個人情報の管理手順について | 企業の個人情報保護法への取組と事例:2018年版(6)

個人情報の管理手順について | 企業の個人情報保護法への取組と事例:2018年版(6)

イントロダクション

個人情報取扱事業者の安全管理措置について」において、「組織体制の整備」「規律に従った運用」「確認する手段の整備」などの”やるべきこと”が定義されていますが、具体的にどのように実施していけばいいかは明記されていません。

実運用にのせるためには具体的な手順が必要になります。
今回は「規律に従った運用」をするための大前提となる個人情報の管理のための手順を考えていきます。

個人情報の管理について

個人情報を台帳管理する

個人情報を「管理」するためにまず必要なのは、そもそも保有している個人情報が詳らかになり、どこになにがあるか整理されることでしょう。
簡単に言ってしまえば台帳管理です。

企業として何を保持していているかわからずに「管理」することはできません。
備品管理や資産管理と同じように、情報を管理するものと捉える必要があります。

当然と言えば当然なのですが、実際総務部門や情報部門が全社の全ての情報を掌握しているかといえば難しいかもしれません。
個人データには電子データ化されたものもあれば、紙媒体のものも存在します。
営業が作成している顧客アンケートにどのような項目が設定されているのか。
マーケティングのために収集されているデータにどの程度のアクセス権が設定されているのか。
業種業態、部門によって保有している内容や目的は様々ですし、こうした制度ができる前から行われている管理ルールもあります。

それらを横断的に同じ観点で管理するには、体制と手順が不可欠です。
体制については次回お話ししていきたいと思いますが、基本的には役員の旗振りの下で部門横断的な組織が必要になります。
その上で均一な観点での台帳となるよう手順を作る必要があります。

台帳管理手順を作る

台帳で管理すべき内容は、1件1件の情報ではなく個人情報データベース単位にどのような項目のデータを保持しているのか、何件のデータが含まれているのか、どこに保管されていているのかなどがあります。

ここで重要になるのが「管理レベルの設定」です。

個人情報は正しく管理されなくてはいけませんが、それと同時に必要に応じて利用できる必要があります。
企業は個人情報を利用するために保有しているのであり、誰にも利用できないように後生大事にしまっているわけにはいきません。

利用と保護を両立させるのは難しいですが、情報の重要度と利用頻度に応じて管理レベルを設けていくことでこれを実現できるようにルール作りをしていきます。

具体的にはホームページやパンフレットなどで公開するような、社内外問わず誰でも利用できるもの、顧客の信用情報や社員の人事考課や健康診断結果のような特定の人にしか公開してはいけないもの、その中間で取引先の名刺など社内でのみ流通を可能とするもの、のように管理レベルを設定していきます。

管理レベルの基準としては前回紹介したような損害賠償額の算出モデルや以下のような管理基準を参考にしてみると良いでしょう。

これらの管理基準はあくまでも一般的な例のため、企業によっては保持していない情報があったり、例示されていないものもあるかもしれません。
各企業の保有情報に沿った管理レベルの設定が必要です。

管理レベル毎に管理基準を設けます。
例えばシステムの設定であれば必要な人しかログインさせないためのユーザー管理や端末管理、閲覧可能データを制限する権限管理、場合によっては利用に際してのセキュリティーゾーンの設定が必要です。
紙資料であればファイルの保管ルールやキャビネット等の施錠、書庫等の入退室管理などを定めます。

個人情報の棚卸し

個人情報の台帳管理に欠かせないのが棚卸しでしょう。
最初に台帳を作成する場合にはもちろん、定期的に保有状況を確認して台帳を最新化する、台帳と照らし合わせて不要になった個人データの整理を行うなど、継続的な棚卸しが必要です。

そして棚卸しの前段として、まずは管理すべき個人情報とは何か、を明確にする必要があります。

社員や部署ごとに独自の基準で台帳への登録基準を設けては抜け漏れが発生するのは目に見えています。
先の管理レベルのサンプルなどを元に、「個人情報とは」という基準作りとその周知が必要になります。

しかしサンプル提示しようにも保持していることを他部門が知らない情報もありえます。
そのためにも部門横断的な組織による組織毎の実情を把握した調査が必要になるのです。

棚卸が先か、手順が先か


「保持していることを他部門が知らない情報」というのは個人情報管理上のリスクも高くなります。
適切なルールで運用されているか外部評価することができないからです。

そもそも何を保有しているかを詳らかにした上で管理ルールを設けるのか、管理ルールを設けたうえで棚卸しを行うのか、難しいところかもしれません。

この辺は企業や社員の個人情報保護に対するリテラシーと力の入れ具合も関連してくるかもしれません。
「個人情報は漏えいさせてはいけないもの」くらいの意識は企業人として最低限ある前提とした場合、正しい手順を踏んでいるかどうかに関わらずある程度のチェックは働いていることが考えられます。
管理すべき個人情報をいくつか例示すれば、「これが個人情報に該当するとは思わなかった」というようなものはあまり無いのではないかと思うので、手順ありきでも大きな漏れ無く台帳は整備されるし、定期的な棚卸しの中で拾い上げられていけるでしょう。

まずはルールと手順を浸透させるためにも、スタートから100%を目指すのではなく管理体制として確立していくためのPDCAを回すことに注力するのも方法ではないかと思います。

あとがき

個人情報は「預かりもの」

個人情報の台帳管理というと随分大がかりな気がするかもしれませんが、お客様や取引先から物品を預かったと考えてみましょう。

無くしたり他のものと混同させてしまってはいけないので、台帳的なものにどこから、何時、何を預かったのか記録を残し、他のものと間違えないような保管場所を選んだり、無くなっていないか定期的に棚卸しを行ったり、返却とあわせて台帳管理も終了するというような手順を踏むのではないでしょうか。

個人情報も情報が示す本人からの「預かりもの」なのです。
本人の請求があれば開示したり削除する必要がありますし、用途が完了すれば返却(廃棄)しなければいけません。

まずは「個人情報は預かりもの」であるという意識を社員全員に共有するところから管理をスタートしてみてはどうでしょうか。


個人情報保護関連の記事を纏めました。

セキュリティカテゴリの最新記事