プライバシーマークの取り組みの中で個人情報の一覧表を作成しますが、その一覧には個人情報の件数を記載する必要があることをご存知でしょうか。

すでに一覧があるという場合には、件数が記載されているかと思いますので、ぜひ確認してみてください。

では、その件数というのは、どうして書く必要があるのでしょうか。

また、どのように記載するのが良いのでしょうか。

今回は、個人情報の件数の表記について触れていきます。

なぜ件数の記載って必要なの？

プライバシーマークの取り組みの中では、リスク分析の重要度を図る際に件数を基準にすることが可能です。

1件しかない個人情報と1,000件ある個人情報とでは、実施すべき対策等が変わってくるわけです。

プライバシーマークの審査の中でも、リスク分析やその対策の妥当性を考える上で個人情報の件数を1つの基準として据えています。

そのため、件数の記載というのは必要となってきます。

どう表現すべき？

件数を記載するときによくあるのが、「累計」記載と「発生」記載です。

累計はその言葉の通り、個人情報の保持総数を記載する形です。

例えば50人分の従業員情報を持っている場合は、50件と書くようなイメージです。

発生ベースですが、これはその個人情報が会社にどれくらい入ってくるかを記載する形です。

例えば、毎月100件の注文情報を取得する通販会社であれば「100件/月」というかたちで記載します。

ちなみに1件のカウントですが、1人分の個人情報を1件とカウントする必要があります。

1つのリストに100名分の個人情報が記載されている場合、100件との記載が必要です。

累計・発生どっちを書く？

プライバシーマークの要求事項やガイドラインでは件数の特定を求めていますが、累計・発生どちらを記載するのかまでは要求されていません。

基本的にはどちらでもOKですが、累計・発生の両方を併記する形でも問題はありません。

たまにプライバシーマークの審査員によっては、両方とも記載するよう求めてくる方もいますが、それはまた別の問題として考えていただければと思います。。。

また、厳格に1ケタ単位で件数を表現する必要はありませんので、概数で問題はありません。

ただ、嘘になってしまうとダメなので、ある程度現実的に近い数字を記載する必要があります。