台帳の中での個人情報カテゴリ【Pマーク取得の基礎知識】
プライバシーマーク(Pマーク)の要求事項に「個人情報の特定」というものがあります。「個人情報の特定」とは自社にどのような個人情報があるのかを洗い出して明確にすることです。
実のところ個人情報保護マネジメントシステムのすべての活動は個人情報の特定を抜きにして始めることはできないといっても過言ではありません。プライバシーマーク(Pマーク)取得の取り組みのかなり早い段階で「まずは会社の中にどのような個人情報があるのかを特定しましょう」という話になるのもそのためです。
個人情報を特定したら、次は特定した個人情報を可視化します。プライバシーマーク(Pマーク)の要求に出てくる「個人情報管理台帳」とはそのようにして特定した個人情報をリストアップした台帳のことです。
個人情報管理台帳の作成で頭を悩ませる企業様もいらっしゃいますが、今回は個人情報の特定をスムーズに進めるためのコツとして、社内に存在する個人情報を大まかに分類した時にだいたいどのようなカテゴリに分けられるかを把握しておくという点に注目してみたいと思います。
従業員の個人情報
プライバシーマーク(Pマーク)を取得する会社の場合は必ず会社に従業員が存在します。従業員がいるということは会社で従業員の労務管理を実施しているということです。つまり会社には必ず従業員から取得した個人情報があるということです。
履歴書をはじめ給与情報、社会保険関係書類などが会社で管理されているはずですので、個人情報管理台帳を作成する際まずはこのような従業員関連の個人情報を洗い出しましょう。
また応募書類など会社の採用活動で取得する個人情報も忘れないようにしましょう。
顧客の個人情報
事業には必ず顧客が存在します。サービスの対象が企業であれ消費者であれ必ず人が存在しますから、会社としては事業遂行にあたって何かしらの個人情報を取得しているはずです。
会員申込書、受注データ、取引先情報データベース、顧客アンケートなど顧客から取得した個人情報は多岐にわたります。
プライバシーマーク(Pマーク)取得会社として個人情報の特定を行う際はこうした顧客関連の個人情報から洗い出していくというのも一つの方法です。
個人情報保護マネジメントシステム維持に必要な個人情報
プライバシーマーク(Pマーク)の運用のために新たに作成する個人情報があります。たとえば入退室記録や個人情報の開示申出書などです。
また情報システムのセキュリティを維持するために取得したり生成したりする個人情報もあります。バックアップ更新データやアクセスログなどがこれに該当します。これらは通常電子データですので見落とされやすいのですが、個人情報を含む場合がほとんどですのでやはり個人情報管理台帳に挙げる必要があります。
まとめ
大きなカテゴリとしては以上のように従業員の個人情報、顧客の個人情報、そして個人情報保護マネジメントシステム維持に必要な個人情報という3つがあります。
カテゴリから一つ一つ詳細な個人情報の内容を洗い出していくと個人情報の特定漏れをなくすことができるかもしれません。
・こちらの記事もおすすめです
→【Pマークって日本だけ?】
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
国内で感染が拡大しているエモテット「Emotet」についての対応
現在、国内で「Emotet(エモテット)」が猛威を振るっており、当社クライアントにおいて多数感染が報告され相談依頼が急増しております。 <IPA> https://w […]
株式会社三菱UFJ銀行で不正アクセス?原因と対策について解説!
株式会社三菱UFJ銀行は2019年10月25日に、提供しているサービス「LCMS」の認証システムで不正アクセスが発生したと公表しました。不正アクセスによって、顧客の個人情報などが流 […]
株式会社スタジオラインで不正アクセス?原因と対策について解説!
株式会社スタジオラインは2019年10月24日に、運営しているサービス「MODERN BEAUTY TOKYO」で不正アクセスが発生したと公表しました。不正アクセスによって、顧客の […]
株式会社JIMOSで不正アクセス?原因や対策について解説!
株式会社JIMOSは2019年10月15日に、運営していた「酒蔵.com」が何者かのサイバー攻撃を受けたと発表しました。サイバー攻撃によって、顧客の個人情報が流出し、二次被害が懸念 […]
ホビボックス株式会社で不正アクセス?原因と対策について解説!
ホビボックス株式会社は2019年10月9日に、運営している通信販売サービス「ECオーダー.com」が何者かによって不正アクセスを受けたと公表しました。不正アクセスによって、顧客の個 […]
