個人情報の特定をし、必要な管理を施すことは、漏えい事故などの望ましくない事態を防ぐために必要なことです。個人情報は台帳管理を原則としますが、台帳の作成の前提条件としてどうやって個人情報を特定するかが問題になります。量も多いことが考えられますので、正しい手順を踏んで漏れなく特定していきましょう。
個人情報の特定の手順から、台帳の作成の一歩手前までの手順につきまとめてみました。特定~情報整理の手順にお悩みの皆様の参考になれば幸いです。
まずは現状分析から! 現役コンサル作成の30項目!
個人情報の定義をおさらい
個人情報の特定のためには、個人情報の定義のおさらいをしておきましょう。
個人情報とは、個人情報保護法上の定義では、個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって、特定の個人を識別できるもののことをいいます。
これはとても広い概念であり、極端な話、フルネームが書いてあれば個人情報になります。およそ個人の顧客や取引先関連書類で、氏名が記載されていない書類などはほとんどありません。
こうした個人情報とは会社のどの情報をいうのか、どこにあるのか、どんな管理をしているか、棚卸をして整理する一連の業務を「個人情報の特定」といいます。
個人情報の特定はPマーク取得における第一の山場
プライバシーマークを取得しようとする際、業務の第一の山場として個人情報の特定をあげることが出来ます。しかし、実際には、日々やり取りする全ての個人情報を特定することは不可能といえ、実務的には「会社にとって重要な個人情報」を特定することになります。
Pマーク(プライバシーマーク)・JISQ15001:2006の要求事項にも「自らの事業の用に供するすべての個人情報を特定するための手順を確立し、かつ、維持する」との記載があり、この記載に従って考えると「事業の用に供する」ものであることが必要です。
顧客情報・人事情報といった事業用の重要情報については可能な限り精緻な特定を行い、その他の例えば取引先の担当者情報などは、業務の他の情報と一緒に管理する、などと整理することが一般的です。表現を変えると、会社の業務で使う個人情報ということができます。
このように整理したり、どこまで精緻に把握するか・どこから手を付けるかなどの優先度を決めた後、社内にある個人情報としてどういったものがあるのかを洗い出し、一覧として台帳化していくことになります。
個人情報の特定は業務フロー図の作成から
個人情報を特定する時にまず行うこととして多いのが「業務フロー図」の作成です。
業務フローを抽象的な図で書き、その中でどんな個人情報を使い、どのように保管・廃棄しているのか、確認する方法です。
業務フロー図を描く理由ですが、実はPマークを取得するうえでは非常にスムーズに特定を進めるための道具として有効なのです。
業務についての流れを把握すると「なぜこの情報は法定保存年限を過ぎても保管するのだろう?」あるいは「この入力処理を一つ一つ手作業で進める意味はあるのだろうか」など、個人情報の管理の上でも、また業務管理の上でも効率性・安全性の観点から疑問が出てくることがあります。
そもそも情報を多く持っていることはリスクを抱え込むことです。できることなら総量は減らした方がよいと考えられます。また、情報が人目に触れる時間が長ければ長いほど、安全性は落ちると考えてよいでしょう。効率性からも多すぎる情報や、暴露時間が多い情報は、問題があるのではないか、と考えられます。
フローを書いている間に、問題意識をもって業務の現状を把握・管理を効率化し、保存などの手間を減らしたりしながら個人情報の特定を行うと、Pマーク取得のためにより安全な管理ができるようになります。それと同時に、全体の業務改善まで達成できるという効果が得られます。
個人情報の特定にはガイドライン参照も必要
個人情報を特定する上では、「業務フロー図」だけでは台帳記載に十分なまでの個人情報の特定は行えません。台帳は、ガイドラインやPマークに定められたを参考にして項目を決めて作成するべきものであり、フローを書いただけでは項目決めは完了していないためです。
業務フローで特定するのは、これが個人情報であるかないか、のレベルの特定であり、さらにどの項目を管理台帳に掲載し、管理を行うのか決めておく、という意味での特定が必要があります。
管理の必要性から、特定しておくべき情報としては、以下のような情報があげられます。Pマークの取得には最低限これらの項目は必要と考えられます。
ただし、項目を決めるこの段階では、具体的な記載までは特定せず、あくまでも記載項目に絞って決めておくことが作業のコツです。
台帳記載の項目例
個人情報名 | 情報が特定できるだけの名称を記載 |
---|---|
属性 | 氏名、住所など |
媒体 | 紙、電子データ、記憶媒体 |
業務 | 総務、経理、人事 |
利用目的 | 顧客管理、従業員管理、採用選考 |
センシティブ情報の有無 | あり・なし |
保管場所 | 書庫・金庫、PC、携帯電話内、外部倉庫など |
廃棄の手段 | 粉砕・償却など具体的な手段 |
アクセス権限 | 部長以上限り・~グループ限りなど |
利用期限 | 法定保存年限・その他社内ルールに従った年限、退職するまでなど |
この段階でも気付くことと思いますが、今後上記の各項目の管理の方法を決めておく必要があるが、まだ管理していない個人情報もありますし、その一方で今後も管理の必要がないと考えられる情報もあります。
経済産業省の個人情報ガイドラインを参考にすると、他人が作ったデータベース・電話帳など、住所氏名電話番号などが掲載されていて、不特定多数のものが購入可能なもの・事業者自らが加工しないデータベース情報などは、特定・台帳管理を行わなくてよい情報と考えられます。
個人情報の特定ができた後は各情報の状況整理
保護の対象とすべき情報と、管理対象とする項目が決まると、次は実際の情報の管理状況の確認と整理が必要になります。個人情報の中にどういった項目が含まれるかや、利用目的はなにか、保管場所はどこか、などを情報を実際に見て確認します。
前の項でご紹介した台帳記載の項目は、管理すべき項目の一部に管理漏れがある・管理状況が良くないなど、現状把握を正確に行うことがここではポイントです。この後のリスク分析や管理策を検討して行くうえでも重要な参考情報を提供する元になります。
また、ここまで確認が済むと、確認済みの情報の整理を進めるシート=台帳という状況に近くなってくるものと考えられます。より台帳を更新・管理しやすくするシステム化を進めるのも個人情報の管理状態をよくする方法ですので、検討してみるとよいでしょう。
まとめ
以上をまとめると個人情報の特定には、
- 個人情報を含んでいるかどうか情報の特定
- 個人情報の管理項目の特定
- 情報ごとの管理状態の特定
と3つの特定がある、といってよいでしょう。
1~3 までの特定がすすめられれば、台帳作成や、台帳による個人情報の管理を進めることは、着手前よりもハードルが下がった業務になるのではないでしょうか。
Pマークの取得目的以外にも業務改善が進められることも多くの例でみられることですので、ぜひこの手順を生かして、個人情報の管理レベルを上げると同時に、業務改善を目指してみましょう。
また、貴社のセキュリティ状況を把握していただくためのセキュリティチェックリストをこちらにご用意しております。現役情報セキュリティコンサルタント作成の14分野30項目となっており、項目ごとに5段階評価と詳細な分析が可能です。
貴社のセキュリティ向上に向けて、まずは無料でダウンロードして状況把握していただけますと幸いです。