毎年20種類以上新規の欧州個人データ処理が発生しているような組織や企業であれば「プライバシー・マネジメント・ソフトウェア(Privacy Management Software)」と呼ばれるソフトウェアを活用することが望ましいといわれています。
当社ではNYMITY社のソフトウェアを推薦させていただいていますので、デモンストレーションにご関心がある方はぜひご連絡ください。
毎年発生する欧州個人データ処理の数が20種類を下回る場合はエクセルを用いて対策を進めていきます。
当社でもテンプレートを販売していますのでぜひご活用ください。
【テクニカ・ゼン株式会社のGDPR対応用標準テンプレート】
1.欧州個人データ調査票
2.データフロー図(Data Flow Diagram)
3.データマッピング(Data Inventory)
4.正当な利益であることのバランシング・テスト
5.展示会で掲示するショート・ノーティス
6.e-mailに記載するショート・ノーティス
7.プライバシー・ノーティス(web用)
8.プライバシー・ノーティス(GDPR用)
9.プライバシー・ノーティス作成用チェックリスト
10.GDPRトレーニング資料(簡易版)
※ 10個のドキュメントがセットになったお得な「GDPR初期対応セット」も販売しております。
GDPR対応の最初の一歩は「データ・マッピング」と呼ばれるものです。
データ・マッピングとは組織や企業の持っている欧州個人データの種類や数、どういう目的で利用しているのか、誰がその個人データを触っているのか、といったことを調査する作業です。
まだピンときませんね?
「個人データを公正に扱う」ためには、自分たちがどんな個人データをどこに持っているかわからなければそもそもはじまりません。
扱う対象がわからなければ何に対して対応したらよいかわかりませんね。
お店や製造メーカでたとえれば、各組織や企業は個人データの「在庫」を持っているようなものと考えてください。
「在庫」がどれくらいあるかを調べるために、お店や製造メーカは「棚卸」をします。
「データ・マッピング」とは、まさしく組織内のデータの「棚卸」を行うことです。
品物や部品とは違って、個人データは電子データなのでコピーも大量に存在しますし、いろいろな関係者が利用しています。
部門をまたがって協力しなければデータの所在地が特定できないことも多くあります。
このような場合、複数の組織の上に立ってデータ・マッピングを主導する「事務局」やプロジェクトの責任者を任命すると円滑に進みます。
先ほど「GDPR対応の最初の一歩は「データ・マッピング」」と書きましたが、もっと正確にいえば、GDPR対応の本当の最初の一歩は、「事務局」またはGDPR対応プロジェクトの責任者を任命することです。
ちなみに、データ保護責任者(DPO)を任命しなければならないような組織の場合、このプロジェクトの責任者または事務局長をDPOとしておくと円滑です。
DPOについては後程ご説明します。
