2019年7月7日
プライバシーマーク取得を望んでいる会社において個人情報の洗い出しは必要不可欠な作業となります。
このブログではどのように洗い出すのかを説明していきたいと思います。
そもそも「個人情報とは何か」を考えていく必要があります。
個人情報と聞かれると氏名・住所・電話番号などを思い浮かべる人が多いと思いますが、Pマーク上の定義では「個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)」と定義されています。
言い回しは難しいですが、各々が予想していた解答と大きく離れてはいないと思います。
個人情報を取り纏めたものを個人情報管理台帳と呼びます。
会社によって呼び方は様々ですが、今度は台帳をどのように取り纏めるべきかを説明します。
個人情報管理台帳の取りまとめ方
履歴書を例にとって説明していきます。
・個人情報名:履歴書
・個人情報項目:画像、氏名、住所、電話番号、メールアドレス
・一般/機微:一般
まず、個人情報名は履歴書です。
履歴書に記載する個人情報を表しているのが個人情報項目です。画像は履歴書に貼る写真を示しています。
一般/機微はその個人情報が機微情報にあたるかどうかを入力するところです。相手(他人)に知られたくない情報が機微情報です。宗教や民族に関することなどもそうですが、健康診断の結果も機微情報にあたります。
・利用目的:採用業務
・媒体:紙
利用目的は何の目的でその個人情報が扱われるかを入力するところです。
履歴書ですが採用の際に使用されるので採用業務と入力します。
媒体はどの媒体でその個人情報を扱っているのかを入力するところです。
ここでは紙と入力していますが、履歴書の情報をデータで扱っている会社はデータと入力します。
・保管方法:施錠
・保管場所:鍵付キャビネット
・件数:〇〇件/累積
保管方法はその個人情報がどのように保管しているかを入力するところです。
履歴書は施錠と入力しますが、他に例を挙げると顧客情報をデータで扱っている場合の保管方法は「アクセス権限」などと入力します。
顧客情報を見るためにはアクセス権限をつけて、見る人を限定している状態で保管しているという事です。
保管場所はどこに個人情報を保管しているかを示していています。
件数は何件扱っているのかを入力します。
取り扱っている個人情報数が多い場合、累積では分かりにくいため〇〇件/月や〇〇件/日によって示します。
・直接書面/それ以外:直接書面
・開示/非開示:開示
・提供/委託:委託
直接書面/それ以外はその個人情報をどのように入手しているのかを入力するところです。
履歴書の場合直接本人からもらっているという事を前提に直接書面と入力します。
開示/非開示は本人からの請求があった場合に開示するのか否かを入力するところです。
提供/委託は個人情報を提供や委託している際に入力する箇所になります。
今回は労務士の方に労務関係の仕事をお願いしているという事を仮定して委託と入力しています。
・アクセス権限:代表者 採用担当
・管理責任者:代表者
・利用期間/保存期間:退職後〇年
・廃棄方法:シュレッダー
アクセス権限はその個人情報にアクセス出来る人物を入力するところです。
今回は代表者と採用担当者がアクセスできると仮定して入力しています。
管理責任者は個人情報に対する管理責任者を示しています。
利用期間/保存期間は個人情報をどのくらい保管するのかを示しています。
廃棄方法はシュレッダーと入力していますが、データなどの場合はデータ消去と入力します。
個人情報の洗い出し
次は個人情報を洗い出してみたいと思います。
まず洗い出しを行う際に考えることは業務の流れからどの部署でどのような個人情報を扱っているのか考えるということです。
営業部だったら取引先の名刺を扱っていて、経理部だったら従業員の給与明細を扱っています。
このように業務の流れからどのような個人情報を取扱っているかを考えることが非常に大切になっていきます。
大きく分けて6種類に分かれます。
1.顧客情報
取引先の個人情報を取扱っている場合は台帳に個人情報として取り纏める必要があります。
名刺・委託先との契約書・覚書・機密保持契約書などです。見積書・請求書も個人情報が含まれている場合は台帳に取り纏めなければいけません。
2.採用情報
履歴書・同意書・誓約書などがあります。
同意書は2種類必要です。採用応募者が面接にうかり入社時に書いてもらう同意書と採用選考時に書いてもらう同意書です。
採用選考時の同意書は主に履歴書の利用方法について記載されています。忘れがちですが個人情報にあたるものなので採用応募者の方から取得するのを忘れないようにしましょう。
3.経理・労務情報
会社によって給与や労務管理の仕方が様々なので一概には言えませんが、給与明細書や給与振込口座申請書は個人情報にあたります。
源泉徴収票も氏名、住所、支払金額などが記載されているので台帳に取り纏める必要があります。
4.保険
健康保険・雇用保険に関する書類がこれにあたります。
5.バックアップデータ
バックアップデータをどこに保管しているかを台帳に纏める必要があります。
一般的な保管先は社外サーバー・社内サーバー・USB等があります。
6・プライバシーマークに必要な情報
プライバシーマークを取得する際に1年に1度教育を行うことを必要としています。
その教育テストの結果も個人情報として台帳に取り纏めなければいけません。その他来訪者記録や入退室記録も台帳に取り纏めることが必要です。
\ お問い合わせフォームはこちら /
WEBお問い合わせ
- SNSでシェア
- Tweet
Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜18:30
お電話受付:平日9:30〜18:30
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもzoomで対応!
気軽にご相談ください!
相談予約は
こちらから
Pマーク(プライバシーマーク)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