個人情報保護法対応ことはじめ―データマッピング

はじめに

IT分野の事業を展開する企業に限らず、あらゆる企業は、従業員や取引先担当者の連絡先など、多数の個人情報を保有しています。

そのため、たとえ中小企業であっても、個人情報保護法に対応しなければなりません。

とはいえ、個人情報保護法対応といっても何から始めればわからない…という企業の方も多くいらっしゃるのではないかと思います。

そこで、今回のコラムでは、まず、個人情報保護法対応の第一歩として実施すべき「データマッピング」について、個人情報保護法を所管する個人情報保護委員会が2022年10月に発表した「データマッピング・ツールキット」（以下、「本ツール」といいます。）に基づいてご紹介いたします。

データマッピングとは

そもそも、データマッピングとは何かという点について、個人情報保護委員会は、本ツールの解説資料の中で次の通り定義しています。

「データマッピングとは、事業者が取り扱うデータを事業者全体で整理して、取扱状況等を可視化する作業のことを言います」（下線・太字は筆者による）

さらに、個人情報保護委員会は、データマッピングを行う意義について、
「事業者全体としてどのようなデータを取り扱っているのかを把握し、
① 個人情報保護法（以下「法」といいます。）を含む当該データに適用される法令の遵守状況の確認
② 当該データの取扱状況等に起因するリスクに応じた必要な対応の実施
等を行うことができます。」
と述べています。

このように、データマッピングとは、各企業が実際に取り扱っているデータを見える化することによる現状把握の作業を指し、個人情報保護法に対応するための第一歩と位置づけることができます。

具体的な作業

このデータマッピングの具体的な作業について、本ツールの解説資料では、次の4つの手順に整理されています。

1. 準備
2. 表作成
3. 確認・対応
4. 更新

１．準備

1点目の準備に関しては、本ツールの解説資料では、

• データマッピングの責任者・担当部署（事務局）の決定
• データマッピングの目的の設定
• データマッピングする項目及び対象とするデータの範囲の設定
• データマッピング表のフォーマットの作成
• データマッピング表の記入者の決定

といった手順が紹介されています。

当職も、企業の内部において、本ツールと同様の書式を用いたデータマッピングの作成に対応した経験がありますが、この経験から、特に1点目の責任者・担当部署の決定は重要であると考えています。

というのも、個人情報保護に関する業務については、多くの企業では、法務部門・総務部門などが担当部署に任命されることが多いと思われます。
しかしながら、これらの部門は、必ずしも、実際に事業を展開している事業部門や従業員を管理している人事部門がどのような個人情報を取り扱っているかを詳細に把握できているわけではありません。
特にIT関係の事業を展開している企業においては、その商品・サービスがどのような仕組みで動いており、それに伴いどのような個人情報を取得しているかを、法務部門・総務部門が理解できていないケースも相当数あると思われ、その結果、個人情報保護法対応に関しても、見落としが発生するリスクが考えられます。
この意味で、責任者・担当部署の決定は非常に重要と考えています。

以上の通り、データマッピングの作成に限らず、個人情報保護法に対応していくためには、法務部門・総務部門だけでなく、事業部門などを含めた全社的な対応が必要不可欠になってきますので、今から個人情報保護法対応を本格化するという企業の方（特に経営層の方）は、この点を意識してデータマッピングに着手することが求められます。

２．表作成

データマッピング表そのものについては、下記の個人情報保護委員会のHPからダウンロードできますので、詳細はこちらをご覧いただきたいですが、大きく分けると、基本項目・企業内での取扱い・委託先での取扱い・第三者提供の4つの項目に分かれています。

本ツールの解説資料でも述べられていますが、データマッピング表を記入するにあたっては、実際に個人情報を取り扱っている部署に、対象となるデータの範囲や記載内容を十分理解してもらう必要があります。そうでなければ、本来対象とすべきデータに関する記載が漏れてしまったり、部署ごとに回答結果がばらついてしまい、結果的に担当部署（事務局）から各部署に再度ヒアリングを実施しなければならなくなるなどの事態が発生してしまいます。

