コンサルティングをしている中で感じるデータマッピングのポイントを書いておきます。
データマッピングはデータの棚卸しをするために行います。データ保護体制の基本となるのですが、なぜかまだ標準的な方法が定まっていないようです。
日本企業の場合、データマッピング作業は初めて行うことが多いものです。
そのため規模の大きな会社では作業が膨大となり、通常2、3ヶ月を要します。欧州の個人データを扱っている業務が少ない会社でも、書き出してみると意外とわかっていないことが出てくるものです。現状把握作業とは、得てしてそういうものかもしれません。
規模が大きくなることが見込まれる場合、はじめからソフトウェアを導入したほうがよいでしょう。
規模が大きいかどうかの目安は、年間に行うデータ保護影響評価(DPIA)を行う件数で判断したらよいといわれています。
年間DPIAを実施する件数が20件以下であるならばエクセルで管理したらよいでしょう。これを超えるのであればソフトを導入したらよいと思います。
有事の説明責任を考慮するとソフトは英語で使用することを薦めます。
また、北米、欧州には安価で完成度の高いソフトを作成しているソフトウェア会社が数多くあります。
デモンストレーションも受けられるため、ベンダーリストを入手してしっかりと調査をしていただければと思います。
データマッピングを行う場合、GDPR第30条の処理記録を意識して作ってください。
データマッピングが終わったとき、GDPR第30条の処理記録が完成していることが理想です。
作業をいかにシンプルにするかを考えてください。
データマッピングを行う際、かならずデータフローも同時に追うことになります。
データフローは直感的に理解できるよう整理できれば一番ですが、これは少し慣れが必要です。
マイクロソフト社のVISIOを用いてプロセスとそこで得られるデータ種、保管形態、セキュリティ体制を整理していく手法がよいかと思います。
フレームワークとしてはSIPOCを活用するのが整理しやすいと思います。
SIPOCとは6シグマという手法で用いるフレームワークで、データの供給者からどういうインプットがあり、データの受領者にどういうアウトプットが出て行くのか、一行ずつ書き出します。一人で書くのは難しいので、チームで一緒に書くのが良いでしょう。チームと話をしながら書くことで抜け漏れが防げます。