トップ > 個人情報保護法 > データマッピングの現実解

データマッピングの現実解

個人情報保護法

1.今日のテーマ

今日は、いわゆるデータマッピングの話をしようと思います。

また、データマッピングの雛形(現実解ver.)も公開してみます。

 

2.データマッピングとは

(1) 定義

まずは定義からスタートしましょう。個人情報保護委員会が公表している「データマッピング・ツールキット」では、データマッピングを以下の通り定義しています。

(2)法律上の位置付け

個人情報保護法23条により、個人情報取扱事業者は安全管理措置を講じる義務を負いますが、その具体的な内容はガイドライン通則編の「10(別添)講ずべき安全管理措置の内容」で詳細化されています。

そして、「10(別添)講ずべき安全管理措置の内容」の中には「組織的安全管理措置」があり、その小項目として「(3)個人データの取扱状況を確認する手段の整備」があります。

データマッピングは、この「明確化」を行うための手段として位置付けられます。

3.問題意識

(1)現状

この「明確化」のための手段としておそらくよりメジャーなのは、「個人情報取扱(管理)台帳」による運用です。認証取得などの目的で別途台帳を作成している企業は一定数あり、これを法律上要求されている「明確化」のための手段として流用するわけです。

Q&Aにも、この「個人情報取扱台帳」は(法律上義務付けられているわけではないが)有効であることについての言及があります。

(2)問題点

しかしながら、私はこの「個人情報取扱台帳」による運用には懐疑的です。(私の実力不足という側面があることは否定しないのですが)今まで上手く行ったためしがありません。

一度作成したとしても、次に開くのは1年後の棚卸しによる更新時」というケースが非常に多いです。この状況は、比較的多くの企業で共通しているように思うのですが、読者のみなさんいかがでしょうか?

(3)原因

「個人情報取扱台帳」を作成しても日常業務には用いられず、情報も更新されないのはなぜなのでしょうか?

私はこれは、

  • 記載単位が「個人データ」ではなく「個人情報」であり、個人情報保護法の主たる規制対象である「個人データ」と乖離があること
  • 「個人情報」という取得し終わったデータそのもの(=静的な情報)に着目して整理しているため、企画・開発に伴い最新の情報が更新されていくデータの処理(processing)(=動的な情報)と乖離があること

辺りにあるのではないかと考えています。

4.現実解

(1)前提としての「データマッピング・ツールキット」

というわけで、「(3)原因分析」の結果からは

  • 「個人データ」の粒度で
  • データの処理(processing)に着目して整理する

データマッピングがより適切ではないか?というのが私の結論にはなるのですが。

個人情報保護委員会が用意してくれているデータマッピング・ツールキットもまた、個人的にはなかなか上手く活用するのが難しい印象を持っています。

…いや、記載項目が流石に多くないですか?

(2)雛形(現実解ver.)

というわけで、自分はクライアントから

  • データマッピングを実施したい
  • 過去コンサル企業の下でデータマッピングを実施したが、大量のExcelがドライブの肥やしになっている状況を改善したい

といったご相談をいただくことが結構あります。

そして、

はまだまだ各社とも様子見という印象だったのですが、最近この種のデータマッピングに関するご相談が顕著に増えています。

 

こうやってデータマッピングに予算をつけられる企業はご相談をいただけると嬉しいですが、やはりそうはいかない企業も多くあるのだろうな。。。と思ったので、データマッピングの雛形(現実解ver.)くらいは公開しようかなと思って今に至ります。

実際のご依頼では個社ごとのニーズに合わせてアレンジするのですが、今回の雛形は「多くの企業でまぁ最低限これくらいチェックしておけばいいのでは」といった項目をまとめたものです。

データマッピング雛形(現実解ver.).xlsx - Google スプレッドシート

5.運用方法

(1)はじめかた

まずは法務部門との距離が近い、相互理解があるようなプロダクトをパイロットケースとして選定します。

当該プロダクトについて、PdM(企画)の方とペアになって法務部門でこれを埋められるとベストです。必要に応じて開発部門やマーケ部門の方とも連携を取ってもらいましょう。これができると、法務部門の問題意識を次々PdMにインプットできるので、PdMのデータ法に関する知識が爆上がりします。現場における司令塔であるPdMにデータ法の知識がある状態の心強さといったらありません。

もしこれが難しい場合には、法務部門が企画、開発、マーケ…を回って埋めていきましょう。

(2)【最重要】形骸化させないために

データマッピングを形骸化させないためには、記載内容を最新の状態に保つ必要があります。記載内容を最新の状態に保つためには実業務において「使われる」ことが重要です。

個人的なおすすめは、

  • データマッピングを事業部門と法務部門の双方が編集できる領域に置く
  • データマッピングに記入済みの内容に更新がある場合には法務相談が必要である旨伝えておく
  • 法務相談があったら一緒にデータマッピングを開いてミーティングを行い更新する

という運用です。

(3)自動化に向けて

昨今のAIツールの充実により、これらデータマッピングも自動化できる領域が増えてきていると思います。

ただ私はこのデータマッピングについて、PdMを中心とした事業部門の方々への教育ツールとしての役割も期待しており、どこまで自動化してしまうのが良いのかはまだまだ悩み中で結論が出ていません。

自分なりの答えが出た段階でこの辺りも記事にしてみたいと思います。