コンテンツへスキップ
組織的・人的セキュリティ 002

個人情報の管理(管理台帳)

出題ポイント

  • 個人情報取扱手順書→個人情報棚卸し→個人情報管理台帳作成
  • 管理すべき個人情報を最初に定義
  • 管理レベルは機密性に応じて設定
  • ラベリングも全社統一
  • 不要な個人情報は廃棄、重複情報は一本化、管理レベルに合わせたファイル分割

個人情報管理台帳で管理する

個人情報を管理するには、まず、どのような個人情報を取得・保有しているのかを把握する必要があります。また、個人情報にもさまざまありますからその重要度に応じた管理をすべきで、どのような管理をすることにしたのか明確にしておく必要があります。

そこで、経済産業省ガイドラインが「個人データの取扱い状況を一覧できる手段の整備」を安全管理措置としてあげていたように、個人情報を台帳に整理して一元管理することが重要です。

まずは手順書

管理台帳のキモは一元管理です。

したがって、部署ごとにバラバラのものを作ってはいけません。個人情報の取扱いがまちまちになってはいけませんし、モレがあるのもまずいからです。そこで、個人情報を管理台帳に登録する基準と手順を最初に決めます

機密性に応じた管理レベルを設定

個人情報の安全性と利便性はトレードオフの関係にあります。安全性を重視して厳重に管理することにしすぎると手続が煩雑になり、個人情報を参照するのが面倒、ということになりかねません。

そこで、個人情報の機密性に応じた管理レベルを設定します。

顧客の信用情報、人事情報や大規模に集積した個人情報などは、漏えいしてしまうとその影響が大きいですし、企業内でも取扱いが必要となる部署が限られますので、管理レベルを「関係者外秘」とします。

会社案内・商品案内にも個人情報が含まれることがありますが、これらはそもそも一般に広く公開することを目的として作成されるものですから機密性は低いので、管理レベルを「公開」とします。

両者の中間に位置する情報、例えば取引先担当者の名刺など、公開を前提とするものではないが社内で共有する必要性が高い個人情報については、管理レベルを「社外秘」として管理します。

ラベリングも全社で統一

個人情報の取扱いを適切にするため、「社外秘」「関係者外秘」などの管理レベルをファイルにラベリングすることが有効です。

また、ラベリングの表記方法がバラバラにならないようにするためには、表記のルールも手順書に明記するべきです。

手順書ができたら個人情報の棚卸し

手順書が完成しましたら、手順書に従って保有する個人情報の棚卸たなおろしをします。個人情報の棚卸しで重要となるのは以下の点です。

保有対象を定期的に見直す

経営方針や業務内容の変更により、個人情報の保有が不要となる場合があります。このような不要な個人情報は廃棄すべきです。利用しない個人情報であっても漏えいリスクや管理コストはかかるからです。

重複データは廃棄

原本とコピーを別々に保管している場合があります。可能な限り一本化して重複しているものは廃棄すべきです。管理台帳と実際の管理に齟齬がでる危険があるからです。例えば管理台帳上はすでに廃棄したことになっていてもコピーを綴ったファイルが別に存在すると結局個人情報を保有し続けていることになりますよね。

管理レベルごとにファイルを分割

管理レベルの異なる個人情報がひとつのファイルに混在している場合、ファイルを分割すべきです。管理レベルに応じた取扱いができなくなるからです。

個人情報管理台帳を作成

手順書を作成してそれに応じた個人情報の棚卸し整理がすみましたらいよいよ個人情報管理台帳を作成(修正)します。

以後は個人情報を取得・廃棄するたびに個人情報管理台帳を更新して、どのような個人情報をどのような形式で何件保有しているのか明確に分かるようにします。


コメントを残す

メールアドレスが公開されることはありません。