個人情報管理台帳とは? 作成方法や記載項目、作成時のポイントを解説
企業が業務を行うにあたって、従業員や取引先、顧客の個人情報を取り扱うことが多くあります。個人情報の漏洩を防ぐには、個人情報管理台帳を使って管理するのが効果的です。では、個人情報管理台帳は、どのような手順で作成すれば良いのでしょうか。
本記事では、個人情報管理台帳の作成方法や記載項目、作成時のポイントなどについて解説します。
個人情報とは、特定の個人を識別できる情報のこと
個人情報とは、特定の個人を識別できる情報のことです。個人情報には、氏名だけでなく、住所や生年月日、電話番号なども、ほかの情報と組み合わせて特定の個人を識別できる場合は個人情報に含まれます。
従業員や顧客、取引先の担当者の氏名などが書かれた書類やデータを保管していれば、企業はその情報を適切に管理しなければなりません。
個人情報管理台帳とは、個人情報とその管理方法をまとめた台帳
個人情報管理台帳とは、プライバシーマーク(Pマーク)を取得している企業が、個人情報を適切に管理するために保有している個人情報とその管理方法をまとめた台帳です。Pマーク制度は個人情報を適切に取り扱っている企業を認証する制度で、Pマークを取得するためには、個人情報管理台帳を作成しなければなりません。
個人情報管理台帳を作成する場合、個人情報の特定が不可欠です。守る対象となる情報を特定できなければ、情報がどのような形で漏洩するかといったリスクを把握することもできません。社内で、従業員や顧客、取引先などからどのような個人情報を収集し、どのように利用、保存しているかを明確にする必要があります。さらに、その中でどの情報を台帳に記載して管理するかも特定しなければなりません。
個人情報管理台帳の作成方法
個人情報管理台帳を作成する場合、管理の必要な個人情報を特定しながら、台帳のフォーマットに入力していくことが必要です。個人情報管理台帳の作成手順は、一般的には下記の4つのステップで進めていきます。
1.Pマークのガイドブックの確認
個人情報管理台帳を作成する場合、最初に個人情報を保護する仕組みの全体像や個人情報管理台帳の位置づけ、個人情報特定の流れなどを把握するために、Pマークのガイドブックを確認することをお勧めします。Pマーク制度を運営する日本情報経済社会推進協会(JIPDEC)が、事業者向けに「個人情報保護マネジメントシステム導入・実践ガイドブック」を発刊しているため、内容を確認しましょう。
全体像を知ることで、適切な個人情報管理台帳を作成できるようになります。
2.業務フロー図の作成
ガイドブックで個人情報を保護する仕組みの全体像などを確認したら、個人情報を扱う業務の流れを視覚化する業務フロー図を作成してください。業務フロー図によって、どの業務でどのような個人情報が利用され、どの部門が管理しているかを把握できるようになります。
業務の流れと無関係に、社内で扱っている個人情報をピックアップしようとすると、漏れが発生する可能性があります。業務の流れに沿って各業務で利用している個人情報を特定していけば、漏れなく情報を把握できます。
3.個人情報管理台帳のフォーマットの作成
業務フロー図を作成して個人情報の利用状況を把握したら、個人情報管理台帳のフォーマットを作成します。まず管理台帳に盛り込む項目をピックアップして、その項目を網羅したフォーマットを作成してください。
管理台帳に盛り込む項目は、後述の「個人情報管理台帳の記載項目」で解説します。フォーマットは、一覧表の形式にするのが一般的です。
4.個人情報の洗い出しと入力
フォーマットを作成したら、実際に業務で利用される個人情報を洗い出し、管理台帳に入力します。業務フロー図を基に、業務ごとに収集している個人情報を確認し、フォーマットに書き込んでいきましょう。
個人情報管理台帳は、一通り完成した後も、最新の情報を反映するために定期的に更新しなければならない点に注意が必要です。
個人情報管理台帳の記載項目
個人情報管理台帳には、適切な情報管理を行うために様々な項目を記載する必要があります。記載すべき主な項目は、下記の通りです。
- 個人情報管理台帳に記載する主な項目
-
- 個人情報名:履歴書、誓約書などの書類・データの名称
- 個人情報の項目:氏名、住所などの書類・データに含まれる個人情報
- 媒体:紙、データなどの保存形式
- 業務:採用、人事、総務などの個人情報を利用している業務の種類
- 利用目的:採用選考、従業員管理などの個人情報利用の目的
- 保管場所:人事部書庫、サーバーなどの個人情報を保管している場所
- 保管方法:施錠などの情報漏洩を防ぐための保管方法
