2024年9月30日
Pマークのルールに違反するとどうなる?リスクと対応策を解説
Pマーク(プライバシーマーク)のルールに違反すると、個人情報漏洩などの深刻な事故に繋がりかねません。このような事態は、取引停止や入札資格の喪失、顧客からの信頼失墜といった、企業の信用力や事業継続に多大な影響をもたらす可能性があります。最悪の場合、Pマークの付与が取り消される可能性もあります。
Pマークを取得した企業は、継続的な情報セキュリティ対策と法令遵守が不可欠です。
2025年2月20日
「どんな流れで個人情報管理台帳を作成すればいいのか?」
「どの範囲まで個人情報を特定すればいいのか?」
Pマーク取得担当の方がつまづくのが、個人情報管理台帳の作成ではないでしょうか。
そこで、この通りに進めるだけでOKの、個人情報管理台帳のサンプルを公開いたします!
作成のポイントは、「細かく作りすぎないこと」です。
本記事の作成5ステップを読むことで、思い当たった業務をもとに個人情報を特定することがなくなり、時間をかけずに個人情報管理台帳を作成できます。
1.個人情報の特定とは
個人情報の特定とは、プライバシーマーク(Pマーク)の規格要求事項にある管理策(A3.3.1)にて求められているものです。
管理策(A3.3.1)を簡単にまとめると、以下の4つを行いなさい、と言われています。
- 自社の業務に関連するすべての個人情報を特定するために手順を整えなさい
- 個人情報を管理するための台帳をつくりなさい
- 少なくと次の項目は台帳に含めなさい
個人情報の項目、利用目的、保管場所、保管方法、アクセス権を有する者、利用期限、保管期間 - 台帳は少なくとも年に1回と、必要に応じて適宜確認して、最新の状態で維持すること
個人情報管理台帳で個人情報の管理をすることで、リスクが見えてきますので対応をしましょう。
2.そもそも「個人情報」の定義とは
個人情報保護法(個人情報保護に関する法律)では、個人情報とは、生存する個人の情報のことであり、氏名、生年月日や住所等により個人を識別できるものと大まかに定義されています。
単独では 個人を特定することができなくても、2つ以上組み合わせることで個人を特定できるものは全て個人情報です。指紋、静脈、虹彩、顔写真や動画などの生体情報も個人情報です。
ただし、死者の情報や法人は個人情報に含まれず、生存している人のみが該当となります。そこには、外国人や赤ちゃんなど未就学児童も含まれます。
3.個人情報管理台帳フォーマットサンプル
作成方法の説明の前に、まずは実際の個人情報管理台帳を見てみましょう。
作成方法に沿って項目を全て埋めると、以下のような台帳が完成します。
| NO | プロセス | 個人情報名 | 個人情報の項目 | 一般/要配慮 | 媒体 | 件数 | 件数の単位 | アクセス権を有する者 | 管理責任者 | 取得元および 取得方法 | 直接書面/ それ以外 | 開示/非開示 | 利用目的 | 提供/委託 | 保管方法 | 保管場所 | 利用期限 | 保管期限 | 廃棄方法 |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 1 | 採用 | 履歴書、職務経歴書 (採用募集) | 画像、氏名、住所、電話番号、メールアドレス | 一般 | 紙 | 5 | 月 | 代表者 採用担当 | 代表者 | 本人から直接手渡し または郵送 | 直接書面 | 開示 | 採用業務 (面接、採用選考、諸連絡等) | - | 施錠 | 鍵付きキャビネット | 不採用時:採用選考後3ヶ月 採用時:退職後5年 | 不採用時:採用選考後3ヶ月 採用時:退職後5年 | シュレッダー |
| 2 | 採用 | 採用時の同意書 | 氏名、会社名 | 一般 | 紙 | 5 | 月 | 代表者 採用担当 | 代表者 | 本人から直接手渡し | 直接書面 | 開示 | 個人情報保護 | - | 施錠 | 鍵付きキャビネット | 採用業務完了まで | 不採用時:採用選考後3ヶ月 採用時:退職後5年 | シュレッダー |
| 3 | 人事 | 履歴書、職務経歴書 (従業者) | 画像、氏名、住所、電話番号、メールアドレス | 一般 | 紙 | 100 | 累計 | 代表者 人事担当 | 代表者 | 本人から直接手渡し | 直接書面 | 開示 | 従業者管理 | - | 施錠 | 鍵付きキャビネット | 退職まで | 退職後5年 | シュレッダー |
| 4 | 人事 | 従業者の同意書 | 氏名、会社名 | 一般 | 紙 | 100 | 累計 | 代表者 人事担当 | 代表者 | 本人から直接手渡し | 直接書面 | 開示 | 個人情報保護 | - | 施錠 | 鍵付きキャビネット | 退職まで | 退職後5年 | シュレッダー |
| 5 | 人事 | 誓約書 | 氏名、住所 | 一般 | 紙 | 100 | 累計 | 代表者 人事担当 | 代表者 | 本人から直接手渡し | 直接書面 | 開示 | 従業者管理 | - | 施錠 | 鍵付きキャビネット | 退職まで | 退職後5年 | シュレッダー |
| 6 | 人事 | 入社承諾書 | 氏名、住所 | 一般 | 紙 | 100 | 累計 | 代表者 人事担当 | 代表者 | 本人から直接手渡し | 直接書面 | 開示 | 従業者管理 | - | 施錠 | 鍵付きキャビネット | 退職まで | 退職後5年 | シュレッダー |
| 7 | 人事 | 身元保証書 | 氏名、住所、身元保証人の氏名、住所、電話番号 | 一般 | 紙 | 100 | 累計 | 代表者 人事担当 | 代表者 | 本人から直接手渡し | 直接書面 | 開示 | 従業者管理 | - | 施錠 | 鍵付きキャビネット | 退職まで | 退職後5年 | シュレッダー |
4.個人情報管理台帳の作成5ステップ
それでは、実際に個人情報管理台帳を作成する流れを解説します。
- ガイドラインを読んで概要を把握
- 業務フロー図の作成
- 管理台帳のフォーマットの作成
- 個人情報の洗い出し
- 各個人情報の項目を埋める
