データ処理アクティビティの操作

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む12読むのに数分

    • データ処理責任者は、データ処理アクティビティモジュールのオプションを使用してターゲットを作成し、それらをデータ処理アクティビティとして特定して、それらに対して GDPR DPIA ターゲットアセスメントを実行してターゲットが高リスクであるかどうかを判断できます。

    注:
    Rome リリース以降、GRC: GDPR DPIA Accelerator は、将来的に廃止される扱いになっています。これは非表示になり、新しいインスタンスでは有効化されなくなりますが、引き続きサポートされます。詳細については、Now Support ナレッジベースの「Deprecation Process (廃止プロセス) [KB0867184]」の記事を参照してください。

    ターゲットの作成

    GDPR では、ターゲットはエンティティとデータ処理アクティビティの間の関連付けを指します。

    始める前に

    必要なロール:sn_irm_gdpr_dpia.risk_executive または sn_irm_gdpr_dpia.data_processing_officer
    注:
    Rome リリース以降、GRC: GDPR DPIA Accelerator は、将来的に廃止される扱いになっています。これは非表示になり、新しいインスタンスでは有効化されなくなりますが、引き続きサポートされます。詳細については、Now Support ナレッジベースの Deprecation Process (廃止プロセス) [KB0867184] の記事を参照してください。

    このタスクについて

    ターゲットアセスメントはターゲットで実行され、データ処理アクティビティであるかどうかが識別されます。アセスメントが戻ってきて、ターゲットが高リスクであると識別された場合は、DPIA リスクを作成して DPIA アセスメントを実行し、リスクを軽減する方法を決定します。ターゲットは、手動で作成することも、[エンティティ] フォームまたは [エンティティタイプ] フォームの [ターゲットを生成] チェックボックスをオンにして自動的に生成することもできます。

    手順

    1. 移動先 すべて > GDPR DPIA > データ処理アクティビティ > ターゲットを作成.
      新しいターゲット
    2. 必要に応じて、フィールドに入力します。
      フィールド 説明
      名前 ターゲットの名前を入力します。
      オーナー このターゲットのオーナーを選択します。
      説明 ターゲットの説明を入力します。
      有効 ターゲットを有効化するには、このチェックボックスをオンにします。
      エンティティ このターゲットに関連付けられたエンティティを選択します。エンティティには、1 つのターゲットのみを関連付けることができます。
      フレームワーク このフィールドのデフォルトは GDPR DPIA です。
    3. 次のいずれかの操作を行います。
      • データを保存するには、[更新] をクリックします。
      • ターゲットレコードをデータ処理アクティビティとして特定するには、ここをクリックします。
      • アセスメント回答者のリストを変更するには、 [予備アセスメント] タブをクリックします。
      • ターゲットで予備アセスメントを実行するには、[アセスメント送信] をクリックします。
      • ターゲットで DPIA アセスメントを実行するには、[DPIA を生成 (Generate DPIA)] をクリックします。

    データ処理アクティビティとしてターゲットを特定する

    データ処理アクティビティとしてのターゲットの特定は、ターゲットに対してデータ処理アセスメントを実行すべきかどうかを判断するための最初のステップです。

    始める前に

    必要なロール:sn_irm_gdpr_dpia.risk_executive または sn_irm_gdpr_dpia.data_processing_officer
    注:
    Rome リリース以降、GRC: GDPR DPIA Accelerator は、将来的に廃止される扱いになっています。これは非表示になり、新しいインスタンスでは有効化されなくなりますが、引き続きサポートされます。詳細については、Now Support ナレッジベースの Deprecation Process (廃止プロセス) [KB0867184] の記事を参照してください。

