プライバシーマーク(Pマーク))個人情報の把握、ヒアリング
個人情報の把握・管理方法として主流なのは、「個人情報管理台帳」を作る事です。「個人情報管理台帳」では、どんな個人情報がどのくらいあるか、誰がどのように管理をしているか一覧で管理する事が出来ます。
1.物語
社長からのミッションとしてプライバシーマーク(Pマーク)取得を課せられたとある会社。
プライバシーマーク(Pマーク)の取得を目指すためには「個人情報管理台帳」の作成が必要らしい。
運営委員会:『個人情報管理台帳を作成するぞ!』
チームメンバー:『わかりました!ところで個人情報管理台帳ってなんですか?そもそも個人情報って何が該当するんでしょうか?』
運営委員会:『そうだな。。まずは個人情報について調べてみよう!台帳の作成方法についてもきっと簡単な手段があるはず!』
2.個人情報とは何か?
1)個人情報の定義ははに?
特定の個人が識別できるものを個人情報といいます。“名前+会社名+メール+アドレス”複数の情報が組み合わさることで個人情報となります。
一般に個人情報と言えば、名前や電話番号など個々の情報を連想する方が多いと思いますが、ここでいう個人情報とは、「氏名+a」を組み合わせたものとイメージすると分かりやすいです。ただし、防犯カメラの映像などの情報は個人が識別できたら個人情報となるようです。
実際に、一般社団法人日本情報経済社会推進協会のHPでは、以下のように定義されていました。
・個人に関する情報であること
・特定の個人を識別できること
2)個人情報の種類
プライバシーマーク(Pマーク)における個人情報の種類は多岐にわたり、一般個人情報、保有個人データ、要配慮個人情報、特定個人情報、仮名加工情報、匿名加工情報に分かれます。中でも、特に注意すべきなのは要配慮個人情報です。
要配慮個人情報は、差別や、その他の不利益が生じないように、特に取扱いに注意する事が必要があるようです。
3.個人情報管理台帳の作成
プライバシーマーク(Pマーク)の規格要求事項では、個人情報の見直しを最低限1年間に1度行うこと、と要求されています。
個人情報の見直しをする際に、「個人情報管理台帳」がある事でスムーズに確認をすることが出来ます。
また、この作業は、PDCAサイクルを回すことで運用を進めるプライバシーマーク(Pマーク)において、「個人情報管理台帳」に個人情報の特定をする事はP(計画)に当たります。
では、「個人情報管理台帳」の作成をします。
1)個人情報を特定した時に必要な項目は何がある?
「個人情報管理台帳」に特定する際に少なくとも次の項目を含まなければなりません。
個人情報の項目、利用目的、保管場所、保管方法、アクセスを有する者、利用期限、保管期限です。
その他にも、個人情報の管理をする上で必要な項目があった際は、「個人情報管理台帳」へ項目を追加することもよくあるようですね。
2)個人情報の洗い出し方法
実際の業務フローから個人情報を洗い出すことが「個人情報管理台帳」を作成する際のポイントです。
①事業を分類する(採用業務、従業員管理業務、顧客管理業務、本業)
②業務の流れから発生する個人情報を確認する
今回は採用業務を例にあげてみます。
応募(履歴書)
↓
面接の日程調整(応募者リスト)
↓
面接(面接評価シート)
↓
採用(雇用契約書)
このように、実際の流れに当てはめる事で、その場その場で登場する個人情報を洗い出すことが可能です。個人情報の洗い出しの作業で個人情報にあたるかどうかが判断しにくい情報が出てきた場合は、その情報が漏洩することにリスクがあるかどうかで判断するとよいみたいです。
「個人情報管理台帳」を作成する目的は個人情報を洗い出すことだけが目的ではなく、どんなリスクがあるのかを分析し対策することが目的です。
4.まとめ
プライバシーマーク(Pマーク)の運用をする上で「個人情報管理台帳」の作成は避けられません。
では、本日のまとめです。
①個人情報とは、氏名+aの事です。
②個人情報の種類は多岐にわたります。
③台帳の作成の際は業務フローで洗い出しをする。
余談ですが、プライバシーマーク(Pマーク)の審査で指摘No.1と言えば台帳の特定漏れです。この指摘を免れる為にも個人情報の洗い出しをする作業はとても重要のようです。
プライバシーマーク(Pマーク)の運用をスムーズに行うためにも「個人情報管理台帳」を業務の実態に合わせて、整備しましょう。
今回はプライバシーマーク(Pマーク)における個人情報の定義、「個人情報管理台帳」の作成についてお話させて頂きましたが、いかがでしたでしょうか?
最後まで読んでいただきありがとうございました。