~デジタルマーケティングにもサイバーセキュリティにも必須~
みなさまの会社で「データマッピング」をやったことがありますか?攻めのデジタルマーケティングをする上でも守りのサイバーセキュリティにも大事なデータマッピング。今回は、そんな「データマッピング」とは何なのか?また、データマッピングを実施する際のポイントや注意点について解説していきます。
データマッピングとは
データマッピングは、データ利活用やセキュリティ体制構築の基礎になる取り組みです。いかなる態様(自社媒体・他社提供等)で、いかなるデータ(個人情報・個人関連情報等)を取得し、当該データをどのように管理(オンプレミス・クラウド等)し、いかなる目的で利用し、また、いかなる外部事業者に対して提供しているのかなどを全て洗い出して、マップのように見える化する、これにより自社の現状把握を適切に行う、という取り組みを「データマッピング」と呼んでいます。
なぜデータマッピングが必要なのか
データの利活用とセキュリティの2つの側面から説明していきます。
1 データの利活用
例えば、企業の中で「CDP=カスタマー・データ・プラットフォーム」や「プライベートDMP」など、自社の保有情報を統合管理できるプラットフォームを導入し、デジタルマーケティングを推進したい、と検討していると想定します。
そのようなお取り組みを行う場合には、これらプラットフォームの中に、Webサイトへの様々な閲覧履歴、アプリ等を通じて取得した位置情報、カスタマーサポート部が集めているような顧客情報、アカウント登録情報など、様々なデータを入れ統合管理することになります。当然、最終的に統合管理して利活用していくデータについて、個人情報保護法やその他のルールに沿って適切に取り扱う必要がありますが、そのためには、具体的に、「どんなデータ」を「どこから集めて」、「どう管理して」、「誰に渡して」、「どういう目的で使うのか」といった点を整理しないと、当該データについて、どういった規制の対象になり、現状どの程度対応できており、また、統合管理するにあたって足りていないポイントはどこなのか、などが分からず、どのようなクリアランス対応をやれば良いのか分かりません。そのため、データマッピングは必須になります。これをやらないと、思わぬ違法リスクが生じることがあります。
2 データセキュリティ
データのセキュリティという面でもデータマッピングをすることによって、自分たちのデータの管理方法を見直すことができます。
個人情報保護法上、安全管理措置を講ずる義務や、委託先を起用している場合には委託先を管理監督する義務というものがあります。それらの義務を果たす上でも、データマッピングをすることによって、どのような管理をすれば良いかが明確になり、平時のデータの管理も可能になります。
また、出来れば発生して欲しくないと願いますが、情報漏えい事故当が起きてしまった際には、どんなデータが漏えい対象となったのかを調査したり、また、どのようにインシデントレスポンスしていくかの戦略を立てることが必要になりますが、その上でも、やはりデータの管理状況を把握していることが非常に重要になります。どのようなデータがどのように管理されていたのかが分からないと、対応が後手に回ることになります。
データマッピングのポイント
大きな注意点としては2つあると思っています。
1 適切なチームメンバーをデータマッピングのプロジェクトに入れること
データマッピングは、自分たちの会社が、どんなデータを誰から受け取ってどう管理してどう使って誰に渡しているか、一連の流れを把握しなければなりません。ある特定の部署の人間だけで対応すると、データの流れの全体像が分かりません。チーム組成は、意外と軽視されがちな点ですが、関連する適切なメンバーをチームに入れることが大切です。
またプロジェクトに関与する全てのメンバーにデータマッピングの重要性を理解して頂くことが大事だと思います。データマッピングを始める前の準備として、チームメンバーに対し「何のためにデータマッピングするのか」「その背景にある個人情報保護法の考え方」「その他の法令、規則、ガイドラインの考え方」これを理解して頂くというのが良いでしょう。
2 個人情報保護法や関連する法令、規則、ガイドラインの中身を理解した上で整理する
闇雲にデータの流れや、管理状態を把握することを前提にデータマッピングを行うと、法令上、例えば、個人データの第三者提供をする場合には、本人の同意が必要である、ということであったり、外国にある第三者にデータを越境移転したい場合には、外国第三者提供の規制に対応しないといけないルールですが、そういった規制の適用対象となるお取り組みがあることを見落としてしまう可能性があります。しっかりと個人情報保護法や関連する法令などの中身を理解した上で、各種規制にアンテナを張りながら、データマッピングを行うことが重要です。社内での対応だけでは難しいことも多いので、外部の専門家にも協力を依頼することをお勧めします。
以上で今回の「データマッピング」についての解説を終わります。
TMIプライバシー&セキュリティコンサルティング 取締役
TMI総合法律事務所 パートナー弁護士
サイバーセキュリティ、データ利活用、ドメイン保護、eコマース、AI、IoT、プラットフォーム・アプリ・システム開発、ソフトウェアライセンスの法務を専門とし、内閣サイバーセキュリティセンターのサイバーセキュリティ関連法令タスクフォース、経済産業省大臣官房臨時専門アドバイザー、陸上自衛隊通信学校非常勤講師、情報処理安全確保支援士会理事を歴任する。解決困難な案件や厳しい状況下でのタスクも常に笑顔を絶やさず、前向きにチームをリードし、案件の解決に粘り強く導くことを信条とする。