    手順

    1. 移動先 すべて > GDPR DPIA > データ処理アクティビティ > すべてのターゲット.
      データ処理アクティビティ - すべてのターゲット
    2. データ処理アクティビティとして特定するターゲットレコードを選択します。
    3. [更新] をクリックします。
      [GDPR DPIA] および [GDPR 予備アセスメント] の 2 つの関連リストが表示されます。
      GDPR DPIA 関連リスト
    4. [GDPR DPIA] タブで、[データ処理アクティビティ (Data Processing Activity)] チェックボックスをオンにします。
    5. 必要に応じて、フィールドに入力します。
      フィールド 説明
      承認ステータス 承認プロセスの現在のステータスを表示します。
      目的 ターゲットの目的。アクティビティが適用可能な場所などの情報を含めます。
      必要性と比例性 (Necessity and proportionality) 目的に関するターゲットの必要性と比例性のアセスメント。
      既知の対策 (Known measures) 保護または個人データを確保するためのセーフガード、セキュリティ対策、およびメカニズムを含め、リスクに対処するための対策。
      評価基準 ロックアイコンをクリックし、結果としてターゲットが高リスクになる可能性があるかどうかを評価するために考慮する基準を選択します。基準は次のとおりです。
      • 評価または採点
      • 法務または同様の重大な影響を与える自動化された意思決定
      • 系統的なモニタリング
      • 機密データまたは非常に個人的な性質のデータ
      • 大規模に処理されたデータ
      • データセットの照合または組み合わせ
      • 脆弱なデータ主体に関するデータ
      • 革新的な使用、または新しい技術的あるいは組織的なソリューションの適用
      • データ主体による権利行使やサービスまたは契約の使用の防止
      既存の DPIA を使用しますか? (Uses existing DPIA?) ターゲットが既存の DPIA を使用する場合は、このチェックボックスをオンにし、ロックアイコンをクリックして、このターゲットに関連付けられている DPIA をリストから選択します。
      データ処理責任者のアドバイスが必要ですか? (Is advised by Data Processing Officer?) ターゲットがデータ処理責任者の承認を必要とする場合は、このチェックボックスを選択し、ロックアイコンをクリックしてリストから適切なデータ処理責任者を選択します。
      承認済みの倫理規範を使用しますか? (Uses approved Code of Conduct?) 影響度の評価時にターゲットが倫理規範に準拠する必要がある場合は、このチェックボックスをオンにし、テキストボックスに倫理規範の名前を入力します。
      データ主体のビューを求めますか? (Seeks Data Subject views?) ターゲットでデータ主体またはその担当者のビューをレビューする必要がある場合は、このチェックボックスを選択し、テキストボックスにデータ主体のビューを入力します。
      GDPR の前に存在していましたか? (In existence prior to GDPR?) GDPR の作成前にターゲットが存在していた場合は、このチェックボックスをオンにします。
      注:
      DPIA を実行するための要件は、リスクの変化があった自然人の権利と自由に対して結果として高リスクとなる可能性のあるすべての既存のデータ処理アクティビティに適用されます。
      高リスクですか? (Is of high-risk?) これが高リスクのターゲットである場合は、このチェックボックスをオンにします。
      注:
      リスクが高い可能性が示されない場合でも、個人データの使用を伴う主要なデータ処理アクティビティに対しては、DPIA アセスメントを実行することを検討してください。
      注:
      [GDPR DPIA] タブのフィールドに入力する方法は 2 通りあります。前述のように手動で入力するか、または質問に対する回答がわからない場合は、以下の説明に従って他のユーザーのアセスメントを生成し、その回答をアセスメントからターゲットフォームにコピーすることができます。
    6. 他のユーザーのアセスメントを生成するには、次の手順を実行します。
      1. [GDPR 予備アセスメント] タブをクリックします。
      2. [アセスメント回答者] フィールドで、ロックアイコンをクリックし、フォームに入力するユーザーを選択します。
      3. 回答者を選択したら、[ロック] アイコンを再度クリックします。
      4. [アセスメント送信] をクリックします。

        選択したユーザーがアセスメントを実施すると、[アセスメントの回答をコピー (Copy Assessment Responses)] ボタンが表示されます。

        [アセスメントの回答をコピー (Copy Assessment Responses)] ボタン
      5. [アセスメントの回答をコピー (Copy Assessment Responses)] をクリックします。

        完了したアセスメントレコードが表示されます。

        アセスメントをターゲットにコピーする
      6. [応答を表示] をクリックすると、アセスメントの回答を表示できます。
      7. レコードを選択し、[コピー] をクリックします。
        選択した回答者によって提供された回答が GDPR DPIA にコピーされます。
    7. フィールドへの入力が完了したら、次のいずれかを実行します。
      • データを保存するには、[更新] をクリックします。
      • アセスメント回答者のリストを変更するには、[予備アセスメント] タブをクリックします。
      • ターゲットで予備アセスメントを実行するには、[アセスメント送信] をクリックします。
      • ターゲットで DPIA リスクを生成して DPIA アセスメントを開始するには、[DPIA を生成 (Generate DPIA)] をクリックします。
      • [データ処理責任者のアドバイスが必要ですか? (Is advised by Data Processing Officer?)] チェックボックスをオンにして承認者を選択すると、 [DPO の承認を要求 (Request DPO Approval)] ボタンが表示されます。選択した承認者からの承認を要求するにはこのボタンをクリックします。[GDPR DPIA] タブのすべてのフィールドが読み取り専用になります。さらに変更が必要な場合は、[承認をリセット (Reset Approval)] をクリックします。

    ターゲットの予備アセスメントを送信する

    ターゲットの予備アセスメントを開始して、高リスク操作と見なされるかどうかを判断し、どのような軽減手順が必要かを決定できます。予備アセスメントが開始されると、選択されたアセスメント回答者がアセスメントを実施することができます。

