一般財団法人日本情報経済社会推進協会

ナビゲーションをスキップ

EN

お問い合わせ

MENU

2024.10.24

レポート

社内のデータ管理の基本となるデータマッピングについて紹介

一般財団法人日本情報経済社会推進協会
電子情報利活用研究部 調査研究グループ
グループリーダ  松下 尚史

個人データの安全管理措置

EUの一般データ保護規則(GDPR)では説明責任の原則に沿い、管理者は個人データの処理がなされていることを証明する必要があり、技術的および組織的な措置の一つとして、取扱活動記録の保管(データマッピング)(GDPR第30条「取扱活動の記録」第1項※1)があります。GDPRのデータマッピングを背景として、日本では個人情報保護法第23条「安全管理」で個人情報を取り扱う事業者はデータの安全管理のために「必要かつ適切な措置を講じなければならない」と定めていることから、個人情報保護委員会(PPC)がデータガバナンス(民間の自主的取組)として、2022年12月にデータマッピング・ツールキット(以下、ツールキット)を公開※2しました。データマッピングが安全管理措置の一つとして役立つとともに、データの管理場所の確認により安全な保管場所への移行等の対応にも繋がる、ということから、ツールキットに注目が集まり、約7,000件以上ダウンロードされています。

データとは

最近、データは経営資源「ヒト・モノ・カネ」のうちの無形資産の一つと捉えられるケースが多く、社内のデータを正確に把握すること=経営資源を正確に把握することと考えられます。

データとは、価値を持たずに保管されているもので分析・解釈・利用することで有用な情報に変換できる事実や数字を指します。関連する知識と知識をつなぎ合わせて新たな価値創造につなげていけることから、多くの企業がデータを重視し、さまざまなデータの利活用に取り組まれていることと思います。また、データの正確な把握が新たな価値創出という攻めの取り組みにも繋がります。

経済産業省が制定した「デジタルガバナンス・コード3.0」※3では、経営ビジョンの実現に向けた戦略=DX戦略(データとデジタル技術を活用する戦略)と示されており、データをどう使うかがこれからの社会において非常に重要なファクターになってくる、つまりデータマッピングを行うことがDX推進にもつながっていくと考えられています。

データマッピングの意義

データマッピングとは、事業者が取り扱うデータを事業者全体で整理し、取得状況等を可視化することであり、個人情報保護法を含む、当該データに適用される法令の遵守状況の把握にもつながります。また、当該データの取り扱い状況に起因するリスクへの対応も実施可能となります。

個人データのデータマッピングは、個人情報保護法第23条「安全管理措置」で定める個人データの安全管理措置の一つの手法として、「ガイドライン通則編10-3(3)」※4に記載されています。個人データの項目責任者、取扱部署等をあらかじめ明確にし、個人の取り扱い状況を把握可能にするもので、組織的安全管理措置の個人データの取り扱い状況を確認する手段の整備の一つに該当します。

データマッピングの手順

データマッピングは、まずデータマッピングを行う責任者(部署)を決定し、次に目的の設定やデータマッピングを行う項目と対象データの範囲設定、データマッピング表の作成、記入、確認、必要な対応、表の更新を行っていきます。

PPCのデータマッピングの手順は図1のとおりです。ここでは、目的と項目の設定例などが示されていますが、たとえば、個人データの越境移転規制等を中心に確認することを目的とする、セキュリティが適切に施されているかを確認する、など、自社のリソース等を照らし合わせながら、データマッピングの目的や対象項目を絞る、または広げるなどの判断をしていけばよいでしょう。

図1.データマッピングの手順

個人データの越境移転規制への対応

ツールキットでは越境移転について、①外国にある第三者への個人データの提供、および②外国において個人データを取り扱う場合のチェックリストがそれぞれ提示されていますのでご参照ください(図2)。なお、データの取り扱い等については相手企業との契約内容に依存する場合がありますので、このチェックリストの結果をもとに専門家に相談する等で最終判断するのがよいでしょう。

図2.越境移転に関するチェックリスト(PPC データマッピング・ツールキット別紙2、3)

データマッピングを進めることにより、グローバル化に対応した適切なデータ管理が実現していきます。グローバルに事業を展開する場合だけでなく、国内事業のみであったとしても、海外のデジタルサービスを使用する機会が増えているのですから、しっかりとしたデータ管理を攻めの第一歩として、DX戦略を推進していただきたいと思います。

本内容は、2024年9月20日に開催されたJIPDECセミナー「グローバルビジネスにおけるデータの利活用と保護 ~データ越境移転ルールの最新動向~」講演内容を取りまとめたものです。

講師
JIPDEC 電子情報利活用研究部 調査研究グループ グループリーダ  松下 尚史

青山学院大学法学部卒業後、不動産業界を経て、2018年より現職。
経済産業省、内閣府、個人情報保護委員会の受託事業に従事するほか、G空間関係のウェビナーなどにもパネリストとして登壇。その他、アーバンデータチャレンジ実行委員。
実施業務:
・自治体DXや自治体のオープンデータ利活用の推進
・プライバシー保護・個人情報保護に関する調査
・ID管理に関する海外動向調査
・準天頂衛星システムの普及啓発活動 など