こんにちは。

今回は「個人情報保護マネジメントシステム(PMS)のPDCAサイクルを徹底解説！＜Plan編＞」の続きです。

前回はプライバシーマークを取得するにあたって、基本中の基本である個人情報保護マネジメントシステムと、それを構築・運用するためのPDCAサイクルの「P」についてお伝えしました。

今回はPDCAサイクルの「D」についてお伝えします。

Do：実行

個人情報保護マネジメントシステムにおけるPDCAサイクルの「D」は「Do(実行)」を意味します。

では、何を実行するのか、お伝えします。

個人情報の利用目的を特定

個人情報の利用目的を規定しましょう。

例えば、「従業員の個人情報は雇用管理業務でのみ利用する」、「採用応募者の個人情報は採用選考でのみ利用する」といったことです。

規定した利用目的以外で個人情報を利用してはいけません。

極端ですが「採用応募者の個人情報を私的な目的のために利用する」といったことはNGです。

個人情報を適正な方法で取得

個人情報を不正に取得してはいけません。

例えば、「不正アクセスして個人情報を取得する」、「巧みにだまして個人情報を取得する」といったことはしてはいけません。

機微情報の取得に注意

機微情報(人間の内面に関わる情報。健康情報・信仰している宗教、本籍地など)は極力取得しないようにしましょう。

健康情報は会社で保有しておかなければならないので、そういった必要最小限以外の機微情報は、取得NGです。

同意書の取得

従業員や採用応募者から直接個人情報をもらうときは、その個人情報の利用に関する同意を得ましょう。

個人情報を直接もらうときは同意が必須となります。同意を得られていない個人情報の利用はNGです。

利用目的の公表

会社にある全ての個人情報の利用目的を公表しましょう。

個人情報の利用目的を変更、本人に接触する、提供する場合について

上記に該当する場合、新たに本人から同意を得なければなりません。

個人情報を正確かつ最新の状態で管理

個人情報の誤入力に注意する、個人情報の保管期間を決め不要になれば廃棄する、個人情報の取扱い方を見直す(紙媒体から電子媒体に変わったなど)ことが重要です。

個人情報を安全に管理

紙媒体はキャビネットで施錠保管する、パソコンにはウイルス対策ソフトを入れる、来客者記録をつけるなど、個人情報を安全に管理するために必要な対策を規定することが重要です。

従業員の監督

個人情報を不正に持ち出して利用しないようにする、退職後であっても個人情報を漏らさないといった内容が盛り込まれた誓約書類を従業員と締結する、といったような対応が重要です。

委託先の監督

社労士や税理士に個人情報を利用する業務を委託している場合は、委託先の監督が必要です。

委託先の情報セキュリティ対策を評価したり、秘密保持の契約を結んだりすることが重要です。

個人情報の開示等請求対応

個人情報を取得した場合、当該個人情報の本人から下記のような開示等請求を受ける可能性があります。

手順を整備し、Webサイトへ公表するなどの対応をおこないましょう。

• 個人情報の利用目的が知りたい
• 取得されている個人情報の内容が知りたい
• 個人情報の内容を修正してほしい
• 個人情報を今後は利用しないでほしい

従業員教育

プライバシーマークは、本社・支社含め、全社で取り組む必要があります。

そのため、おのずと全従業員への教育が必須となります。

個人情報保護マネジメントシステム文書の作成・管理

個人情報保護マネジメントシステムで利用する規程・マニュアル、様式・記録類は文書化して、適切に管理しなければなりません。

電子媒体でも紙媒体でもどちらでも問題ないですが、必ず文書化して、管理する必要があります。

苦情相談対応

万が一、個人情報の取扱いに関して苦情があった場合のために、苦情相談対応手順を整備しておく必要があります。

苦情を受け付ける手順をWebサイト等に公表し、苦情相談対応記録など必要な様式を作成し、備えましょう。

ここまでがPDCAサイクルの「D」に当たります。

次回はPDCAの「C」について解説していきたいと思います。

それでは！