NRI、個人情報保護委員会の推奨項目に対応したOneTrustのデータマッピング用ツールを提供

　株式会社野村総合研究所（以下、NRI）は20日、同社が国内正規代理店として販売する、企業が個人情報を適切に管理するためのツール「OneTrust」について、国の個人情報保護委員会が公表したデータマッピングの推奨項目に対応したテンプレートを提供開始した。

　政府の個人情報保護委員会が10月13日に公表した文書では、データマッピングは個人情報保護法ガイドライン（通則編）の組織的安全管理措置における、「個人データの取り扱い状況を確認する手段の整備」の一手段として位置付けられた。これは、プライバシーマークの要求事項である「個人情報管理台帳の整備」に相当する。

　データマッピングは、個人情報を管理する社内の各部署において、どのようなデータを保有し、どのように保管しているか、部署内や委託先でのデータの利用やアクセスの状況、第三者への提供状況などをデータごとに整理する作業のことを指す。これにより、自社が保有する個人情報について、各部署での取り扱い状況を一覧化し、全社的に把握することが可能となる。

　個人情報保護委員会が公表したデータマッピング表はExcelなどの表形式となっているが、OneTrustを利用することで、システム上でマッピングが実施できる。Excelファイルを用いるデータマッピングでは、通常、個人データの取り扱い状況を回答する現場担当者と、その内容を確認するデータ保護部門（総務・法務・情報セキュリティ部門など）の担当者との間でファイルのやり取りが多く発生し、煩雑になる傾向がある。一方、OneTrustでは、現場の責任者・担当者とデータ保護部門の責任者・担当者をワークフローの中で事前に設定し、回答依頼、現場での入力、回答内容の確認、修正依頼、バージョン管理など、マッピングに関わるやり取りの大半をシステムで自動化し、責任者・担当者の負担を軽減できる。

　法令保護の対象となる個人情報について、データマッピングを行うことによって、社内における法令順守状況の確認が容易となり、自社のコンプライアンス向上が期待されると説明。また、データマッピングの結果は、データ活用に伴う個人情報漏えいや企業イメージ低下などのリスクを事前に把握し、対処するためのプライバシー影響評価（PIA）を実施するかどうかの判断基準として活用できるとしている。ｍた、OneTrustでは、データマッピングの結果に連動させて、PIAを実施する機能も提供する。

　NRIでは、プライバシーテック（個人情報の管理・保護を目的とした技術）の導入にあたり、各企業におけるデータ活用とプライバシー保護を両立するための取り組み（プライバシーガバナンス）を支援する。また、NRIは今後も、コンサルティングとソリューションの両機能を一気通貫で提供し、安全・安心にデータを活用できる社会づくりに貢献していくとしている。

OneTrustを用いたデータマッピングの業務イメージ