GDPR DPIA Use Case Accelerator
一般データ保護規則 (GDPR) は、欧州連合 (EU) 内の個人のデータ保護を強化および統一することを意図した欧州委員会による規制です。
GDPR DPIA Use Case Accelerator の概要
ServiceNow® GDPR DPIA Use Case Accelerator を使用すると、EU 内外の各人の個人データを保護するためのデータ保護影響度評価 (DPIA) を実行できます。次の図と手順は、GDPR DPIA Use Case Accelerator システムのフローを示しています。
- ターゲットは、エンティティとデータ処理アクティビティの間の関連付けを指しています。ターゲットは、手動で作成することも、エンティティ画面の [ターゲットを生成] チェックボックスをオンにして自動的に生成することもできます。
- ターゲット上で予備アセスメントを実行して、高リスクの操作と見なされるかどうかを判定し、どのような軽減手順が必要かを判断できます。
- 予備アセスメントの結果に基づいて、DPIA リスクを作成して GDPR DPIA アセスメントを実行できます。リスク担当役員とデータ処理責任者は、アセスメントの進捗状況と、個々のアセスメント実行者からの応答を表示できます。
- アセスメント回答者がアセスメントで軽減対策を選択した場合、アセスメントの完了後にリスク軽減タスクが作成されます。
- GDPR DPIA Use Case Accelerator の概要ダッシュボードは、リスク、アセスメント、リスク軽減対策などのさまざまなデータポイントに対するエグゼクティブビューを提供します。これらは、GDPR DPIA GDPR DPIA の担当役員や責任者が懸案分野をすばやく特定するために役立ちます。
GDPR DPIA Use Case Accelerator を使用して実行されるアセスメント
予備アセスメントと GDPR DPIA アセスメントの 2 つのタイプのアセスメントを実行できます。
予備アセスメント (GDPR DPIA ターゲットアセスメントとも呼ばれます): 予備アセスメントはデータ処理操作ターゲットで直接実行されます。ターゲットには、 ServiceNow ガバナンス、リスク、コンプライアンス アプリケーションとユースケースアクセラレーターのアプリケーション ( GDPR DPIA Use Case Acceleratorを含む) の間で共有される情報が含まれています。ターゲットは、目的、必要性、評価基準など、データ処理操作の特定の重要な特性を評価するのに役立ちます。予備アセスメントは、データ処理操作が高リスク操作であるとみなされる場合に、ユーザーが結論に達して軽減手順を決定するために役立ちます。
GDPR DPIA アセスメント: DPIA アセスメントは通常、高リスクのデータ処理操作、つまりターゲットに対して実行されます。ただし、DPIA アセスメントはターゲットで直接評価されません。代わりに、リスク管理 アプリケーションで提供されるリスクアセスメント機能を使用して評価されます。DPIA アセスメントは、GDPR DPIA Use Case Accelerator コンテキストでは DPIA リスクと呼ばれます。
GDPR DPIA Use Case Accelerator を使用するユーザー
| ペルソナ | 説明 |
|---|---|
| データ保護責任者 | 組織が、各人の個人データを保護する法律を適用するよう確保します。組織内での DPO の指名、地位、タスクは、EU の一般データ保護規制第 37、38、39 条に記載されています。 |
| リスク担当役員 | 組織全体でリスクが特定され、一貫して管理されるように確保します。組織の戦略に従い、データ保護影響分析が行われるように促進します。 |
| ガバナンス、リスク、コンプライアンスアドミニストレーター | 下のすべてのアプリケーションへのアクセスを提供します。 . |
GDPR DPIA Use Case Accelerator サポートの概念
| 概念 | 説明 |
|---|---|
| データ処理操作 (またはアクティビティ) | 処理は、個人データに対して実行される広範な操作を対象としています。これには、個人データの収集、記録、整理、構造化、ストレージ、適応または変更、取得、参照、使用、送信による開示、使用可能にする流布またはその他の方法、配置または組み合わせ、制限、抹消、または破壊が含まれます。 GDPR は、自動化された手段による個人データの処理のすべてまたは一部に適用されます。また、構造化されたファイリングシステムの一部である場合は、自動化されていない処理にも適用されます。 GDPR DPIA アプリケーションのデータ処理操作 (またはアクティビティ) は、GDPR 規制に記載されている処理操作を表すために正確に定義されたターゲット (以下で説明) です。 |
| データ保護影響度評価 (DPIA) | DPIA は、個人データの保護に対するデータ処理操作の影響度のアセスメントであり、特に、処理操作に起因する個人の権利と自由に対するリスクの可能性と重大度のアセスメントです。GDPR では、個人の権利と自由に対するリスクが高い可能性があるデータ処理操作を実行する前に、コントローラーが DPIA アセスメントを実行する必要があります。 DPIA は GDPR DPIA アプリケーションのリスクアセスメントです。DPIA 登録モジュールは、ServiceNow® リスク管理 アプリケーションを使用した DPIA アセスメントの作成、実行、および追跡を容易にします。DPIA アセスメントは リスク管理 で開始され、そのベースシステムワークフローは、DPIA アセスメントを促進して標準リスクアセスメント機能を活用するために役立ちます。 |
| 一般データ保護規則 (GDPR) | この規制は、個人データの処理とそのようなデータの自由な移動に対してを自然人を保護します。これにより、ディレクティブ 95/46/EC (データ保護ディレクティブ) は廃止されます。 GDPR DPIA Use Case Accelerator アプリケーションは DPIA をサポートし、アセスメントを実施するための構造化されたアプローチを提供します。 |
| 高リスク処理操作 (またはアクティビティ) | これは、損害の可能性と重大度が高く、結果として自然人の権利と自由に対するリスクが高い可能性があると評価された処理操作です。通常、組織は、組織とそのサービスの性質に固有のいくつかの要因に基づいてデータ処理操作が高リスクであるかどうかを事前に (つまり、DPIA アセスメントを実行する前に) 判別します。DPIA は通常、このような事前の判別の後に実施されます。 GDPR DPIA Use Case Accelerator アプリケーションのデータ処理操作 (またはアクティビティ) はターゲットと呼ばれます。ターゲットに「高リスク」のフラグを付けて、高リスクの処理操作であることを示すことができます。 |
| リスク | GDPR は、リスク管理の明確に定義されたコンポーネントと重複する DPIA のさまざまなコンポーネントの概要を示します。リスク管理の用語では、DPIA は、次のプロセスを使用して、自然人の権利と自由に対する「リスクを管理する」ことを目的としています。
DPIA アセスメントの結果としてのリスクのログ記録を容易にするために、GDPR DPIA Use Case Accelerator アプリケーションにはリスク登録モジュールとリスクアセスメントモジュールが用意されています。 |
| ターゲット | ターゲットは、GDPR DPIA Use Case Accelerator および関連するすべての概念の基盤です。 ターゲットは、ServiceNow® GRC 製品といくつかのユースケースアクセラレーターの間で共有されるテーブルです。これらは、コア GRC アプリケーションのエンティティの概念に似ています。オプションでエンティティにリンクされますが、ユースケースアクセラレーターに固有の属性に使用されます。 |