Pマークで最低限必要な12の記録 その1

プライバシーマーク（Pマーク）では、個人情報保護マネジメントの運用の一部として記録を作成することが要求されています。

個人情報保護の取り組みを実行するだけでなくそのことを記録することが必要なわけですが、その理由はどこにあるのでしょうか。理由は実行していることを“実証するため”という点にあります。

何をどのように実行したかを記録に残しておくことにより、プライバシーマーク（Pマーク）で要求されていることを確実に行っていることを客観的に証明することができるのです。

最低限作成しておくべき記録

ということはプライバシーマーク（Pマーク）の取り組みの中で活動することはすべて記録に残す必要があるということでしょうか。もちろんすべて記録するに越したことはありませんが、そうすると膨大な量の記録を作成することになりますし、そのために要する時間や労力も計り知れません。

実際に必要な量・内容の記録を保持するためにも、プライバシーマーク（Pマーク）の規格では最低限作成しておくべき記録が定められています。これからいくつかの記事でプライバシーマーク（Pマーク）取得会社が最低限作成する12の記録を見ていきたいと思います。

個人情報の特定に関する記録

個人情報保護の活動は、会社が取得している個人情報にどのようなものがあるかを調査して特定することから始まります。確かに保護する対象を明確にすることなくして個人情報保護に取り組むことはできません。

そういうわけでプライバシーマーク（Pマーク）取得会社はまず自社が持つ個人情報をすべて洗い出すわけですが、洗い出したものはデータにしてまとめ、会社として保有しておかなければならないのです。「個人情報の特定に関する記録」とはそうしたデータのことを指し、一般的には「個人情報管理台帳」などと呼ばれたりします。

法令、国が定める指針およびその他の規範の特定に関する記録

個人情報の取り扱いに関して注意すべき点として、法令や国が定める指針、規範などの要求があります。

もし個人情報の取り扱いについて法律で定められていることがあれば、そのルールを最優先して守らなければなりません。これはプライバシーマーク（Pマーク）を取得・更新していない会社であっても当然必要なことです。

ましてプライバシーマーク（Pマーク）取得会社であれば個人情報保護に関する法律に最新の注意を払うべきですので、少なくともこの点で自社事業に関係のある国の法令をすべて把握しておかなければならないことになります。

そこでプライバシーマーク（Pマーク）は会社の個人情報保護にかかわる法律などを特定し、それをデータにしてまとめておくことを求めているのです。「法令、国が定める指針およびその他の規範の特定に関する記録」とはこのデータのことを指します。

まとめ

個人情報管理台帳も関係法令一覧も日々の業務の中ですぐに参照できること、そして参照したときに役立つ形式であることが求められます。単にプライバシーマーク（Pマーク）に適合することではなく実用性までも考慮して作成したり更新したりするのがよいでしょう。

・こちらの記事もおすすめです

→【Pマークって日本だけ？】