Pマークの個人情報台帳にはどんな項目が必要ですか【Ｐマーク取得の基礎知識】

個人情報保護において重要なのは「何を」「何から」保護するかという視点です。

「何から」とは個人情報を守るうえで脅威となるものが何か、ということです。そして「何を」とは守るべきどんな個人情報があるか、ということです。

プライバシーマーク（Pマーク）においてもこの2つの視点は欠かすことができませんが、今回の記事では「何を」の部分、つまり守るべきどんな個人情報が自社に存在するのかという部分について少し考えてみましょう。

プライバシーマーク（Pマーク）取得会社は事業を進める中で取得する個人情報を把握するために「個人情報台帳」を作成しなければなりません。この台帳に自社が取得した個人情報の内容と管理方法をまとめていきます。

必ずしも一覧形式でなければならないわけではないのですが、情報を随時更新したり必要な時にすぐに検索したりすることを考えると、エクセルなど使って一覧形式にしたほうが取り扱いやすいかもしれません。

個人情報台帳にはどのような項目を設ける必要があるのでしょうか。

個人情報台帳に必要な項目①個人情報

「履歴書」や「サービス利用申込書」、「業務委託契約書」など、いわゆる個人情報の“名前”のことです。

明らかに属性が異なるものはそれぞれ別個にリストアップすべきですが、入手から処分に至るまでの管理方法が類似している個人情報については一つの項目にまとめても差し支えありません。「履歴書・職務経歴書」などがその例です。

個人情報台帳に必要な項目②利用目的

いかなる個人情報を取得する際にも利用目的を明確にすべきことはプライバシーマーク（Pマーク）の要求するところです。よって台帳に挙げられた個人情報には必ず利用目的を記入することができるはずです。これも項目として設けなければなりません。

ただしある程度カテゴリー化して記載しても構いません。「社員の労務管理」とか「商品発送」、「事務所来訪者の確認」という具合です。

個人情報台帳に必要な項目③保管方法

大きく分けて「紙」と「電子データ」があります。

個人情報台帳に必要な項目④保管場所

もし保管方法が紙媒体であれば、「営業部保管庫」といったようにどの部署または部屋のどの収納設備に保管するかというところまで明記しておくとよいでしょう。

もし保管方法が電子データであれば、コンピュータあるいはネットワークのどの領域に保存するかを明示してください。「ログ取得サーバ」や「経理部専用外付けHDD」のように、ということです。

個人情報台帳に必要な項目⑤アクセスできる者

アクセス権限を有する者についても個人情報台帳に記載する必要があります。「企画開発部」のように部署ごとに区切る場合もあるでしょうし、「会員管理担当者」のような業務担当者ごとの区分、あるいは「各部長」のような役職ごとの区分が必要な場合もあるでしょう。

個人情報台帳に必要な項目⑥利用期限

台帳には各個人情報をいつまで保管して利用するのかも一項目として記載します。

個人情報台帳に必要な項目⑦件数

プライバシーマーク（Pマーク）の規定では「50件」とか「300件/月」のような概数でも良いとされています。

個人情報台帳に必要な項目⑧その他

ここには挙げませんでしたが、「入手経路」や「廃棄方法」などの項目も作っておくとプライバシーマーク（Pマーク）の規定に沿ったリスク分析をしやすくなります。

そして個人情報台帳の内容は利用や管理に関する規定の変化に合わせて更新しなければなりません。

まとめ

規模の大きな会社にとって個人情報の特定は簡単な作業ではないかもしれませんが、いったい「何を」保護するのかという部分を明確にするうえで避けては通れないプロセスです。必要な項目を含めた個人情報台帳を作成することによって自社の取得する個人情報をしっかり特定するようにしましょう。

★こちらの記事もおすすめです！
→【シャレにならない新ルール（ＥＵの個人情報保護）【GDPRでISMS取得も有効な対策】】