日本个人信息保护委员会(PIPC)推出数据映射工具包
今年10月,日本的数据保护机构——个人信息保护委员会(Personal Information Protection Commission,PIPC)专门发布了数据映射工具包,以帮助企业等私营部门“处理整个组织业务的数据,并将处理情况可视化”。 数据映射工具包是为拥有大量数据的企业经营者对此类数据进行适当管理而发起的一项自主举措,旨在帮助企业迈出数据映射的第一步。PIPC希望企业在将该工具包初期导入时作为参考,再度调整更新时间、项目等,构筑对自身最优的方案。此外,并不是从最开始就全盘导入工具包的数据映射,而是根据基本的项目进行甄别,开始数据映射小的一步。
数据映射工具包内容包含了一个映射工具包文件和三个附件,三个附件分别为:(1)数据映射表中的项目示例;(2)向外国第三方提供个人数据的检查表;(3)在外国处理个人数据的检查表。
| 章节 | 项目 | 附注 |
| 第一章 | 数据映射的意义 | 描述了数据映射和程序(准备、表格创建、确认/响应、更新)等的重要性。 |
| 第二章 | 数据映射表的项目 | 提供了数据映射表中的项目示例。 |
| 第三章 | 数据映射表的确认与更新 | 1.详细解释了第一章中描述数据映射的“确认/响应”过程。2. 检查数据映射表时可使用的清单。 |
数据映射即企业将业务数据全部整理,并将处理状况等全部可视化的一项过程。具体来说,通过创建一个数据映射表来进行可视化。
受个人信息保护法管辖的信息是否仅限于客户信息和业务合作伙伴信息。不仅如此,还包括例如:
委托人提供的信息作为委托的结果
从其他经营者处购买的物品
从员工(包括离职人员)和求职者那里获得
即使是从合作伙伴那里收到的公司信息、负责人的姓名等
| 数据名称 | 附在电子数据上的姓名或印刷在纸质媒体等封面上的姓名 |
| 部门办理 | 经营者内部负责数据管理的部门名称 |
| 负责人 | 负责数据管理的人员的姓名或职务 |
| 人数 | 数据中相关的人数(大概也可以) |
| 数据的项目 | 数据中包含的信息概要 |
| 使用目的 | 数据的使用目的 |
| 数据分类 | 以下分类中数据中包含的信息的分类名称:个人信息、个人数据(保留的个人数据)、化名处理信息(化名处理的个人信息、非个人信息)化名信息)、匿名处理信息、个人信息 |
| 有无需要特殊照顾的个人信息 | 是否含有有无需要特殊照顾的个人信息 |
| 数据主体 | 数据主体的姓名、姓名或属性 |
| 是否同意第三方提供 | 对于是否第三方提供的来源,是否获得本人同意 |
2. 企业的处理
| 数据的保存形态 | 数据的保存形态(纸质文档/电子数据) |
| 数据的保管场所 | 内部存储(内部机柜、内部USB、内部服务器等)、内部云存储、外包存储等 |
| 保存时间 | 法律或经营者规定的保留期限 |
| 能够使用/访问数据的员工 | 可以在企业内使用和访问数据的员工范围(姓名或属性) |
| 员工所在国 | 上述员工所在国家 |
| 云运营商名称 | 运营用于数据的云的云提供商的名称 |
| 云运营商公司所在国 | 上述云运营商公司所在国 |
| 服务器所在国 | 保存数据的服务器所在国名 |
| 合同信息 | 与上述云服务商签订的合同信息(服务商内部合同所附管理编号、合同签订日期、合同名称等) |
内部储存时的储存国:打印数据的纸质介质的国家名称以及存储数据的USB、服务器等
| 提供人/点 | 提供数据的第三方的姓名/名称 |
| 提供人/点属性 | 上述第三方的业务属性 |
| 提供人/点的企业所在国家 | 所在国名 |
| 合同信息 | 与向其提供信息的第三方签订的合同信息 |
一、确认遵守适用于数据的法律法规,包括个人信息保护法
1.1向外国第三方提供个人数据的规则(法律第 28 条)
二、根据数据处理状况等产生的风险采取必要措施。
使用数据映射表,我们将识别数据处理状态等产生的风险,并采取必要的措施。数据映射表中确定的风险和应对措施示例包括:
(一)数据内容风险
(二)储存风险
(三) 使用风险