🗂️
概念 #GDPR #RoPA #処理活動記録 #データマッピング #Article 30 #ICO #データ棚卸し 📚 GDPRデータ最小化原則

処理活動記録(RoPA)とデータマッピング

Article 30 が義務化する処理記録。データ最小化の「エビデンス管理」としての役割と棚卸しの進め方

RoPA とは

Records of Processing Activities(処理活動記録)。 UK GDPR Article 30 に基づきコントローラーが維持しなければならない文書。

データ最小化のエビデンス管理:「どのデータを、なぜ、どれだけ持っているか」を組織として把握・説明できる状態を作る。

RoPA の作成義務の範囲

義務が発生する条件(Article 30(5)):
  以下のいずれかに該当する場合:
  ・従業員 250 名以上の組織
  ・250 名未満でも:
    - 高リスク処理を行う場合
    - 特別カテゴリデータ(Article 9)を処理する場合
    - 犯罪記録データ(Article 10)を処理する場合
    - 定期的・不定期でない処理以外を行う場合(= ほぼ全組織が対象)

実務的には:
  250 名未満でも「定期的に」個人データを処理していれば義務となる解釈が有力
  → 事実上ほぼすべてのビジネスが対象

RoPA に含める必須項目(コントローラー)

Article 30(1) に規定:

必須記録事項:
  1. コントローラーの名称・連絡先(DPO の連絡先も)
  2. 処理の目的(Purpose)
  3. データ主体のカテゴリ(顧客・従業員・訪問者など)
  4. 個人データのカテゴリ(氏名・住所・健康情報など)
  5. 受領者のカテゴリ(第三者・処理者・受領国)
  6. 第三国への移転がある場合の保護措置
  7. 可能な限りの保持期間(保持スケジュール)
  8. 技術的・組織的セキュリティ措置の概要

データマッピング vs データフローダイアグラム

データマッピング(Data Mapping):
  = RoPA の作成プロセス
  組織が保有・処理する全個人データを棚卸しして一覧化
  出力物: 処理活動のリスト(スプレッドシート or システム)

データフローダイアグラム(Data Flow Diagram):
  = データの動きを視覚化
  どのシステム間でデータが移動するかを図示
  出力物: フローチャート・アーキテクチャ図

関係:
  データマッピングで「何がある」を把握
  データフローダイアグラムで「どう動くか」を把握
  両方揃って DPIA・最小化評価の基盤になる

RoPA が最小化のエビデンスになる仕組み

GDPR 検査官の視点:
  「このデータ項目はなぜ収集しているのですか?」
    → RoPA の「処理の目的」欄を参照
    → 目的が書かれていなければ最小化違反の疑い

  「この個人データの保持期間はどのくらいですか?」
    → RoPA の「保持期間」欄を参照
    → 記載がなければ Storage Limitation 違反の疑い

RoPA が適切に整備されていること:
  = データ最小化を「意識的に管理している」証拠
  = アカウンタビリティ(Article 5(2))の実践

データ棚卸し(Data Inventory)の実践的進め方

Step 1: 処理活動の洗い出し
  ├── 部門ごとにインタビュー・アンケートを実施
  ├── 「どんな個人データを扱っているか」を質問
  └── IT システムのデータベーススキーマ確認

Step 2: 各処理活動の情報収集
  ├── 目的・法的根拠
  ├── データカテゴリと件数規模
  ├── 保持期間
  └── 第三者共有の有無

Step 3: 最小化のギャップ分析
  ├── 目的が曖昧・不明な処理を特定
  ├── 保持期間が設定されていないデータを特定
  ├── 第三者共有の根拠が不明な処理を特定
  └── → 是正優先度をリスクで評価

Step 4: 継続的な更新
  └── 新しいシステム・処理・ベンダー契約時に都度更新

RoPA と DPIA の関係

RoPA は全処理の「目録(Inventory)」

DPIA は高リスク処理の「深掘り評価(Assessment)」

具体的な連動:
  - RoPA の中で「高リスク」とフラグを立てた処理に DPIA を実施
  - DPIA 実施済みかどうかを RoPA に記録
  - DPIA の結果(残余リスク・軽減措置)を RoPA に反映

よくある落とし穴

✗ 「IT 部門だけが RoPA を持っている」
  → 全部門の処理を網羅する必要がある(HR・マーケ・営業も対象)

✗ 「システムの一覧」を RoPA と呼んでいる
  → システムではなく「処理活動」を単位として記録する

✗ 一度作ったら更新しない
  → 変更のたびに更新しないと監査時に整合性が取れない

✗ 保持期間を「未定」のまま放置
  → 少なくとも「定期レビュー実施」の記録で代替できる

関連トピック

📚 GDPRデータ最小化原則 10件
  1. 1. 🔒データ最小化原則 概観(GDPR Article 5(1)(c))
  2. 2. ⚖️データ最小化の3要件テスト(adequate・relevant・necessary)
  3. 3. 🎯目的限定原則(Purpose Limitation)
  4. 4. 📅保存期限限定原則(Storage Limitation)
  5. 5. 🏗️プライバシー・バイ・デザイン(Privacy by Design & Default)
  6. 6. 🎭仮名化と匿名化(Pseudonymisation & Anonymisation)
  7. 7. 🔍データ保護影響評価(DPIA)
  8. 8. 🗂️処理活動記録(RoPA)とデータマッピング
  9. 9. 👤データ主体の権利と最小化
  10. 10. 📋アカウンタビリティと立証責任(GDPR Article 5(2))

出典: ICO - RoPA Guidance / GDPR Article 30