原則1
自社のデータの情報を把握する
最も重要なステップは、自社がどのようなデータを作成・受領・収集しているかを把握することにあります。
企業は⾃社がどのようなデータを保有しているかを把握する必要があり、そうして初めて、順守すべき法令上の要件を判断できます。特にプライバシーに関するコンプライアンスは、どのような個人データが誰から収集されているのか知らなければ、それを順守することは不可能です。
そこで、まず始めに、データインベントリの作成を検討する必要があります。これは組織にとって最も重要なデータ、特別な取り扱いや保護を要するデータ、法律や規制で要求されるデータというように、データの種類を識別するものです。インベントリを作成することで、企業全体のこうした重要データの種類を識別するための分類の枠組み作りに活用できるようになります。
企業では、データのインベントリ作成や分類に⾼度なテキスト分析やさまざまな⼈⼯知能(AI)技術を⽤いることが増えています。データの種類や保存場所を明確に特定するための検索基準や予測分析も確⽴されています。
原則2
データの在りかを把握する
保有しているデータを把握していても、その在りかを知らなければ意味がありません。
個⼈データを効率的に特定できなければ、データ主体アクセス要求(DSAR)に対する所定期間内の対応、システムやリポジトリ内の個⼈データ保護を⽬的とした適切な管理の実施や、データを国・地域を越えてサードパーティーに転送する際の適切な転送ツールの使用や保護措置の実行など、プライバシー規制に則したコンプライアンスへの準拠を実証することは困難になるでしょう。
組織はデータインベントリを活⽤して、組織内外のシステムやリポジトリにデータをリンクするデータマップを作成する必要があります。データマップは、データ管理やプライバシー規制を順守する上で不可⽋なツールです。データマップを使⽤することにより、データのライフサイクル全体で、またデータが国・地域を越えて移動する際にデータを追跡することができ、⾃社に関連するグローバルのプライバシー要件や保護要件の特定が可能になります。
データマップの作成は、データディスカバリーやデータマッピングのテクノロジーによって確実に加速化するものの、組織のビジネスおよびITのステークホルダーが大きく関与しなければ、実りある包括的なデータマップは作成できません。テクノロジーを最大限に活用できる領域は、データマップの継続的な維持管理です。自動化を通じて、データマップの持続的なレビューと更新を効率化できます。
原則3
データの使用状況を把握する
自社データのビジネス上の用途を理解するために時間をかける必要があります。
プライバシーの観点から⾔えば、データのビジネス上の⽤途を理解することはデータの最⼩化に役⽴ちます。データの最⼩化はGDPRおよびカリフォルニア州プライバシー権法(CPRA)の原則であって、組織による個⼈データの収集・保存・利⽤は、当該データを処理する⽬的の遂⾏に関連性があり、絶対に必要なものだけに限定するよう定められています。
データの最小化は、組織が最も価値のある情報の管理と保護にリソースを集中させることができるため、組織のIGプログラムにとっても同様に重要です。
GDPRの対象となる組織は、第30条Records of Processing Activities(ROPA、処理活動に関する記録)で規定されている通り、さまざまなカテゴリーの個⼈データの処理⽬的を⽂書化しなければなりません。この情報の多くは、組織が実施する広範なデータマッピング作業の⼀環として収集・更新することができます。
組織は、新しい処理作業に注意を向けるために追加の管理やプロセスの導⼊を検討する必要があります。新しい処理作業とは、組織内またはサードパーティーによるデータの利⽤⽅法の変更などです。そうした変更については、データ主体の同意が得られておらず、プライバシー影響評価(PIA)の⼀環で評価を実施しなければならない可能性があります。
原則4
データを保護する方法を把握する
データはほとんどの組織にとって生命線であり、その保護は堅固なIGプログラムの柱です。
サイバー攻撃により侵害または窃取されたデータは犯罪者に悪⽤され、公開される恐れがあります。⼤規模な侵害により社会的信⽤が失墜し、何年にもわたって企業収益が圧迫されるかもしれません。顧客および従業員データのプライバシーを保護するには、技術的、組織的なセキュリティ対策を適切に⾏うことが不可⽋です。すべての個⼈データは、不正なアクセス・処理、破壊、損傷から保護される必要があります。
多くの組織は、プライバシー・バイ・デザインを採⽤することで、ビジネスやテクノロジー、企業⽂化にもプライバシーを直接組み込むよう努めています。PIAは、製品やサービス、テクノロジーが導⼊または展開される前に、製品とサービスをベースとしたソリューションでデータ保護とプライバシーがどのように扱われているかを評価し特定するために使⽤される手法です。
