プライバシーマークを取得してみませんか➂

個人情報の特定

プライバシーマーク取得に向けて、最初に行う必要があることが、「個人情報の特定」です。
プライバシーマークの審査・付与機関である、一般社団法人「日本情報経済社会推進協会(JIPDEC)」プの「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」の中に、「自らの事業の用に供している全ての個人情報を特定するための手順を内部規程として文書化すること」と定められています。そして、「個人情報を管理するための台帳を整備すること」、さらに「台帳の内容は少なくとも年一回、及び必要に応じて適宜に確認し、最新の状態で維持すること」とされています。

全ての個人情報を台帳化することなんかできるのか、と思われた方もいらっしゃるのではないでしょうか。先ず、「自らの事業の用に供している」といことがポイントで、自社の事業をする上での取り扱う個人情報という意味になります。ですので、基本は、①自社の事業の顧客情報、②従業員情報となります。これで、少しはイメージが絞られてきたと思います。

また、個人情報を管理する台帳には、少なくとも次の項目を含む必要があります。
①個人情報の項目(氏名・住所・電話番号等)
②利用目的
➂保管場所
④保管方法
⑥アクセス権を有する者
⑦利用期限
⑧保管期限

これらの項目をふまえながら、全ての個人情報を台帳化するのに、闇雲に総務担当者等が作成しようとしても、特定すべき個人情報が漏れる可能性もありますし、そもそも会社の全ての事業を把握していない場合も多いと思います。従いまして、やり方としては、内部統制のフローチャートのような「業務フロー」を各部署に確認しながら作成し、それぞれの業務フローのどの段階で個人情報が発生するのかを確認する必要があります。

次回は、「業務フロー」について説明していきます。
※プライバシーマークに関するお問い合わせは、行政書士たかした事務所まで、お気軽にお問い合わせください。