台帳の中での個人情報カテゴリ【Pマーク取得の基礎知識】

プライバシーマーク(Pマーク)(Pマーク)の要求事項に「個人情報の特定」というものがあります。「個人情報の特定」とは自社にどのような個人情報があるのかを洗い出して明確にすることです。
実のところ個人情報保護マネジメントシステムのすべての活動は個人情報の特定を抜きにして始めることはできないといっても過言ではありません。プライバシーマーク(Pマーク)取得の取り組みのかなり早い段階で「まずは会社の中にどのような個人情報があるのかを特定しましょう」という話になるのもそのためです。
個人情報を特定したら、次は特定した個人情報を可視化します。プライバシーマーク(Pマーク)の要求に出てくる「個人情報管理台帳」とはそのようにして特定した個人情報をリストアップした台帳のことです。
個人情報管理台帳の作成で頭を悩ませる企業様もいらっしゃいますが、今回は個人情報の特定をスムーズに進めるためのコツとして、社内に存在する個人情報を大まかに分類した時にだいたいどのようなカテゴリに分けられるかを把握しておくという点に注目してみたいと思います。
従業員の個人情報
プライバシーマーク(Pマーク)を取得する会社の場合は必ず会社に従業員が存在します。従業員がいるということは会社で従業員の労務管理を実施しているということです。つまり会社には必ず従業員から取得した個人情報があるということです。
履歴書をはじめ給与情報、社会保険関係書類などが会社で管理されているはずですので、個人情報管理台帳を作成する際まずはこのような従業員関連の個人情報を洗い出しましょう。
また応募書類など会社の採用活動で取得する個人情報も忘れないようにしましょう。
顧客の個人情報
事業には必ず顧客が存在します。サービスの対象が企業であれ消費者であれ必ず人が存在しますから、会社としては事業遂行にあたって何かしらの個人情報を取得しているはずです。
会員申込書、受注データ、取引先情報データベース、顧客アンケートなど顧客から取得した個人情報は多岐にわたります。
プライバシーマーク(Pマーク)取得会社として個人情報の特定を行う際はこうした顧客関連の個人情報から洗い出していくというのも一つの方法です。
個人情報保護マネジメントシステム維持に必要な個人情報
プライバシーマーク(Pマーク)の運用のために新たに作成する個人情報があります。たとえば入退室記録や個人情報の開示申出書などです。
また情報システムのセキュリティを維持するために取得したり生成したりする個人情報もあります。バックアップ更新データやアクセスログなどがこれに該当します。これらは通常電子データですので見落とされやすいのですが、個人情報を含む場合がほとんどですのでやはり個人情報管理台帳に挙げる必要があります。
まとめ
大きなカテゴリとしては以上のように従業員の個人情報、顧客の個人情報、そして個人情報保護マネジメントシステム維持に必要な個人情報という3つがあります。
カテゴリから一つ一つ詳細な個人情報の内容を洗い出していくと個人情報の特定漏れをなくすことができるかもしれません。
・こちらの記事もおすすめです
→【Pマークって日本だけ?】
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
国内で感染が拡大しているエモテット「Emotet」についての対応
現在、国内で「Emotet(エモテット)」が猛威を振るっており、当社クライアントにおいて多数感染が報告され相談依頼が急増しております。 <IPA> https://w […]
リクナビが個人情報漏洩事故でPマーク取り消し。予想される影響
以前も発生当時に投稿させていただきましたリクナビ問題についてです。 本日動きがございましたので解説していきたいと思います。 リクルートキャリアが運営するリクナビが、就活生の内定辞退 […]
【MEDIS】健康診断事業を行う病院(診療所)のPマーク取得のメリット
個人情報を適切に取り扱う体制の構築を証明できるMEDISのPマーク。取得を検討しているものの、申請に通過するかどうか不安に感じている方もいるでしょう。今回は、健康診断事業を行う病院 […]
株式会社マーケティングアプリケーションズで不正アクセス?原因と対策を解説!
アンケートリサーチサービスなど、市場調査業界で大きなシェアを持つ「株式会社マーケティングアプリケーションズ」が2019年5月24日に、不正アクセスを受けたと発表しました。不正アクセ […]
株式会社スープレックスで不正アクセス?原因や対策について解説!
株式会社スープレックスは2019年9月10日に、運営している「なんとかデータベース(ラーメンデータベース)」が外部から不正アクセスを受けたと発表しました。不正アクセスによって、顧客 […]