2022年12月27日
プライバシーマーク(Pマーク)では自社で取り扱っている個人情報を「個人情報管理台帳」等の台帳にて特定する必要があります。「個人情報管理台帳」で必ず特定しないといけない項目は7項目あり、これらが不足していると審査で指摘事項となります。
1.個人情報の特定って何?
個人情報の特定とは、プライバシーマーク(Pマーク)の規格要求事項にある管理策(A3.3.1)にて求められているものです。
簡単に言うと以下の4つを行いなさい、と言われています。
- 自社の業務に関連するすべての個人情報を特定するために手順を整えなさい
- 個人情報を管理するための台帳をつくりなさい
- 少なくと次の項目は台帳に含めなさい
個人情報の項目、利用目的、保管場所、保管方法、アクセス権を有する者、利用期限、保管期間 - 台帳は少なくとも年に1回と、必要に応じて適宜確認して、最新の状態で維持すること
2.そもそも「個人情報」の定義とは
そもそも「個人情報」とは、何のことを指すのでしょう?
個人情報保護法(個人情報保護に関する法律)では、
個人情報とは、生存する個人の情報のことであり、氏名、生年月日や住所等により個人を識別できるものと大まかには定義されています。
3.Pマーク取得で全員がつまづく「個人情報の特定」
プライバシーマーク(Pマーク)取得担当の方全員がつまづくのがこの個人情報の特定ではないでしょうか。
個人情報の定義を調べて、いざ自社の個人情報の特定をしよう!となっても
どんな流れで個人情報を特定すればいいのか?どの範囲で特定すればいいのか?
どこまで特定すればいいのか?と、なってしまうのではないでしょうか。
よくあるつまづきポイントとして、会社業務の流れを確認せず、思い当たった業務をもとに個人情報を特定してしまうことがあります。
このやり方だと、会社で取り扱っている個人情報が不足する可能性があります。
対策としては、自社業務のフローを確認し、業務にかかわる個人情報を特定することが必要になります。
4.台帳は細かく作りすぎないことが一番大事
個人情報の特定を行い、台帳を作成する前に大事にしてほしいことは、”更新のしやすさ”です。
プライバシーマーク(Pマーク)は取得して終わりではありません。
PDCAサイクルを回し、継続して個人情報を保護しなければいけません。
定期的に更新を行う記録が複雑になってしまうと、作業自体がしづらく、更新が負担となってしまいます。
そのため、記録を作る際はなるべくシンプルな様式にし、誰が見てもわかるような様式にすることをおすすめします。
5.個人情報管理台帳の失敗事例
では、実際に個人情報管理台帳を作った際の失敗事例を紹介します。
■事例1 個人情報を細かく特定しすぎて失敗
プライバシーマーク(Pマーク)では、事業で利用する個人情報を全て特定することが求められています。
しかし、全ての個人情報を「個人情報管理台帳」に特定していてはいつまで経っても完成することはできません。
とある企業では、個人情報管理台帳の項目を複雑にしてしまったため、全ての個人情報を特定し、
台帳を作成するまでに3か月程度かかってしまいました。
その企業ではその後も記録を作成するための時間を取られたため、
認証取得準備開始から審査を受けるまでに1年半程の時間がかかりました。
審査後の指摘事項の改善にも時間がかかり、準備から認証取得まで2年程かかってしまいました。
■事例2 部門毎に特定してしまい膨大な記録に
事例1とは別に、よくやってしまう失敗事例があります。
それは、企業内に複数部門がある場合に、部門ごとに個人情報管理台帳を作成してしまう事例です。
部門が十数部門もあるとある企業では、各部門で個人情報管理台帳を作成することとしました。
出来上がった個人情報管理台帳を確認すると、各部門で利用している個人情報は特定されていました。
しかし、名刺などのどの部門でも利用する個人情報も特定されており、
それらの個人情報が台帳全体の半数を占めていたのです。
事例1、2もどちらともプライバシーマーク(Pマーク)の要求を満たしている特定方法になります。
やり方自体は間違ってはいないのですが、余計な時間や労力を費やしてしまっていることになります。
企業にとって、無駄な作業などに貴重な社員の時間を取られてしまうこと程嫌なことはありません。
いかに効率的に個人情報の特定や台帳の作成ができないかを考えていただければと思います。
6.個人情報特定の流れ
それでは実際に個人情報の特定をする際の流れを確認してみましょう。
(1)ガイドラインを読んで概要を把握しましょう
いきなり個人情報を特定するのではなく、まずはJIPDECが発行している「ガイドライン」を読んでみましょう。
「個人情報保護マネジメントシステムの導入・実践ガイドブック」と書かれている通り、
何をしなければいけないかがまとめられたものとなっています。
概要を把握してから特定を始めた方がスムーズに進みます。
(2)業務フロー図の作成
個人情報特定をする際に役に立つのが、自社の業務フロー図です。
業務フロー図があると、どの業務にどんな個人情報を利用しているのか
情報の整理整頓がしやすくなります。
(3)管理台帳のフォーマットの作成
概要を把握し、業務フローの確認まで進んだら次は台帳のフォーマットの作成です。
①個人情報管理台帳に必要な項目
個人情報管理台帳に必要な項目は最低以下となります。
個人情報の項目、利用目的、保管場所、保管方法、アクセス権を有する者、利用期限、保管期間
