計画のなかで要求されている「個人情報の特定」についてみていきましょう

自社管理の個人情報を明確にする

個人情報の特定では、個人情報保護マネジメントシステム（PMS）を構築するうえで、
管理しなければならない個人情報を特定することを要求しています。
ですので、管理対象となる個人情報を具体的に把握する必要があります。

個人情報を洗い出す手段として、業務フロー図の作成や台帳を作成し整理する方法があるのですが、
業務フロー図は、入手から廃棄までの流れに沿って洗い出しするので、
特定漏れを防ぐことができます。
台帳は保管形態や取り扱っている部署などを整理し作成することで、
次の作業となるリスクアセスメントにも有効活用できます。

洗い出す際のポイントとして、「どこに？」、「どのような形で？」、「どのような形態で？」
といった項目があります。

＜どこに？＞
電子情報であれば、
サーバーに保管なのか？
PCに保管なのか？
CD/DVD、LTOなどの記憶装置に保管なのか？

紙媒体であれば、
キャビネットに保管なのか？
個人机に保管なのか？といった項目があります。

＜どのような形で？＞
紙媒体なのか？電子媒体なのか？などの媒体の形態を指し、
画像であれば写真なのか？ビデオテープなのか？または、音声テープなのか？などが挙げられます。

＜どのような形態で？＞
電子情報であれば、
装置やフォルダーなどに対してアクセス制御はされているか？

紙媒体であれば、
それぞれの保管場所について鍵などが付けられているか？などが挙げられます。

個人情報の特定は共通する特定手段などがないため、わかりにくい部分となっています。
特定漏れがないように、しっかりと洗い出しましょう。