プライバシー管理でのスマートアセスメント

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:7分

    • プライバシー管理 の新しい改善されたアセスメントエクスペリエンスでは、スマートアセスメントエンジン (SAE) アプリケーションを使用します。アセスメントエンジンを使用すると、プライバシースクリーニングとプライバシー影響度評価を実行して、プライバシーチームにとって必要な情報を収集できます。

    プライバシー管理では、アセスメントは重要な役割を果たします。アセスメントには 2 つのタイプがあります。
    • プライバシースクリーニングアセスメント:プライバシースクリーニングアセスメントは、処理アクティビティに個人データが含まれるかどうか、およびプライバシーリスクを引き起こす可能性があるかどうかを判断するために使用される予備評価です。これは、プライバシー影響度評価 (PIA) などのより詳細なプライバシーレビューが必要かどうかを判断するために実施される高レベルのレビューです。たとえば、新しいビジネスアプリケーションまたはプロセスが作成された場合、プライバシーチームは、アプリケーションまたはビジネスプロセスが個人データを処理するかどうかを理解する必要があります。これを判定するために、スクリーニングアセスメントがビジネスアプリケーションまたはビジネスプロセスオーナーに送信されます。プライバシーマネージャーによってアセスメントが承認されると、処理アクティビティが作成されます。
    • プライバシー影響度評価:スクリーニングアセスメントが実行された後、回答に基づいてプライバシー影響度評価が生成される場合があります。プライバシー影響度評価は、ビジネスアプリケーション、システム、またはプロセスが個人データのプライバシーにどのように影響するかを包括的に評価します。処理アクティビティに関連するプライバシーリスクを評価し、これらのリスクを軽減するための対策を特定します。プライバシー影響度評価が実行されるたびに、リスクが再検討され、リスクスコアが変更されたかどうかが確認されます。これにより、プライバシーチームは警戒を怠らず、必要に応じてリスクに対処できます。
    これらのアセスメントを実行するには、スマートアセスメントエンジンアプリケーションを使用できます。このアプリケーションには、テンプレート、ワークフロー、質問のガイダンスを構成したり、実用的なインサイトを使用したアセスメント結果をレビューしたりできるなど、いくつかのメリットがあります。スマートアセスメントエンジンアプリケーションの詳細については、「スマートアセスメントエンジン の探索」を参照してください。
    注:
    スマートアセスメントエンジンを使用するには、システムプロパティにある sn_privacy.enable_smart_assessment プロパティを有効にする必要があります。

    新しいアセスメントエクスペリエンスを使用するメリット

    新しいアセスメントエクスペリエンスには、次のメリットがあります。
    • アセスメント中に必要なすべての情報をキャプチャすることで、処理アクティビティに詳細を手動で追加する必要がなくなります。
    • データの階層またはフローをキャプチャし、データの取得元と送信先を指定します。
    • データの収集と処理の法的根拠を収集します。
    • 質問を論理的にグループ化するための複数のセクションを作成します。
    • 古いシステムからアセスメントを移行します。
    • 質問に対するインラインガイダンスを提供します。
    • アセスメントを正しい回答者に再アサインします。
    • 高度に構成可能なテンプレートを作成します。

    アセスメントテンプレートのタイプ

    スクリーニングと影響度評価を実行するには、アセスメントテンプレートが必要です。アセスメントテンプレートは スマートアセスメントエンジンに基づいていますが、 プライバシー管理のユーザー向けにいくつかの追加の構成が提供されています。

    Zurich リリース以降、スマートアセスメントを実行するためのプライバシースクリーニングアセスメント [V4]プライバシー影響度評価 [V4] の 2 つのアセスメントテンプレートが提供されています。プライバシースクリーニングアセスメント [V3] および プライバシー影響度評価 [V3] テンプレートも利用できます。これらのテンプレートと追加の構成の重要な違いについて、以下で説明します。
    注:
    [V4] テンプレートは、新しい実装の開始点として推奨されます。
    プライバシースクリーニングアセスメント

    Zurich リリース以降、プライバシースクリーニングアセスメント用の新しいテンプレート (プライバシースクリーニングアセスメント [V4]) を利用できます。

    スクリーニングアセスメントテンプレートには、次の 3 つのセクションがあります。
    • [全般]:このセクションでは、アセスメントテンプレートカテゴリをプライバシーカテゴリとして指定し、アセスメントターゲットも指定します。スクリーニングアセスメントの場合、アセスメントターゲットはエンティティとプライバシータスクです。
    • [質問 (Questions)]:このセクションには、アセスメント回答者への質問が含まれています。このセクションには、データ主体またはエンティティに関する特定の属性または特性を表す単一の情報単位であるデータ要素も含まれています。データ要素の例としては、名前、メールアドレス、生年月日などがあります。このセクションには [重要度係数 (Criticality factors)] というセクションもあり、これらの質問は重要度スコアの計算に使用されます。
    • [自動化 (Automations)]:このセクションでは、質問への回答に基づいて処理アクティビティの自動作成を許可するルールを定義できます。このセクションではワークフロースタジオを使用します。これらの自動化は、関連する質問にマッピングされます。自動化により、ユーザーの回答に基づくリスクステートメントとコントロール目標の適用など、さまざまなプロセスが簡素化されます。ユーザーがアセスメント中に特定の回答を選択すると、適切なリスクとコントロールが関連するレコードに自動的に適用されます。たとえば、明示的な同意がある場合にのみ個人データを EU 外に転送できるという組織のポリシーを考えてみましょう。アセスメント中に、データが EU 外に転送されていることをユーザーが示した場合、システムは処理アクティビティ「明示的な同意のアサイン」にコントロールとしてデータ転送リスクを自動的に適用し、特定されたリスクを軽減します。この自動化により、一貫性が確保され、時間が節約され、リスクとコントロールの管理における人為的エラーの可能性が減少します。
    スクリーニングアセスメントテンプレートの構成方法の詳細については、「スクリーニングアセスメント用のスマートアセスメントテンプレートの構成」を参照してください。
    図 : 1. プライバシースクリーニングアセスメント
    プライバシースクリーニングアセスメントページ。
    プライバシー影響度評価

    オーストラリア リリース以降、プライバシー影響度評価用の新しいテンプレート (プライバシー影響度評価 [V4]) を利用できます。

    スクリーニングアセスメントテンプレートのようなプライバシー影響度評価テンプレートには [ 概要 ] セクションと [詳細 ] セクションがあり、デフォルトでは [ 自動化 ] セクションは存在しますが、事前定義された自動化は含まれていません。必要に応じて自動化を追加できます。影響度評価テンプレートでは、アンケートとは別に個人データ要素を追加できます。影響度評価テンプレートの構成方法の詳細については、「影響度評価のためのスマートアセスメントテンプレートの構成」を参照してください。
    図 : 2. プライバシー影響度評価画面
    プライバシー影響度評価のランディングページ。
    注:
    アセスメントには公開されたテンプレートのみを使用できます。

    アセスメントのレビュー

    プライバシーアナリストは、アセスメントを受け取ると、アセスメントをレビューします。レビュー中に、アセスメントの改訂を要求するか、直接承認することができます。[レビュー (Review)] ステータスの間、プライバシーマネージャーは次のアイテムを表示できます。
    • [情報オブジェクト (Information objects)]:[情報オブジェクト (Information objects)] タブには、スクリーニングアセスメントの一部として識別された情報オブジェクトが表示されます。
    • [階層 (Hierarchy)]:データの取得元と移動先の階層。
    • 結果:[結果] タブには、アセスメントに関連付けられたリスクステートメントとコントロール目標が表示されます。