    始める前に

    必要なロール:sn_irm_gdpr_dpia.risk_executive または sn_irm_gdpr_dpia.data_processing_officer
    注:
    Rome リリース以降、GRC: GDPR DPIA Accelerator は、将来的に廃止される扱いになっています。これは非表示になり、新しいインスタンスでは有効化されなくなりますが、引き続きサポートされます。詳細については、Now Support ナレッジベースの Deprecation Process (廃止プロセス) [KB0867184] の記事を参照してください。

    手順

    1. 移動先 すべて > GDPR DPIA > データ処理アクティビティ > すべてのターゲット.
      すべてのターゲット
    2. 予備アセスメントを実行するターゲットレコードを開きます。
      フレームワーク
    3. [フレームワーク] フィールドに GDPR DPIA が表示されていることを確認します。
    4. [GDPR 予備アセスメント] タブをクリックします。
      GDPR 予備アセスメント
    5. [アセスメント] フィールドに GDPR DPIA ターゲットアセスメントが表示されていることを確認します。
    6. [アセスメント回答者] フィールドで、ロックアイコンをクリックし、ターゲットの予備アセスメントを実施するユーザーを選択します。
    7. 回答者を選択したら、[ロック] アイコンを再度クリックします。
    8. [アセスメント送信] をクリックします。
      選択した回答者にアセスメントが送信され、作成されたアセスメントの数がメッセージに表示されます。また、 [アセスメント] タブにはアセスメントレコードが表示されます。
      [アセスメント] タブ
    9. データ処理責任者の承認を要求するには、[DPO の承認を要求 (Request DPO Approval)] 関連リンクをクリックします。
    10. 回答者が回答した後、[アセスメント] タブの [応答を表示] をクリックして回答を表示できます。

    予備アセスメントを実施する

    予備アセスメントの回答者として特定された場合は、アセスメントにアクセスして実施する必要があります。

    始める前に

    必要なロール:なし
    注:
    Rome リリース以降、GRC: GDPR DPIA Accelerator は、将来的に廃止される扱いになっています。これは非表示になり、新しいインスタンスでは有効化されなくなりますが、引き続きサポートされます。詳細については、Now Support ナレッジベースの Deprecation Process (廃止プロセス) [KB0867184] の記事を参照してください。

    手順

    1. 移動先 すべて > GDPR DPIA > データ処理アクティビティ > 自分の予備アセスメント.
      回答が要求されたすべてのアセスメントが表示されます。
      自分のアセスメント
    2. 実施するアセスメントを開きます。
      アセスメントを実施する

      以下は、フィールドの説明です。

      フィールド 説明
      番号 自動生成されたレコード番号。
      測定基準タイプ このアセスメントの測定基準タイプ。
      期日 アセスメントを完了する必要がある日付。測定基準タイプの [アセスメント期間] フィールドにある値からシステムによって期日が入力されます。期日に関連するメール通知がシステムによって生成されます。
      注:
      デフォルトでは、システムは Cancel Expired Assessments スクリプトを 30 日ごとに実行し、ステータスが [対応中] または [取得可能] である、期限切れのサーベイ、 アセスメント、およびクイズのインスタンスをキャンセルします。
      有効期限 アサインされたユーザーがアセスメントを繰り返すことができる日付。
      ステータス アセスメントの状態。
      アサイン先 このアセスメントが割り当てられているユーザー。このフィールドは、状態が [処理中][完了]、または [キャンセル] であるときは読み込み専用になります。
      署名結果 署名が必要なときに対象者によって提供される検証。この値は、ユーザー [sys_user] テーブルからの対象者のフル ネーム、または対象者がチェック ボックスをオンにすることによってアサーションの読み込みを確認したことを示す [オン] のいずれかです。
    3. [アセスメントを実施] をクリックします。
      アセスメントの質問
    4. できる限り質問に回答し、[送信] をクリックします。

    すべての予備アセスメントを表示する

    リスク担当役員とデータ処理責任者は、個々のアセスメント実施者からの応答を表示できます。

    始める前に

    必要なロール:sn_irm_gdpr_dpia.risk_executive または sn_irm_gdpr_dpia.data_processing_officer
    注:
    Rome リリース以降、GRC: GDPR DPIA Accelerator は、将来的に廃止される扱いになっています。これは非表示になり、新しいインスタンスでは有効化されなくなりますが、引き続きサポートされます。詳細については、Now Support ナレッジベースの Deprecation Process (廃止プロセス) [KB0867184] の記事を参照してください。

    手順

    1. 移動先 すべて > GDPR DPIA > データ処理アクティビティ > すべての予備アセスメント.
      すべての予備アセスメント
    2. レビューするアセスメントのアセスメント番号をクリックします。
      [ユーザーの回答を表示] リンク
    3. [ユーザーの回答を表示] 関連リンクをクリックします。