プライバシープログラムを計画するためのエンティティスコーピング
プライバシーマネージャーが組織のプライバシープログラムを計画する場合、最初のステップは、個人データを含むビジネスアプリケーションまたはプロセスのスコープを設定することです。ガバナンス、リスク、コンプライアンス では、これらのビジネスアプリケーションまたはビジネスプロセスはエンティティと呼ばれます。個人データを処理するエンティティを特定すると、処理アクティビティが自動的に作成されます。
sn_privacy_manager ロールを持つプライバシーマネージャーは、さまざまなプライバシープログラムを計画します。プライバシープログラムの例を次に示します。
- 顧客の個人データを処理するすべてのビジネスプロセスとベンダーを特定します。
- 従業員の個人データを処理するビジネスアプリケーションを特定します。
次のいずれかの方法を使用して、個人データを処理するエンティティを識別または検出できます。
- 個人情報の使用によって処理アクティビティを検出することで、エンティティをフィルタリングします。
- 初期プライバシーアセスメントの送信
- 個人情報の使用によって処理アクティビティを検出する
- インベントリレベルでは、ビジネスプロセス、ビジネスアプリケーション、およびその他のインベントリレコードが個人情報 (PI) タイプの情報オブジェクトにマッピングされている場合、プライバシーマネージャーは特定の PI 情報を処理するそれらのレコードを検出できます。プライバシー管理 の情報オブジェクトとそのロールの詳細については、「プライバシー管理 の情報オブジェクト」を参照してください。
- 次の画像は、情報オブジェクトが関連付けられたビジネスプロセスを示しています。情報オブジェクトに関連付けられたビジネスアプリケーションまたはプロセスを識別するには、エンティティスコーピング機能の拡張エンティティフィルター機能を使用します。詳細については、「個人情報を含む処理アクティビティを検出するスコープエンティティ」を参照してください。
図 : 1. 情報オブジェクトが関連付けられたビジネスプロセス - 潜在的なエンティティを特定し、初期プライバシーアセスメントを送信する
- 情報オブジェクトがビジネスアプリケーションまたはプロセスにマッピングされていない場合は、初期プライバシーアセスメントをすべてのエンティティに送信し、その応答を使用して個人データが処理されているかどうかを判断できます。アセスメントを送信する手順は次のとおりです。
- エンティティタイプの作成たとえば、顧客の個人情報を処理するビジネスプロセスや従業員情報を保存するビジネスアプリケーションなどです。
- 作成したエンティティタイプを使用してエンティティを識別します。
- 関連するエンティティを選択し、それぞれのエンティティオーナーにプライバシースクリーニングアセスメントを送信します。
- 関連する質問が回答されたときに、回答に基づいて処理アクティビティが自動的に作成されます。
図 : 2. エンティティへのプライバシーアセスメントの送信