必要に応じて、項目を追加してもよいかもしれません。
ただ、先述の失敗事例のように、項目が多くなりすぎてしまうと、
それだけで作業の負担が増えてしまいます。
まずは最低限必要な項目のみで台帳を作成することから始めてみましょう。
②様式作成
項目が決まったら様式の作成です。
よくある方法としては一覧表として個人情報を特定する方法です。
特定した個人情報をまとめて確認することができるので作成後の確認も容易となります。
(4)個人情報の洗い出し
様式の作成までできたら、自社で利用している個人情報を業務フローを元に洗い出してみましょう。
この業務ではこんな個人情報がある、などと一つ一つ確認していきます。
(5)各個人情報の項目を埋める
個人情報の洗い出しが終わったら、様式の項目を埋めていきましょう。
上記「(4)個人情報の洗い出し」と同じタイミングでも構いません。
自分たちのやりやすいタイミングで実施するのがよいでしょう。
7.個人情報管理台帳フォーマットサンプル
このような流れで個人情報管理台帳を作成します。
全ての項目を埋めると以下のような台帳が完成したのではないでしょうか。
| NO | プロセス | 個人情報名 | 個人情報の項目 | 一般/要配慮 | 媒体 | 件数 | 件数の単位 | アクセス権を有する者 | 管理責任者 | 取得元および 取得方法 | 直接書面/ それ以外 | 開示/非開示 | 利用目的 | 提供/委託 | 保管方法 | 保管場所 | 利用期限 | 保管期限 | 廃棄方法 |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 1 | 採用 | 履歴書、職務経歴書 (採用募集) | 画像、氏名、住所、電話番号、メールアドレス | 一般 | 紙 | 5 | 月 | 代表者 採用担当 | 代表者 | 本人から直接手渡し または郵送 | 直接書面 | 開示 | 採用業務 (面接、採用選考、諸連絡等) | - | 施錠 | 鍵付きキャビネット | 不採用時:採用選考後3ヶ月 採用時:退職後5年 | 不採用時:採用選考後3ヶ月 採用時:退職後5年 | シュレッダー |
| 2 | 採用 | 採用時の同意書 | 氏名、会社名 | 一般 | 紙 | 5 | 月 | 代表者 採用担当 | 代表者 | 本人から直接手渡し | 直接書面 | 開示 | 個人情報保護 | - | 施錠 | 鍵付きキャビネット | 採用業務完了まで | 不採用時:採用選考後3ヶ月 採用時:退職後5年 | シュレッダー |
| 3 | 人事 | 履歴書、職務経歴書 (従業者) | 画像、氏名、住所、電話番号、メールアドレス | 一般 | 紙 | 100 | 累計 | 代表者 人事担当 | 代表者 | 本人から直接手渡し | 直接書面 | 開示 | 従業者管理 | - | 施錠 | 鍵付きキャビネット | 退職まで | 退職後5年 | シュレッダー |
| 4 | 人事 | 従業者の同意書 | 氏名、会社名 | 一般 | 紙 | 100 | 累計 | 代表者 人事担当 | 代表者 | 本人から直接手渡し | 直接書面 | 開示 | 個人情報保護 | - | 施錠 | 鍵付きキャビネット | 退職まで | 退職後5年 | シュレッダー |
| 5 | 人事 | 誓約書 | 氏名、住所 | 一般 | 紙 | 100 | 累計 | 代表者 人事担当 | 代表者 | 本人から直接手渡し | 直接書面 | 開示 | 従業者管理 | - | 施錠 | 鍵付きキャビネット | 退職まで | 退職後5年 | シュレッダー |
| 6 | 人事 | 入社承諾書 | 氏名、住所 | 一般 | 紙 | 100 | 累計 | 代表者 人事担当 | 代表者 | 本人から直接手渡し | 直接書面 | 開示 | 従業者管理 | - | 施錠 | 鍵付きキャビネット | 退職まで | 退職後5年 | シュレッダー |
| 7 | 人事 | 身元保証書 | 氏名、住所、身元保証人の氏名、住所、電話番号 | 一般 | 紙 | 100 | 累計 | 代表者 人事担当 | 代表者 | 本人から直接手渡し | 直接書面 | 開示 | 従業者管理 | - | 施錠 | 鍵付きキャビネット | 退職まで | 退職後5年 | シュレッダー |
まとめ
プライバシーマーク(Pマーク)を取得するための準備として、
個人情報の特定は大事なものです。
ただし、複雑な仕組みにしてしまうと、認証取得や更新の負担になってしまうリスクが存在します。
自社にあった取組みにすることで、皆さんの負担にならないようにしてください。
自分たちの負担を減らし、適切に個人情報を保護できるようにしましょう。
ISO・Pマークについてのお悩みはありませんか?
- SNSでシェア
- Tweet
Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
認証パートナーのサービスご説明資料
新規認証や運用・更新にあたって
当社が請け負うことをわかりやすくまとめました。
ぜひご検討の参考にしてください。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
Pマーク(プライバシーマーク)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