でのスマートアセスメント プライバシー管理
プライバシー管理 の新しい改善されたアセスメントエクスペリエンスでは、スマートアセスメントエンジン (SAE) アプリケーションを使用します。アセスメントエンジンを使用すると、プライバシースクリーニングとプライバシー影響度評価を実行して、プライバシーチームに必要な情報を収集できます。
プライバシー管理では、アセスメントが重要な役割を果たします。アセスメントには 2 つのタイプがあります。
- プライバシースクリーニングアセスメント:プライバシースクリーニングアセスメントは、処理アクティビティに個人データが含まれているかどうか、およびそれがプライバシーリスクをもたらす可能性があるかどうかを判断するために使用される予備評価です。これは、プライバシー影響度評価 (PIA) などのより詳細なプライバシーレビューが必要かどうかを判断するために実施される高レベルのレビューです。たとえば、新しいビジネスアプリケーションまたはプロセスを作成する場合、プライバシーチームは、アプリケーションまたはビジネスプロセスが個人データを処理するかどうかを理解する必要があります。これを決定するために、スクリーニングアセスメントがビジネスアプリケーションまたはビジネスプロセスのオーナーに送信されます。アセスメントがプライバシーマネージャーによって承認されると、処理アクティビティが作成されます。
- プライバシー影響度評価:スクリーニングアセスメントが実行された後、応答に基づいてプライバシー影響度評価が生成される場合があります。プライバシー影響度評価は、ビジネスアプリケーション、システム、またはプロセスが個人データのプライバシーにどのように影響するかを包括的に評価します。処理アクティビティに関連するプライバシーリスクを評価し、これらのリスクを軽減するための対策を特定します。プライバシー影響度評価が実行されるたびに、リスクが再検討され、リスクスコアが変更されたかどうかが判断されます。これにより、プライバシーチームは警戒を怠らず、必要に応じてリスクに対処できます。
注:
スマートアセスメントエンジンを使用するには、システムのプロパティの下にある sn_privacy.enable_smart_assessmentプロパティを有効にする必要があります。
新しいアセスメントエクスペリエンスを使用するメリット
新しいアセスメントエクスペリエンスには次のメリットがあります。
- アセスメント中に必要なすべての情報を取得することで、処理アクティビティに詳細を手動で追加する必要がなくなります。
- データの階層またはフローをキャプチャし、データの取得元と送信先を指定します。
- データの収集と処理の法的根拠を収集します。
- 質問を論理的にグループ化するための複数のセクションを作成します
- 古いシステムからアセスメントを移行します。
- 質問に対するインラインガイダンスを提供します。
- アセスメントを適切なレスポンダーに再アサインします。
- 高度に構成可能なテンプレートを作成します。
アセスメントテンプレートのタイプ
スクリーニングと影響度評価を実行するには、アセスメントテンプレートが必要です。アセスメントテンプレートは スマートアセスメントエンジンに基づいていますが、 プライバシー管理のユーザー向けにいくつかの追加の構成が提供されています。デフォルトでは、スマートアセスメントを実行するために、 プライバシースクリーニングアセスメント [V3] と プライバシー影響度評価 [V3] の 2 つのアセスメントテンプレートが提供されています。これらのテンプレートと追加の構成の重要な違いについて、以下で説明します。
- プライバシースクリーニングアセスメント
- スクリーニングアセスメントテンプレートには、次の 3 つのセクションがあります。
- 全般:このセクションでは、アセスメントテンプレートカテゴリを プライバシーカテゴリ として指定し、アセスメントターゲットも指定します。スクリーニングアセスメントの場合、アセスメントターゲットはエンティティとプライバシータスクです。
- 質問:このセクションには、アセスメント回答者向けの質問が含まれています。このセクションには、データ主体またはエンティティに関する特定の属性または特性を表す単一の情報単位であるデータ要素も含まれています。データ要素の例としては、名前、メールアドレス、生年月日などがあります。このセクションには、「 重要度係数 」というタイトルのセクションもあり、これらの質問は重要度スコアの計算に使用されます。
- 自動化:このセクションでは、質問への回答に基づいて処理アクティビティを自動作成できるようにするルールを定義できます。このセクションでは ワークフロースタジオを使用します。これらの自動化は、関連する質問にマッピングされます。自動化により、ユーザーの応答に基づくリスクステートメントやコントロール目標の適用など、さまざまなプロセスが簡素化されます。ユーザーがアセスメント中に特定の回答を選択すると、適切なリスクとコントロールが関連レコードに自動的に適用されます。たとえば、明示的な同意がある場合にのみ個人データを EU 外に転送できるという組織のポリシーを考えてみましょう。アセスメント中に、データが EU 外に転送されていることをユーザーが示すと、システムはデータ転送リスクを処理アクティビティに自動的に適用します:特定されたリスクを軽減するためのコントロールとして明示的な同意をアサインします。この自動化により、一貫性が確保され、時間が節約され、リスクとコントロールの管理における人為的ミスの可能性が減少します。
図 : 1. プライバシースクリーニングアセスメント - プライバシー影響度評価
- スクリーニングアセスメントテンプレートのようなプライバシー影響度評価テンプレートには、[ 全般 ] セクションと [質問 ] セクションがあり、デフォルトでは [ 自動化 ] セクションは存在しますが、事前定義された自動化は含まれていません。必要に応じて自動化を追加できます。影響度評価テンプレートの場合は、アンケートとは別に個人データ要素を追加できます。影響度評価テンプレートの構成方法の詳細については、「 影響度評価のためのスマートアセスメントテンプレートの構成」を参照してください。
図 : 2. プライバシー影響度評価画面
注:
アセスメントには公開されたテンプレートのみを使用できます。
アセスメントのレビュー
プライバシーアナリストは、アセスメントを受け取ると、そのアセスメントをレビューします。レビュー中に、アセスメントのリビジョンを要求するか、直接承認することができます。[レビュー] ステータスの間、プライバシーマネージャーは次のアイテムを表示できます。
次の図は、アセスメントの詳細を示しています。- 情報オブジェクト:[情報オブジェクト] タブには、スクリーニングアセスメントの一部として識別された情報オブジェクトが表示されます。
- 階層:データの取得元と移動先の階層。
- 結果:[結果] タブには、アセスメントに関連付けられたリスクステートメントとコントロール目標が表示されます。