Pマークで最低限必要な12の記録 その2

前回からプライバシーマーク（Pマーク）を運用するときに必要となる12種類の記録について書いていますので、今回もこのテーマで記事を進めたいと思います。

個人情報のリスクの認識、分析および対策に関する記録

個人情報を保護するためにはまず個人情報に対して現状どのようなリスクがあるか、あるいはどんなリスクが生じるおそれがあるかをはっきりさせておかなければなりません。さらには明確にしたリスクを軽減するための手段を講じなければなりません。

プライバシーマーク（Pマーク）取得においてはこのような活動を“リスクの認識、分析、対策”といいます。

そしてこの一連の活動は記録しておく必要があります。「リスク分析表」などの名称を付けた表にリスクをリストアップし、その程度の大小や対策を一つ一つ記載するのです。これが「個人情報のリスクの認識、分析および対策に関する記録」です。

計画書

プライバシーマーク（Pマーク）取得会社は計画書を記録の一つとして作るよう求められていますが、この「計画書」とは何でしょうか。

少し漠然としていますが、プライバシーマーク（Pマーク）がいう「計画書」とはつまり個人情報保護マネジメントシステムを実施するに当たって必要な目標や目標達成の方法を定めたもののことです。

たとえばプライバシーマーク（Pマーク）にのっとって会社は監査を定期的に行わなければなりません。あるいは従業員の教育を行わなければなりません。これらはすべて事前に立てる計画に基づいて実行すべきであって、その計画を定めるのが「計画書」であるわけです。

もちろんプライバシーマーク（Pマーク）取得で必要なのは監査計画書と教育計画書だけではありません。他にも会社として計画を立てることが必要と判断される活動（たとえばマネジメントレビューなど）があれば、それについても自主的に計画書を作成することができるでしょう。

利用目的の特定に関する記録

個人情報を取得する場合は必ず利用目的を定めなければなりません。これは個人情報保護法で定められていることです。

プライバシーマーク（Pマーク）を取得・更新している会社であれば、利用目的を定めるだけでなく、それを記録して会社として持っている必要があります。

開示対象個人情報に関する開示等の求めへの対応記録

個人情報についてお客様本人などから何らかの請求があった場合、プライバシーマーク（Pマーク）取得会社には速やかにそれに応じる義務があります。

「開示等の求め」とは、「利用目的を通知してください」とか「個人情報の内容を開示してください」、「個人情報を削除してください」、「内容を訂正してください」などの要求のことです。

まとめ

これらの請求自体も本人から書面で提出してもらうのがよいのですが、相手方からの請求の内容だけでなくこちら側の対応の内容についても記録に残しておくことが必要です。記録があれば適切に対応していることを客観的に証明することができます。

・こちらの記事もおすすめです

→【Pマークって日本だけ？】