出した課題および対応すべき論点を基に、OneTrustへ反映するプライバシー管理組織、役割と権限、データマッピングの棚卸し調査項目、PIA & DPIAのリスク判断基準などの導入要件の検討をサポートします。

導入要件を明確にした後、OneTrust利用開始に向けた各種設定を行います。データマッピングの導入に際しては、既存のクライアント社内規程や個人データ保護ガイドラインなどとの整合を図り、個人データ取得・処理業務プロセスデータの投入が必要となります。既に個人情報管理台帳などで運用されている場合でも、データマッピングへのデータ移行に必要な業務プロセス単位の基準策定やデータ項目の設定など、各クライアントの個人データ利用業務に合わせたパラメータ設定や運用基準・運用手順を設計していきます。

※既存の社内規程や管理基準などに修正が必要な場合、もしくは新規作成が必要な場合は、各種文書類の整備を支援します。

運用基準・運用手順書を整理した後、関連する会社／部門の従業員へのOneTrust教育を支援します。

③OneTrust運用の定着管理

OneTrust導入後、運用上の課題を発見し、課題を整理した上解決し、利用を定着化させる必要があります。PwCコンサルティングは、クライアントのOneTrust導入後の定着管理を支援します。