業務において大量の個人情報が含まれている個人情報の一覧を作成する機会があるかもしれません。これは個人情報管理台帳とも呼ばれることがあり、適切な方法で必要とされる項目を見定めて作成することがポイントです。
この記事では、個人情報の一覧の作成方法から、個人情報の細かな分類まで詳しく解説します。
また、個人情報保護法の改正に伴い企業が対応すべきポイントをまとめた資料を用意しましたのでぜひ無料でダウンロードしてくだされば幸いです。
改正法について徹底解説!企業がすべき対応が分かる!
個人情報保護法についておさらい
まず個人情報保護法についておさらいしましょう。
個人情報保護法とは、個人の権利・利益の保護と個人情報の有用性とのバランスを図るため2003年に作られた法律です。
法律が制定された当初は、5000人以上の個人情報をデータベース化して事業に利用している事業者のみに適用されていました。
しかし2017年5月30日の改正から、個人情報として扱っている人数に関わらず、個人情報を扱っているだけで、法律のルールが適用されるようになりました。
個人情報保護法では、基本理念を定めるほか、個人情報を収集する際には範囲や用途などについて同意を得るなどの民間事業者の個人情報の取扱いについて規定されています。
個人情報保護法にある個人情報の定義とは
個人情報保護法について紹介しましたが、同法律で保護している「個人情報」とは具体的にどのようなものなのでしょうか。これは同法律の第二条に記載があります。
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
個人情報の保護に関する法律より
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
ここでの「個人識別符号」とは、身体の一部の特徴を電子計算機のために変換した符号、またはサービス利用や商品の購入に割り当てられ、あるいはカード等の書類に記載された、対象者ごとに割り振られる符号のいずれかに該当するものが相当します。
身体の一部の特徴とは、指紋やDNAなどのデータであり、対象者ごとに割り振られる符号とは、マイナンバーやパスポートなどの個人に対して割り当てられる公的な番号などです。
個人情報の一覧
個人情報の一覧とは、会社で取り扱っている個人情報を洗い出して管理するための資料であり、個人情報管理台帳などと呼ばれています。
このような台帳が必要とされるのは、会社で扱っている個人情報にどんなものがあるのかを知らないままで、個人情報に対する保護対策は実施できないという理由からです。
たとえスタッフが自分一人で、自身の頭の中で全てを把握できていたとしても、目に見えた形(個人情報の管理台帳)を会社の情報として作成することが必要とされています。
これにより会社内における個人情報の共有がスムーズに行えるわけです。
個人情報の一覧をどのように作成していくか?
個人情報の管理台帳はどのように作成すればよいのでしょうか?
ひとつの方法として、個人情報のライフサイクルと業務の繋がりから考える方法があります。
個人情報のライフサイクルとは、個人情報を取得してから廃棄するまでの一連の流れのことなのですが、個人情報の管理台帳を作成する際は、個人情報を扱う業務で個人情報を洗い出し、そこで出てきた個人情報のライフサイクルで詳細な一覧を作成してきます。
そうすることにより、個人情報の洗い出しに漏れがなくなりますし、各業務の担当者でも個人情報を洗い出すことが可能になってきます。
個人情報の一覧には具体的にどんな情報が必要か?
具体的には、下記の項目を埋める形で作成していきます。
他にも会社で管理していくうえで、必要と思われる項目があれば取り入れてください。
ただし、項目が多すぎたりすると台帳が複雑になってしまい、見直しや管理が難しくなってしまうので、注意しましょう。
個人情報名 | 会社で扱っている個人情報(類似した内容であればグルーピングも可能です) |
---|---|
属性 | 個人情報にどんな情報が含まれているか?(氏名、住所など) |
媒体 | 紙、電子データ、記憶媒体(USBメモリ、HDDなど) |
業務 | どんな業務で利用しているか?(総務、経理、人事など) |
利用目的 | 何に使用しているのか?(顧客管理、従業員管理、採用選考など) |
保管場所 | 金庫、キャビネット、PC、携帯電話内、外部記憶媒体など |
廃棄の手段 | 粉砕、溶解、シュレッダー、消去など |
アクセス権限 | 誰がこの情報を扱うことができるのか?(業務関係者の全て、社長のみなど) |
利用期限 | 保管期間など(退職するまで、顧客に渡すまで、2年間保管など) |
上記の内容で、個人情報名を縦軸、その他の情報を横軸で記載していくと、すっきりとした一覧が作成できると思います。
個人情報の一覧を作成する際には、次のような個人情報の分類にも着目しましょう。
個人データ
個人データとは、「個人情報データベース等」を構成する個人情報のことです。
「個人情報データベース等」とは、保存されている特定の個人情報を検索できるように構成されている、個人情報が集合したものです。
データベースと言っても、コンピュータで保存されていなくても、紙媒体においても整理・分類されていれば、個人データベース等に分類されます。
個人情報データベース等を構成しているのが、個人データです。
そのため個人情報データベースを印刷された個人情報は個人データに該当します。
しかし、個人情報データベースに入力する前の個人情報は、個人データには該当しませんので区別しましょう。
要配慮個人情報
要配慮個人情報とは、不当な差別や偏見を発生させるような個人情報は、個人情報の中でも特に取り扱いに配慮が必要とされる情報のことです。
具体的には、人種・信条・社会的身分・病歴・前科・犯罪被害情報・障害など情報や、健康診断結果などもあたります。
しかし国籍や本籍地については、単独で要配慮個人情報にはあたらないとされています。
匿名加工情報
匿名加工情報とは、特定の個人を識別できないように個人情報に加工を加えた情報のことです。
これにより特定の利用目的以外での情報の利用や第三者への提供が可能になります。
仮名加工情報
仮名加工情報とは、令和2年の改正個人情報保護法で新設されたものです。
これは他の情報と照合しない限り、特定の個人を識別できないように、個人情報を加工して得られる個人に関する情報のことです。
匿名加工情報に比べると加工のプロセスが少なく、制限なく利用目的の変更が可能であり、取り扱いの規律も匿名加工情報より緩和されています。
その一方で、仮名加工情報の作成には、利用目的をできるだけ特定して公表する必要があり、内部での分析だけに活用できるなど、第三者提供が制限されています。
まとめ
個人情報の一覧の内容について、その内容と作成方法、含めるべき具体的な項目について詳しく解説しました。
個人情報と一口に言っても、さまざまな要素があります。
個人情報の一覧を作成する場合には、業務で必要な情報を見定めて、見直しや管理が複雑にならないような工夫が重要です。
また、個人情報保護法の改正に伴い企業は自社のプライバシーポリシーや規定を変更するなどの対応が必要となってきます。
どう対応すればいいのか悩んでいる方に向けて、対応すべきポイントをまとめた資料を作成しておりますのでぜひ無料でダウンロードして参考にしてくだされば幸いです。