したがって、各部署にデータマッピング表の記入を依頼するにあたっては、事前に説明会を開催する、記入マニュアルを作成し配布するなどの工夫が必要です（いずれについても難解な法律用語を用いるのではなく簡単な言葉でかみ砕いて説明することが必須です）。
この点については、個人情報保護委員会が本ツールのパンフレットを公表していますので、参考にしてみてください。

≪参考資料≫

■「データマッピング・ツールキット」に関する個人情報保護委員会HP：URL

■「データマッピング・ツールキット」のパンフレット：URL

３．確認・対応

データマッピング表への記入が完成したら、担当部署（事務局）において、その内容を確認した上で、必要な対応を行うことになります。

この点については、本ツールの解説資料では、まず、1．準備段階においてデータマッピングの目的を設定した上で、その目的に沿って確認し、必要な対応をすると述べられています。
例えば、保管しているデータの内容に応じた適切なセキュリティが施されているかを目的にデータマッピングを行うのであれば、現在保管しているデータごとに、セキュリティ対策を確認した上で、足りない部分があれば必要な対策を追加するといった対応が考えられます。

これから個人情報保護法対応に着手するという企業であれば、そもそも、現在のデータの取扱いが個人情報保護法を遵守した内容になっているかが主な関心事になると思われます。
そうであれば、例えば、個人情報保護法第17条・第18条に関して、現状の取扱いが利用目的の範囲を超えていないか、同法第27条に関して、本人の同意なくデータを第三者に提供していないかといった点を確認し、個人情報保護法に抵触する取扱いがあれば是正するといった対応を取ることが考えられます。

４．更新

データマッピングのような現状把握の取組みについては、一度完成したらそれでおしまいということになってしまいがちですが、個人情報に関しては、関係する法令の改正も頻繁であり、また、商品やサービスの新発売・変更に伴い、個人情報の取扱いが変わってしまうことも多いと考えられます。
そのため、データマッピングについては、定期的な更新を行うことが重要です。。

具体的な更新のタイミングについて、本ツールの解説資料では次の4つが例示されていますので、これを参考に定期的な更新を行うことが求められます。

• 記載事項に変更が生じた場合（随時）
• データを使用したサービスの仕様を変更する場合
• 法改正があった場合
• 定期的（半年に１回程度）

注意点

今回ご紹介した「データマッピング・ツールキット」は、あくまで日本の個人情報保護法を念頭に置いた内容となっています。

そのため、個人情報保護の分野で話題に上ることの多い欧州のGDPR（General Data Protection Regulation）などの海外法制については、対応できる内容になっていません。

仮に、欧州居住者向けにサービスを展開している企業であったり、欧州域内に拠点のある企業などGDPRの適用がある企業（※）については、別途、GDPR対応という観点から、データマッピングとその後の対応を検討する必要があります。
※GDPRに関しては、日本国内にある企業だからといって、必ずしも適用がないわけではなく、一定の要件の下、日本企業にも適用があるということにご注意ください。

この意味でも、本ツールは、その解説資料において「導入初期は本ツールキットを参考にしながら、更新の都度、項目等の見直しを行い、事業者にあった方法を構築することが期待されます」と述べられているように、各社の状況に合わせてアップデートしていくことが求められているものだと理解しておかなければなりません。

まとめ

以上、今回は、個人情報保護委員会が2022年10月に公表した「データマッピング・ツールキット」に基づいて、データマッピングについて、ご紹介いたしました。

中小企業では人員が限られているがゆえに、個人情報保護対応が後手に回ってしまっているという企業も多いと思われます。
当事務所では、企業の経営層の方や責任部署の方と一緒になって、個人情報保護法対応のための体制整備をサポートすることも可能ですので、何なりとご相談ください。