(1)ガイドラインを読んで概要を把握
いきなり個人情報を特定するのではなく、まずはJIPDECが発行している「ガイドライン」を読んでみましょう。
「個人情報保護マネジメントシステムの導入・実践ガイドブック」と書かれている通り、何をしなければいけないかがまとめられたものとなっています。
概要を把握してから特定を始めた方がスムーズに進みます。
参考URL:プライバシーマーク新規取得・更新のための新ガイドブック発売|一般財団法人 日本情報経済社会推進協会
(2)業務フロー図の作成
個人情報特定をする際に役に立つのが、自社の業務フロー図です。
業務フロー図があると、どの業務にどんな個人情報を利用しているのか、情報の整理整頓がしやすくなります。
(3)管理台帳のフォーマットの作成
概要を把握し、業務フローの確認まで進んだら、次は台帳のフォーマットの作成です。
①個人情報管理台帳に必要な項目
個人情報管理台帳には必須項目があり、項目が不足すると審査で指摘を受ける可能性があります。必須項目は以下のとおりです。
- 個人情報の項目
- 利用目的
- 保管場所
- 保管方法
- アクセス権を有する者
- 利用期限
- 保管期間
項目の追加は、必要に応じて行ってもかまいません。
ただ、項目が多くなりすぎてしまうと、それだけで作業の負担が増えてしまいます。
まずは最低限必要な項目のみで台帳を作成することから始めてみましょう。
②様式作成
項目が決まったら様式の作成です。
よくある方法としては、一覧表として個人情報を特定する方法です。
特定した個人情報をまとめて確認することができるので、作成後の確認も容易となります。
(4)個人情報の洗い出し
様式の作成までできたら、自社で利用している個人情報を業務フローを元に洗い出してみましょう。
この業務ではこんな個人情報がある、などと一つ一つ確認していきます。
(5)各個人情報の項目を埋める
個人情報の洗い出しが終わったら、様式の項目を埋めていきましょう。
上記「(4)個人情報の洗い出し」と同じタイミングでも構いません。
自分たちのやりやすいタイミングで実施するのがよいでしょう。
5.台帳は細かく作りすぎないことが一番大事
台帳を作成する際に大事にしてほしいことは”管理のしやすさ”です。
プライバシーマーク(Pマーク)は取得して終わりではありません。PDCAサイクルを回し、継続して個人情報を保護しなければいけません。
定期的に更新を行う記録が複雑になってしまうと、作業自体がしづらく、更新が負担となってしまいます。
そのため、記録を作る際はなるべくシンプルな様式にし、誰が見てもわかるような状態にすることをおすすめします。
6.個人情報管理台帳の失敗事例
実際に、個人情報管理台帳を作った際の「失敗事例」を紹介します。
(事例1)個人情報を細かく特定しすぎて失敗
全ての項目を「個人情報管理台帳」に特定していては、いつまで経っても完成することはできません。
ある企業では、個人情報管理台帳の項目を複雑にしてしまったため、全ての個人情報を特定し、台帳を作成するまでに3か月程度かかってしまいました。
当社サポートの場合、準備開始から審査まで約5か月程度、認証取得まで6~10カ月程度ですが、その企業ではその後も記録を作成するための時間を取られたため、準備から認証取得まで2年程かかってしまいました。
(事例2)部門毎に特定してしまい膨大な記録に
事例1とは別に、よくやってしまう失敗事例があります。
それは、企業内に複数部門がある場合に、部門ごとに個人情報管理台帳を作成してしまう事例です。
部門が十数部門もあるとある企業では、各部門で個人情報管理台帳を作成することとしました。
出来上がった個人情報管理台帳を確認すると、各部門で利用している個人情報は特定されていました。
しかし、名刺など、どの部門でも利用する個人情報も特定されており、それらの個人情報が台帳全体の半数を占めていたのです。
事例1、2もどちらともプライバシーマーク(Pマーク)の要求を満たしている特定方法になります。やり方自体は間違ってはいないのですが、余計な時間や労力を費やしてしまっていることになります。
いかに効率的に、個人情報の特定や台帳の作成ができるかを考えていきましょう。
7.まとめ
プライバシーマーク(Pマーク)を取得するための準備として、個人情報管理台帳の作成は大事なものです。
ただし、複雑な仕組みにしてしまうと、認証取得や更新の負担になってしまうリスクが存在します。
自社にあった取組みにすることで、皆さんの負担にならないようにしてください。
自分たちの負担を減らし、適切に個人情報を保護できるようにしましょう。
個人情報管理台帳の作成、更新に時間がかかっている場合、コンサルタントによる無料相談も可能です。
お気軽にご連絡ください。
ISO・Pマーク認証更新でお悩みの方へ
認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。 アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。 認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。
Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
認証パートナーのサービスご説明資料
8,000社以上の支援実績に裏付けされた、
当社サービスの概要を紹介しております。
資料の内容
- ・一目でわかる『費用』
- ・一目でわかる『取得スケジュール』
- ・一目でわかる『サポート内容』
Pマーク(プライバシーマーク)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISO27017など各種対応規格
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISO27017など各種対応規格ページへ -
複数規格の同時取得
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください
複数規格の同時取得ページへ