Pマーク(プライバシーマーク)新規取得の基本テク集No1:個人情報の見つけ方7つの基本


いつもご愛読ありがとうございます。
ISO総合研究所コンサルタントの下です。

今回はPマーク(プライバシーマーク)新規取得の際の、個人情報の見つけ方(特定の仕方)についてご紹介いたします。

個人情報の定義

Pマーク新規取得に向けてまずは自社の取扱いのある個人情報について洗い出す必要があります。
個人情報とは「JISQ15001(ジスキュー15001)」では次のように定義しています。

『個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの(他の情報と容易に照合することができ、それによって特定の個人を識別することができることとなるものを含む。)。』

「氏名」が含まれると個人情報として特定する必要がありますので氏名の記載があるとほとんどを特定する必要があります。
また、姓(名字)だけでは誰かを特定できませんが、その姓(名字)に「○□△会社に勤務」「東京都○△区○△町△番地在住」などのプロフィール情報が加われば、その人が誰であるかを特定できます。つまり、「個人情報」となります。

JIS Q 15001の定義には、「他の情報と容易に参照することができ、それによって特定の個人を識別することができることとなるものを含む」という”ただし書き”があります。

それはどのようなケースを表しているのでしょうか。
例えば、予備校などが実施する模擬試験を考えてみましょう。

試験の結果の一覧表に「学校名」「学籍番号」「テストの結果」だけが記載されている場合、一般の人がこの一覧表を見ても、誰の情報かはまったく分かりません。
しかし、一覧表に記載された学校の関係者であれば、校内の学籍簿を見て、学籍番号を参照すれば、どの生徒の試験結果であるかをすぐに特定できるのです。

これが、JIS Q 15001の定義にある「他の情報と容易に参照することができ、それによって特定の個人を識別することができることとなるものを含む」という内容に該当するケースです。

このように単独の情報(上の例では、試験結果の一覧表)では「個人情報」と呼べない情報でも、他の情報(同じく、校内の学籍簿)を参照することで個人を特定できる場合も、「個人情報」となります。

個人情報を見つける7つの切り口

自社の個人情報を洗い出すことで取扱い方法を定め、リスクを認識することが出来ます。
大きく分けて7つの個人情報を見つける切り口があると思います。

①業務の流れから洗い出し

普段の業務の一連の流れを書き出して個人情報を特定してきます。
個人情報がどこから入ってきて、どこへ移送して、どのように利用し、どこへ保管し、どのように廃棄するのか、どこへ出ていくのかを業務フローに起こしながら洗い出していきます。
個人情報を利用・加工して複製物の個人情報が発生するものも特定します。

②受注のタイミング

受注のタイミングで発生する個人情報を特定します。
担当者の個人情報などです。

③情報を預かるタイミング

取引先から業務を受注した業務の中で発生する個人情報を特定します。
例えば業務を受託して人材を受け入れる際に預かる「派遣先台帳」や、名刺作成で預かる「名刺情報」等です。

④社内的に必要な個人情報

どこの企業でも取扱いのある従業者の個人情報を洗い出します。
従業者の「履歴書」や「保険情報」など主に総務部で管理しているようなものが該当します。

⑤委託する個人情報

配送業者に預ける配送伝票情報やレンタルサーバに保管する個人情報が該当します。

⑥生産活動の中で利用する個人情報

お客様先で利用する個人情報が該当します。

⑦プライバシーマークの要求事項で必要なもの

意外と忘れやすいのがPMS(個人情報保護マネジメントシステム)運用で発生する個人情報です。
教育テストや入退出記録も個人情報として特定が必要です。

上記の切り口で個人情報を見ていくと一通り確認ができるかと思います。

最近の審査でよく特定漏れと指摘される個人情報

最近の審査でよく特定漏れとして下記の個人情報が指摘されています。

「バックアップデータ」
社外サーバやUSBなど媒体ごとに特定する必要があります。

「健康診断結果」
健康情報は機微な情報になりますので承認も必要です。

「名刺」

「履歴書」
従業者の個人情報もそれぞれ特定が必要です。名刺は交換して頂く取引先のものも特定します。

「同意書」

「誓約書」

「教育テスト結果」
PMS(個人情報保護マネジメントシステム)運用の為に必要な個人情報です。

「社用携帯」
最近はスマホが普及し電話帳情報だけでなく社内のデータも閲覧できるようなシステムもありますので特定が必要です。

まとめ

個人情報の特定はPMS(個人情報保護マネジメントシステム)運用において一番初めに取り掛かる作業です。

個人情報をしっかりと特定しないとその後のリスク分析や委託、内部監査の際にも全て漏れてしまいます。
しっかりと自社で取扱いのある個人情報を認識してPMS(個人情報保護マネジメントシステム)を適切に運用していきましょう。

弊社ではPマークの新規取得以外にも現状運用中でご相談がおありのお客様のお手伝いもさせて頂いております。

PマークやISOでお困りのことがございましたら下記よりお気軽にご相談ください!

■ちょっと聞きたいことがあるんだけど…という方
お気軽メールお問合せフォーム

■とにかくうちの場合はどうすればいいの?という方
無料でコンサルタントが伺います!


【Pマーク総研】メールマガジン登録

Pマークに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス