Pマーク審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

Pマーク(プライバシーマーク)認証お役立ちコラム

これさえ気をつければ簡単!?一からの個人情報管理台帳の作り方

スタッフ写真
スタッフ写真

2022年12月27日

これさえ気をつければ簡単!?一からの個人情報管理台帳の作り方

プライバシーマーク(Pマーク)では自社で取り扱っている個人情報を「個人情報管理台帳」等の台帳にて特定する必要があります。「個人情報管理台帳」で必ず特定しないといけない項目は7項目あり、これらが不足していると審査で指摘事項となります。

1.個人情報の特定って何?

個人情報の特定とは、プライバシーマーク(Pマーク)の規格要求事項にある管理策(A3.3.1)にて求められているものです。

簡単に言うと以下の4つを行いなさい、と言われています。

  1. 自社の業務に関連するすべての個人情報を特定するために手順を整えなさい
  2. 個人情報を管理するための台帳をつくりなさい
  3. 少なくと次の項目は台帳に含めなさい
    個人情報の項目、利用目的、保管場所、保管方法、アクセス権を有する者、利用期限、保管期間
  4. 台帳は少なくとも年に1回と、必要に応じて適宜確認して、最新の状態で維持すること

2.そもそも「個人情報」の定義とは

そもそも「個人情報」とは、何のことを指すのでしょう?

個人情報保護法(個人情報保護に関する法律)では、
個人情報とは、生存する個人の情報のことであり、氏名、生年月日や住所等により個人を識別できるものと大まかには定義されています。

3.Pマーク取得で全員がつまづく「個人情報の特定」

プライバシーマーク(Pマーク)取得担当の方全員がつまづくのがこの個人情報の特定ではないでしょうか。

個人情報の定義を調べて、いざ自社の個人情報の特定をしよう!となっても
どんな流れで個人情報を特定すればいいのか?どの範囲で特定すればいいのか?
どこまで特定すればいいのか?と、なってしまうのではないでしょうか。

よくあるつまづきポイントとして、会社業務の流れを確認せず、思い当たった業務をもとに個人情報を特定してしまうことがあります。

このやり方だと、会社で取り扱っている個人情報が不足する可能性があります。

対策としては、自社業務のフローを確認し、業務にかかわる個人情報を特定することが必要になります。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

4.台帳は細かく作りすぎないことが一番大事

個人情報の特定を行い、台帳を作成する前に大事にしてほしいことは、”更新のしやすさ”です。

プライバシーマーク(Pマーク)は取得して終わりではありません。
PDCAサイクルを回し、継続して個人情報を保護しなければいけません。

定期的に更新を行う記録が複雑になってしまうと、作業自体がしづらく、更新が負担となってしまいます。

そのため、記録を作る際はなるべくシンプルな様式にし、誰が見てもわかるような様式にすることをおすすめします。

5.個人情報管理台帳の失敗事例

では、実際に個人情報管理台帳を作った際の失敗事例を紹介します。

■事例1 個人情報を細かく特定しすぎて失敗

プライバシーマーク(Pマーク)では、事業で利用する個人情報を全て特定することが求められています。

しかし、全ての個人情報を「個人情報管理台帳」に特定していてはいつまで経っても完成することはできません。
とある企業では、個人情報管理台帳の項目を複雑にしてしまったため、全ての個人情報を特定し、
台帳を作成するまでに3か月程度かかってしまいました。

その企業ではその後も記録を作成するための時間を取られたため、
認証取得準備開始から審査を受けるまでに1年半程の時間がかかりました。

審査後の指摘事項の改善にも時間がかかり、準備から認証取得まで2年程かかってしまいました。

■事例2 部門毎に特定してしまい膨大な記録に

事例1とは別に、よくやってしまう失敗事例があります。

それは、企業内に複数部門がある場合に、部門ごとに個人情報管理台帳を作成してしまう事例です。

部門が十数部門もあるとある企業では、各部門で個人情報管理台帳を作成することとしました。
出来上がった個人情報管理台帳を確認すると、各部門で利用している個人情報は特定されていました。

しかし、名刺などのどの部門でも利用する個人情報も特定されており、
それらの個人情報が台帳全体の半数を占めていたのです。

事例1、2もどちらともプライバシーマーク(Pマーク)の要求を満たしている特定方法になります。
やり方自体は間違ってはいないのですが、余計な時間や労力を費やしてしまっていることになります。