GDPRでは、⾼度なプライバシーリスクを伴うあらゆる種類の処理、特に新しいテクノロジーの使⽤について、データ保護影響評価(DPIA)が必要とされています。これらの評価はいずれも、個⼈データの収集・処理・転送を伴う製品、プロセス、システム、イニシアチブについて、リスクとその軽減策を特定する上で役⽴つものです。
原則5
外部事象への対応方法を把握する
IG原則により、外部の要因および事象がデータ管理にどう影響するかを把握できます。
新たなデータプライバシー規制が導⼊される前は、強⼒なIGプログラムによって、企業は規制当局の調査、訴訟、M&A取引に起因した複雑で時間的制約のあるリソース集約的なデータ要求に対応することができました。同じように、健全なIGプログラムは、企業がDSAR、プライバシーインシデント、データ侵害などのデータプライバシーに関わる事象に対し、必要に応じて⽅向転換したり効率的に対応する⼒を向上させます。
IGプログラムに不可⽋な要素は、データマップなどのリソースから得られる知識を活⽤し、テクノロジーを連携させて、関連データの特定、収集、レビュー、要求者への提供を効率化することです。少なくとも、DSAR処理を⾏うための標準化された効率的なワークフローの開発が求められます。
世界中でアクセス権を得る人が増加する中、プライバシー要件の順守をサポートするための新たなテクノロジーを検討する必要があります。例えばDSARをサポートするテクノロジーの検討に当たっては、組織が直面し得る外部事象を総合的に勘案し、どのように既存のツールや新規のツールを活用すればあらゆる場面で組織をサポートできるかを考えなければなりません。
原則6
データが必要な期間のみ保管する
多くの企業は、社会の期待に応えた上でビジネスニーズを満たすべく方針を再考しています。
個人情報の収集を制限するのと同様に、情報の保持についても、ビジネス上必要となる範囲を逸脱しないよう制限する必要があります。これまで企業はサードパーティーのプロバイダーや法律事務所と協力して、州や連邦の記録保持要件と業界固有の要件を満たす保持期間を設定してきましたが、多くの企業は、急速に整備が進むプライバシー規制に従って情報の保持期間を最新に保つための資金とリソース、社内のサポートが不足していました。
プライバシーへの取り組みを生かして時代にそぐわない保持期間や手順に注意を向け、保持期間の管理に対するより包括的なアプローチを構築すべきです。企業が保持する必要がある情報を、その期間や理由も含めて包括的に把握できるよう、プライバシーに関連する保持制限を明確にしなければなりません。
記録管理システムと、あらかじめ定義されたビジネスルールを用いたAIによる自動化などの高度なテクノロジーは、データのライフサイクル全体にわたる記録を関連規制に従って管理する上でも役立ちます。システムは、保持期間あるいは規定の保持要件に従って記録を保持するような設定が可能であり、法的または規制上の問題が発生した場合には廃棄を一時停止することもできます。最終的には、各従業員に普段かかっている負担を軽減します。
原則7
必要なデータ以外はすべて廃棄する
廃棄の枠組みにより、企業にとってもはや価値がなくなった保存不要なデータを削除します。
データを削除することによって、法的なコストとビジネス上のコストを管理しながらプライバシーリスクを低減できます。さまざまな種類のデータに応じた最適な廃棄⽅法を⾒極める必要があり、情報によっては複数の⽅法の組み合わせが求められます。健全なIG戦略とは、定められた保持期間を過ぎたデータがシステム間で伝播する前に、先⼿を打ってデータを廃棄することです。
データ主体からの削除要求は、関連する規制に則って厳密に決められた期限内に処理する必要があるため、プライバシーリスクが⾼まります。GDPRとCCPAの下では、組織が要求に応じて個⼈データを廃棄するだけでは不⼗分であり、処理業者やサービスプロバイダー側でも同じように情報を削除する必要があります。
テクノロジーを駆使したプロセスにより、組織は⾼度な分析、AI、⾃動化を活⽤してデータを廃棄し、効率を上げています。その⽬標は、組織の広範なデータ管理業務に組み込まれている、⽇常的な情報や古い情報、重要度の低い情報の廃棄をルーティン化することにあります。こうした廃棄のプロセスは、正当で監査が可能なものでなければならず、多くの組織は外部の弁護⼠やサードパーティーのプロバイダーと協⼒して、廃棄の枠組みの法的な側⾯と運⽤⾯を検討しています。廃棄にあたっては、削除、匿名化、集約などの⽅法があります。
サマリー
整備が進む新たなプライバシー規制によってコンプライアンス順守が一層困難になる中、健全なIGプログラムの重要性が増しています。データフットプリントを削減すれば、ビジネス・法令・規制上必要とされる極めて重要な情報の管理にリソースを集中させることが可能です。こうした原則をうまく取り入れることで、プライバシーリスクの低減、コストの管理、効率の向上、データに基づく意思決定の改善、社会的信頼の醸成を実現できます。