【記載例あり】個人情報管理台帳とは?作成方法やポイントを解説
- 個人情報管理台帳は、個人情報を管理するための台帳のこと
- 個人情報管理台帳は「個人情報の特定」をする過程で作成する
さまざまなサービスにおいて、お客様の個人情報を預かる事業形態の企業が増えています。自社の従業員や求職者、取引先だけでなく、消費者の個人情報までを保護・管理しなければなりません。
そのため管理体制が構築・運用できていることを示すためにPマークを取得する企業が増えています。Pマークで活用することが求められているのが、個人情報管理台帳です。
そこで、この記事では個人情報の定義や個人情報管理台帳の作成方法、作成のポイント、記載例を解説します。
目次
そもそも個人情報とは
個人情報とは、特定の個人を識別できる情報です。例えば、フルネームや住所、生年月日などが挙げられます。
最近ではさまざまなサービスを受けるうえで、個人情報を企業に預ける必要があります。そのため、企業は個人情報を適切に管理することが求められています。
個人情報保護に関する規格「Pマーク(プライバシーマーク)」とは
個人情報保護の第三者認証
で認知度が高いものに「Pマーク」が挙げられます。
Pマークは個人情報保護マネジメントシステム
(PMS:Personal Information Protection Management Systems)に関する日本国内でのみ有効な規格
です。
Pマークは、個人情報に対する「漏えい」「滅失」「棄損」などのリスクマネジメント体制を構築しているアピールにつながる有効なツールとして、多くの企業が取得に動いています。
Pマークの詳細は、以下の記事をご覧ください。
個人情報の管理:個人情報管理台帳とは
個人情報管理台帳とは、個人情報を管理するために利用目的や保管場所などをまとめた台帳のことです。
「自社にどのような個人情報があるのか」「個人情報を保護するうえで脅威になるリスクとは」を明らかにするうえで、個人情報管理台帳は欠かせないツールです。そのため、Pマーク取得において、個人情報管理台帳の作成が求められています。
Pマークの要求事項では、個人情報管理台帳は少なくとも年に1回は確認し、最新の状態で維持されなければならないと定義づけられています。しかしPマークの取得審査では、個人情報の特定漏れを指摘される企業もあります。定期的に振り返り、新しい個人情報の記載や不要になった個人情報を削除しましょう。
個人情報管理台帳に記載する主な項目一覧
個人情報管理台帳に記載する主な項目をまとめました。
- 個人情報名:履歴書や同意書など情報を特定する名称
- 属性:氏名、住所など
- 利用目的:顧客管理、従業員管理、誓約確認など
- 保管方法:紙、電子データなど
- 保管場所:保管庫、人事部パソコン、サーバーなど
- アクセス権限:人事担当や総務部など
- 利用期限:退職や契約終了までなど
- 備考
こうした項目を記載することで、管理すべき情報が明確になります。しかし、中には管理台帳に掲載すべき情報かどうか迷う場合もあるでしょう。その場合には、経済産業省の個人情報ガイドラインも参考にしても良いでしょう。
例えば、以下のような情報は個人情報に該当しない事例として紹介されています。
- 企業の財務情報等、法人等の団体そのものに関する情報
- 記号や数字等の文字列から特定個人の情報であるか否かの区別がつかないメールアドレス情報 (例えば、abc012345@xyzisp.jp。ただし、他の情報と容易に照合することによって特定の個人を識別できる場合は、個人情報となる。)
- 特定の個人を識別することができない統計情報
個人情報管理台帳の作成方法
個人情報管理台帳の作成は、「個人情報の特定」の中で実施されます。そのため、ここでは「個人情報の特定」を解説します。
1.ガイドラインを確認する
まずは、Pマークのガイドラインを確認しましょう。
Pマークの概要や要求事項を正しく理解することで、適正な個人情報管理台帳の作成につながります。
2.業務フロー図の作成
個人情報を特定する際、まずは業務フロー図を作成します。
業務フロー図を書き、プロセスごとにどのような個人情報を活用し、管理・廃棄しているのかを確認します。
個人情報を思いついた順番にピックアップすると、何かしら漏れが生じるかもしれません。しかし、業務の流れに沿って特定することで、個人情報の漏れを防ぎ、情報の整理整頓がしやすくなります。
3.個人情報管理台帳のフォーマットを作成
次に、個人情報管理台帳のフォーマットを作成します。
先ほど紹介したような項目は最低限入れつつ、その他に自社に必要な項目があれば追加した一覧表を作成しましょう。その際には、実際の個人情報の管理状況を確認し、どの項目の管理が必要かを見極めてください。できる限り現状把握を正確に行うことで、利用しやすい台帳になるでしょう。
また、項目数が多すぎると管理が大変です。従業員が作業しやすいように必要最低限の項目を選定して台帳を作成することがおすすめです。
4.個人情報の洗い出し・項目を入力する
フォーマットを作成したら、自社の抱える個人情報を記載します。
個人情報管理台帳は記入したら終わりではなく、定期的に確認し最新版に保つことが求められます。
また、最終更新日を記入し、いつ時点で最新のデータなのかも可視化してください。
個人情報管理台帳の作成ポイント
ここでは、個人情報管理台帳を作成する際に注意すべきポイントを紹介します。
「個人情報の特定」は、管理できる範囲で行う
個人情報の特定といっても、日々の業務にかかわるすべての個人情報を特定することは難しいでしょう。そのため、会社の実務的に重要となる個人情報を特定します。
Pマーク(JISQ15001:2006)の要求事項にも、「自らの事業の用に供するすべての個人情報を特定するための手順を確立し、かつ、維持する」との記載があります。ここにある「事業の用に供するすべての個人情報」を見極める必要があります。
具体的には会社で働く社員の人事情報や顧客情報は非常に重要な情報です。また、企業の多くは取引先の担当者の情報などは業務の情報とともに管理するようにしましょう。
業務フロー図から「個人情報の特定」を行う
手順にも紹介しましたが、個人情報の特定は業務フロー図から行いましょう。業務フロー図を実施することで、管理方法を見直す機会にもなります。
例えば、「この情報の保存期間は法定保存年限に沿っているのだろうか」「物理的に保管するよりも安全な保存方法があるのではないか」といった疑問をもつことで、より良い管理方法が見つかるでしょう。
このように、業務フロー図を作成するとともに、管理方法を検討しながら個人情報の特定を行うことで、管理における安全性を高め、業務効率化につながることもあります。
個人情報管理台帳の記載例
個人情報管理台帳の記載例を紹介します。
上記は一例です。紹介したすべての項目を入力したうえで、企業によってはさらに必要な項目もあるでしょう。自社に適した管理項目を設定する際の参考にしてください。
まとめ
企業は個人情報を保護するために日々管理台帳を運用することが求められています。
その際に、個人情報管理台帳を作成することで、管理しやすくなります。Pマークを取得する場合には個人情報管理台帳の作成が必須です。自社で管理できる範囲で個人情報を正確に特定しましょう。
Pマークを取得する場合、コンサルティング会社にサポートを依頼することで個人情報管理台帳の作成もスムーズに進みます。プロのアドバイスを受けつつPマーク取得を目指してみてはいかがでしょうか。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい