面倒くさい!?個人情報の一覧の作成方法について

プライバシーマーク(以下、Pマーク)取得の際の第一関門でよく躓くのが、個人情報の特定です。

 

何を特定するのか、どういったものに取りまとめるのか、、、悩みだしたらキリがない世界に突入してしまいます。

 

今回の個人情報の洗い出しに関するポイントについて触れて行きたいと思います。

 

【特定すべき対象】

まず、特定すべき対象ですが、規格の言葉を借りると「事業のように供する情報」が対象になります。

非常に難しい言葉になりますが、言い換えると自社の事業・業務で使用する個人情報が対象です。

 

つまり、皆さんの仕事で取得したり、使ったりする個人情報を取りまとめていく必要があります。

 

わかりやすい例で言うと、履歴書や給与データなどが特定すべき個人情報の例になってきます。

 

皆さんが仕事でどういった個人情報を扱っているのか、イメージしながら個人情報を洗い出して行くことがポイントになります。

 

 

【個人情報の一覧化】

では、個人情報を特定する際にどういったものに特定するかですが、一般的には一覧表を作成し、台帳で管理することが求められています。

規格であるJISQ15001:2017の附属書A内では「個人情報の項目,利用目的,保管場所,保管方法,アクセス権を有する者,利用期限,保管期限」を記載した台帳を作成することを求めています。

※JISQ15001:2017附属書Aから一部抜粋

 

ただ、これ以外にも保有個人データであるか否かなどの項目や規格では直接言われていないが、認証取得を目指す上で個人情報を一覧で管理する中で台帳の項目に入れておくべき事項はいくつかあります。

 

必要事項を網羅した台帳フォーマットを作成し、そこに仕事で扱う個人情報を記載していき、個人情報管理台帳を作成してくことになります。

 

【最後に】

Pマーク取得に向けては単に台帳を作成するだけではなく、個人情報の洗い出しなどについての手順を定めておく必要あります。

どの粒度で文書を作成するかは会社によってマチマチでしょうが、文書・手順も必要になってきますので注意が必要です。

 

また、対象は会社のすべてのなるため会社の事業だけではなく人事や経理で発生する個人情報も対象になるため範囲は広くなることを注意する必要があります。

専門家にも相談し、効率的な取り組みも重要になりますので必要に応じて相談するのも1つだと思います。