プライバシー管理 ソリューションの概要

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む6読むのに数分

    • プライバシー管理 ソリューションは、引用、ポリシー、コントロール目標、リスクステートメント、プライバシー影響度評価、プライバシーリスクアセスメントなどのプライバシー固有のライブラリを管理するためのフレームワークを提供します。また、関連するリスクとコントロールを適用して監視することで、ビジネスアプリケーションまたはビジネスプロセスのプライバシーリスクとコンプライアンス体制を追跡する処理アクティビティレコードも提供します。

    プライバシープログラムを計画する前に、実装する予定のプライバシー規制に従ってプライバシーライブラリを設定してください。ライブラリセットアップの詳細については、「プライバシー管理 ライブラリの管理」を参照してください。

    次の図は、プライバシー管理 ソリューションを示しています。
    図 : 1. プライバシー管理ソリューションの概要
    プライバシー管理ソリューションの概要。

    プライバシー管理 ソリューションは次のように説明されています。

    ライブラリの作成

    sn_privacy.manager ロールを持つプライバシーマネージャー、または sn_privacy.admin ロールを持つプライバシー管理者は、以下を使用してライブラリを設定する必要があります。
    • プライバシー影響度評価
    • 個人情報オブジェクト
    • プライバシー規制、各種法令・基準等、引用、コントロール目標。
    • プライバシーポリシーおよび手順
    • プライバシーリスクステートメント

    プライバシー影響度評価

    1. インベントリの検出:sn_privacy.manager ロールを持つプライバシーマネージャーは、個人データを処理するビジネスプロセス、ビジネスアプリケーション、ベンダー、ビジネスサービスなどのインベントリを特定または検出します。このようなインベントリはすべて、それぞれの 構成管理データベース (CMDB) テーブルに格納されます。それぞれのビジネスオーナーがインベントリを管理します。プライバシーマネージャーは、エンティティタイプ機能を使用して、各インベントリレコードのエンティティを作成します。エンティティタイプの詳細については、「エンティティを探索する」を参照してください。この段階では、検出方法に基づいて、次のいずれかのアプローチを使用して処理アクティビティを作成できます。
      1. 個人データを処理するビジネスプロセスまたはアプリケーションの検索:ビジネスプロセス、アプリケーション、サービス、またはベンダーが情報オブジェクトに関連付けられている場合は、このアプローチを使用します。エンティティタイプ機能を使用して、[PI] 情報オブジェクトを処理するエンティティを検索します。検索結果に基づいて、処理アクティビティレコードを直接作成します。このアプローチは、ビジネスオーナーがインベントリを情報オブジェクトに関連付ける場合にのみ使用されます。詳細については、「プライバシープログラムを計画するためのエンティティスコーピング」を参照してください。
      2. プライバシースクリーニングアセスメントの送信:情報オブジェクトがビジネスアプリケーションやプロセスなどのインベントリに関連付けられていない場合は、このアプローチを使用します。このアプローチでは、プライバシースクリーニングアセスメントをそれぞれのビジネスオーナーに送信します。これらのスクリーニングアセスメントには基本的な質問が含まれています。質問の例は次のとおりです。
        • 所有しているビジネスプロセスまたはアプリケーションの一部として個人情報を処理していますか?
        • どのような種類の個人情報を処理していますか?たとえば、メール、電話番号、住所などです。
        アセスメント応答で個人データがあると判断された場合、処理アクティビティが自動的に作成されます。
    2. ビジネスユーザーは、従業員センター から新しいアプリケーションとプロセスのプライバシー影響度評価をプロアクティブに送信できます。

    処理アクティビティの管理と更新

    1. 処理アクティビティの作成または更新:sn_privacy.analyst ロールを持つプライバシーアナリストは、処理アクティビティが作成された後に、プライバシー影響度評価 (PIA) を処理アクティビティまたはビジネスオーナーに送信します。プライバシー影響度評価は、処理アクティビティが個人情報を処理する理由と方法を理解するのに役立ちます。アセスメントでは、PI データの保存の理由、他のシステムとの PI データの交換、PI データのセキュリティなどの情報を収集します。
    2. PIA を送信または自動的に開始:プライバシーアナリストは、より多くの情報を収集する必要がある場合は常に、処理アクティビティからプライバシー影響度評価 (PIA) を送信します。または、プライバシーマネージャーとプライバシー管理者によって定義されたプライバシープログラムの頻度に基づいて、アセスメントを自動的に開始することもできます。自動開始スケジュールは、Now Platform 機能を使用して作成できます。
    3. 処理アクティビティに関連するリスクとコントロールの適用:プライバシーアナリストとして、処理アクティビティで個人情報がどのように使用されるかを把握した後、必要なリスクステートメント、コントロール、ポリシー、および各種法令・基準等がアセスメントの応答に基づいて処理アクティビティに自動的に適用されます。アセスメントの設定方法の詳細については、「アセスメント テンプレートの作成」を参照してください。コントロールが追加された後、プライバシーアナリストはコントロールを確認し、必要に応じてコントロールを追加または削除できます。
    4. コントロール証明書の送信:コントロールの最終セットが処理アクティビティに関連付けられた後、コントロール証明書がビジネスプロセスオーナーまたはアプリケーションオーナーに送信され、適用されるすべてのコントロールの証拠が収集されます。ビジネスオーナーが各コントロールの証拠を使用してコントロール証明書に応答すると、準拠しているコントロールと非準拠のコントロールが特定されます。この識別により、処理アクティビティのコンプライアンス体制が判断されます。
    5. 問題の報告および監視:非準拠のコントロールについて問題が自動的に作成され、それぞれのビジネスオーナーにアサインされます。プライバシーアナリストが問題を監視します。
    6. 問題の管理:問題を管理するために、ビジネスオーナーは次のいずれかを実行できます。
      • 問題の解決:問題を解決すると、コントロールは準拠した状態になります。
      • ポリシー例外の提示:すぐに解決できない問題に対して例外を提示します。プライバシーアナリストは、ポリシーの例外を確認し、問題の重要度に基づいて例外を承認または却下できます。
    7. 継続的なコントロール監視:プライバシーアナリストは、インジケーター機能を使用して処理アクティビティのコントロールを継続的に監視します。インジケーターの詳細については、「リスクインジケーター、コントロールインジケーター、およびインジケーターテンプレート」を参照してください。

    処理アクティビティの重要度の評価

    重要度スコアは、処理アクティビティレベルで要素を評価することによって、処理アクティビティレベルでリスク体制を提供します。処理アクティビティが作成または更新されると、高レベルのリスクスコアまたは重要度スコアを理解するために、処理アクティビティに対して重要度アセスメントが実行されます。

    プライバシーリスクアセスメントの実行

    プライバシーリスクアセスメントは、重要度スコアが高い場合に実施される詳細なアセスメントです。処理アクティビティに関連付けられている各リスクを評価し、処理アクティビティの集計リスクスコアを把握します。プライバシーリスクを評価した後、[概要] セクションのリスクヒートマップでプライバシーリスク体制を表示できます。ヒートマップは、固有のリスクと残存リスクに関する詳細な情報を提供します。