企業にとって、無駄な作業などに貴重な社員の時間を取られてしまうこと程嫌なことはありません。

いかに効率的に個人情報の特定や台帳の作成ができないかを考えていただければと思います。

6.個人情報特定の流れ

それでは実際に個人情報の特定をする際の流れを確認してみましょう。

(1)ガイドラインを読んで概要を把握しましょう

いきなり個人情報を特定するのではなく、まずはJIPDECが発行している「ガイドライン」を読んでみましょう。

「個人情報保護マネジメントシステムの導入・実践ガイドブック」と書かれている通り、
何をしなければいけないかがまとめられたものとなっています。

概要を把握してから特定を始めた方がスムーズに進みます。

(2)業務フロー図の作成

個人情報特定をする際に役に立つのが、自社の業務フロー図です。

業務フロー図があると、どの業務にどんな個人情報を利用しているのか
情報の整理整頓がしやすくなります。

(3)管理台帳のフォーマットの作成

概要を把握し、業務フローの確認まで進んだら次は台帳のフォーマットの作成です。

①個人情報管理台帳に必要な項目

個人情報管理台帳に必要な項目は最低以下となります。
個人情報の項目、利用目的、保管場所、保管方法、アクセス権を有する者、利用期限、保管期間

必要に応じて、項目を追加してもよいかもしれません。

ただ、先述の失敗事例のように、項目が多くなりすぎてしまうと、
それだけで作業の負担が増えてしまいます。

まずは最低限必要な項目のみで台帳を作成することから始めてみましょう。

②様式作成

項目が決まったら様式の作成です。

よくある方法としては一覧表として個人情報を特定する方法です。
特定した個人情報をまとめて確認することができるので作成後の確認も容易となります。

(4)個人情報の洗い出し

様式の作成までできたら、自社で利用している個人情報を業務フローを元に洗い出してみましょう。
この業務ではこんな個人情報がある、などと一つ一つ確認していきます。

(5)各個人情報の項目を埋める

個人情報の洗い出しが終わったら、様式の項目を埋めていきましょう。

上記「(4)個人情報の洗い出し」と同じタイミングでも構いません。
自分たちのやりやすいタイミングで実施するのがよいでしょう。

7.個人情報管理台帳フォーマットサンプル

このような流れで個人情報管理台帳を作成します。
全ての項目を埋めると以下のような台帳が完成したのではないでしょうか。

個人情報管理台帳サンプル


NOプロセス個人情報名個人情報の項目
一般/要配慮媒体件数件数の単位アクセス権を有する者管理責任者取得元および
取得方法
直接書面/
それ以外
開示/非開示利用目的提供/委託保管方法保管場所利用期限保管期限廃棄方法
1採用履歴書、職務経歴書
(採用募集)
画像、氏名、住所、電話番号、メールアドレス一般5代表者
採用担当
代表者本人から直接手渡し
または郵送
直接書面開示採用業務
(面接、採用選考、諸連絡等)
-施錠鍵付きキャビネット不採用時:採用選考後3ヶ月
採用時:退職後5年
不採用時:採用選考後3ヶ月
採用時:退職後5年
シュレッダー
2採用採用時の同意書氏名、会社名一般5代表者
採用担当
代表者本人から直接手渡し直接書面開示個人情報保護-施錠鍵付きキャビネット採用業務完了まで不採用時:採用選考後3ヶ月
採用時:退職後5年
シュレッダー
3人事履歴書、職務経歴書
(従業者)
画像、氏名、住所、電話番号、メールアドレス一般100累計代表者
人事担当
代表者本人から直接手渡し直接書面開示従業者管理-施錠鍵付きキャビネット退職まで退職後5年シュレッダー
4人事従業者の同意書氏名、会社名一般100累計代表者
人事担当
代表者本人から直接手渡し直接書面開示個人情報保護-施錠鍵付きキャビネット退職まで退職後5年シュレッダー
5人事誓約書氏名、住所一般100累計代表者
人事担当
代表者本人から直接手渡し直接書面開示従業者管理-施錠鍵付きキャビネット退職まで退職後5年シュレッダー
6人事入社承諾書氏名、住所一般100累計代表者
人事担当
代表者本人から直接手渡し直接書面開示従業者管理-施錠鍵付きキャビネット退職まで退職後5年シュレッダー
7人事身元保証書氏名、住所、身元保証人の氏名、住所、電話番号一般100累計代表者
人事担当
代表者本人から直接手渡し直接書面開示従業者管理-施錠鍵付きキャビネット退職まで退職後5年シュレッダー

まとめ

プライバシーマーク(Pマーク)を取得するための準備として、
個人情報の特定は大事なものです。

ただし、複雑な仕組みにしてしまうと、認証取得や更新の負担になってしまうリスクが存在します。
自社にあった取組みにすることで、皆さんの負担にならないようにしてください。

自分たちの負担を減らし、適切に個人情報を保護できるようにしましょう。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

Pマーク(プライバシーマーク)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。