- 要配慮情報の有無:人種、信条、病歴などの特に配慮が必要な情報の有無
- アクセス権限:代表者、人事部長などのアクセス権を有する権限者の名称
- 廃棄方法:シュレッダーなど、個人情報を廃棄する際の方法
- 利用期限:採用選考完了までなど、業務で個人情報を利用できる期限
- 保管期限:採用選考完了後3か月後までなど、個人情報を廃棄する期限
- 管理する個人情報の件数:累計5件、100件/月など、管理している個人情報の件数
このように、管理の必要な項目が明確になると、個人情報を適切に管理できるようになります。これらの項目を盛り込むと、下記のような個人情報管理台帳を作成できます。
| No | 1 | 2 |
|---|---|---|
| 個人情報名 | 履歴書 | 誓約書 |
| 個人情報の項目 | 写真、住所、氏名、電話番号、メールアドレス | 氏名、住所 |
| 媒体 | 紙 | 紙 |
| 業務 | 採用 | 人事 |
| 利用目的 | 採用選考 | 従業員管理業務 |
| 保管場所 | 人事部書庫 | 人事部書庫 |
| 保管方法 | 施錠 | 施錠 |
| 要配慮情報の有無 | なし | なし |
| アクセス権限 | 代表者、採用担当者 | 代表者、人事担当者 |
| 廃棄方法 | シュレッダー | シュレッダー |
| 利用期限 | 採用選考完了時または退職時 | 退職時 |
| 保管期限 | 採用選考完了から3か月後または退職後3年 | 退職後3年 |
| 件数 | 3件/月 | 120件 |
| 備考 | 不採用の場合は採用選考完了後に破棄、採用の場合は退職後に破棄 |
企業によっては、ほかにも必要な記載項目が出てくるかもしれません。その場合は、適宜項目を追加してください。
実際に作成を進めると、個人情報管理台帳に記載するべきか迷う情報も出てくる可能性がありますが、その場合は経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」を参考にしましょう。
ガイドラインには、個人情報に該当しない事例が記載されていて、例えば団体に関する情報や特定の個人を識別できない統計情報などは個人情報ではないため、管理台帳への記載は不要です。
個人情報管理台帳を作成する際のポイント
企業は様々な個人情報を扱っているため、個人情報管理台帳の作成作業は煩雑になりがちです。適切な管理ができる台帳を効率良く作成するためには、下記の3点のポイントを押さえましょう。
シンプルな様式にする
できるだけシンプルな様式にするよう心がけることが、台帳管理の効率化につながります。個人情報管理台帳は定期的に更新しなければならないため、様式が複雑だと更新が煩雑になり、適切に更新されない可能性も高まります。管理の工程を想定して、作り込みすぎないように注意してください。
個人情報は管理できる範囲で特定する
管理業務が煩雑になりすぎないようにするために、個人情報管理台帳に記載する情報を特定する際は、管理可能な範囲内で特定することが重要になります。例えば、従業員が一時的に作成したメモ書きまで台帳に記載しようとすると、なかなか台帳を完成させることができません。自社が管理できる情報の範囲も考慮に入れて、個人情報を特定しましょう。
業務フロー図をベースに個人情報を特定する
個人情報を特定するために業務フロー図を活用する方法は、業務で利用されている個人情報の把握だけでなく、個人情報の管理方法の検討にも効果的です。業務の流れと個人情報の取り扱いを結びつけて確認すれば、より安全な管理方法の発見や管理業務の効率化のヒントが得られることもあります。業務フロー図の作成は、個人情報の管理を最適化するためにも重要です。
個人情報管理台帳を作成する場合は、システム活用も検討しよう
個人情報管理台帳の作成は、煩雑な作業です。上記で解説した4つのステップで、効率的に作成を進めましょう。個人情報管理台帳を作成したら、その個人情報を適切に管理できる方法も検討しなければなりません。電子データの個人情報を管理する場合は、個人情報が記載されたファイルの所在を検出できるシステムなどで効率化することをお勧めします。
インターコムの「MaLion」シリーズは、個人情報検出・管理ソリューション「P-Pointer File Security」と連携し、個人情報ファイルを検出して台帳で一元管理できます。検出した個人情報に対するアクセスの監視や制御を行うこともできます。任意の個人情報ファイルを手動で台帳に追加することもできるため、管理台帳の作成の効率化にもつながります。個人情報の管理の強化や台帳作成の効率化を検討されている場合は、ぜひお気軽にお問い合わせください。
