個人情報管理台帳

個人情報の取り扱いは年々、厳しく管理することが求められてきています。個人情報の適切な取り扱いを認める制度としてプライバシーマークがあります。プライバシーマークの審査に向けて、個人情報管理台帳の作成が必要です。

今回は個人情報管理台帳の概要や必要事項、作成の流れ、失敗例などを解説します。これからプライバシーマークの取得を目指す場合や適切な個人情報の管理をしたい場合は、ぜひ参考にしてください。なお、本記事は人材派遣会社向けにまとめております。

個人情報と個人情報管理台帳

個人情報管理台帳の管理の前に、個人情報や個人情報管理台帳の基礎知識をおさらいします。業務に当たる前に再度、確認しましょう。

個人情報とは

個人情報とは個人に関する情報であり、氏名や生年月日など特定の個人を識別できるものを示します。ただし、この定義は広い概念があり、極端な例を挙げるとフルネームが書いてあれば個人情報となります。

顧客や取引先に関する書類では氏名はほとんどのケースで書かれています。捉え方によっては、その全てが個人情報に該当すると考えられます。そこで、個人情報に該当するものは何なのか、どのような管理をしているかで定義します。これが後述する「個人情報の特定」です。

個人情報管理台帳とは

個人情報管理台帳とは、プライバシーマーク(通称:Pマーク)を取得している会社が事業者として保有している個人情報を一覧にして、各個人情報の管理方法などをまとめた台帳です。

個人情報を適切に管理しようとした際に、企業が行うべき最初の作業は社内の個人情報の把握です。保護対象とすべき個人情報を把握せずに、適切な個人情報の管理ができないからです。

そこでプライバシーマークの取得を検討する場合は、社内の個人情報を洗い出して文書化する必要があるのです。そのようにして作成していくのが個人情報管理台帳です。

個人情報の特定の流れ

個人情報管理台帳を作成するにあたり、個人情報の特定が非常に重要です。個人情報の特定は、プライバシーマークを取得する際に担当者がつまずきやすいため、流れを正しく把握しておきましょう。

個人情報の特定の流れ

・ガイドブックから概要を掴む
・業務フロー図を作成する
・管理台帳のフォーマットを作る
・個人情報を洗い出す
・各個人情報の項目を埋める

ガイドブックから概要を掴む

まずはガイドブックから概要をつかんでください。いきなり社内の個人情報を特定していくのではなく、プライバシーマーク制度を管理する「一般社団法人 日本情報経済社会推進協会(JIPDEC)」が発行しているガイドブックを読みましょう。

参考:一般社団法人 日本情報経済社会推進協会「事業者向けガイドブックについて」

個人情報の特定では、事業で利用する個人情報を漏れなく洗い出す必要があるため、取りこぼしがないようにガイドブックを参考にして流れをつかんでください。

なお、ガイドブックには業務フロー図の作成や個人情報管理台帳の作成・承認・見直しなどの一連の流れが記載されています。一つひとつ丁寧に確認していきましょう。

業務フロー図を作成する

ガイドブックで個人情報の特定の概要を掴んだら、業務フロー図を作成します。業務フロー図とは、個人情報を特定する際に作業を効率化するためのフロー図になります。業務フロー図があることで、どの業務にどの個人情報を利用しているか、情報の整理が可能です。

業務フロー図は横方向に各部署を書いて、縦方向に業務の進行を書きます。そして、一番上の最上流業務から下方向に向かって、各部署でどのように処理されていくかを明記します。業務フロー図を分かりやすくするために、各種処理や判断などの要素をアイコンにするといいでしょう。

この業務フロー図はマネジメントシステム構築用(個人上の保護のための)のものであり、各フローで個人情報がどの様に取り扱われているか分かりやすく作成することが求められます。

管理台帳のフォーマットを作る

業務フロー図を作成したら、管理台帳のフォーマットを作ります。管理台帳のフォーマットには、必要項目と様式作成が含まれます。個人情報管理台帳の必要事項は、後述で解説しますので、ご確認ください。

また、様式は必要事項が決まった後に作成します。様式作成では、一覧表として個人情報を特定する方法が挙げられます。一覧表にすると、特定した個人情報をまとめて確認できるため、作業後の確認も比較的簡単に行えるでしょう。

個人情報を洗い出す

様式の作成まで終わったら、自社で利用している個人情報を業務フロー図をもとに洗い出していきます。個人情報を洗い出すには、個人情報を網羅的にリストアップして、業務ごとに取りまとめる方法があります。

もしくはあらかじめ個人情報をピックアップし、それぞれの個人情報がどのように加工・処理されているかをフォローすることも方法の一つです。いずれの方法においても、業務フロー図をもとに、個人情報を洗い出して帳票にまとめていきましょう。

帳票にまとめる際は「名刺作成業務」「社員名簿」「取引先名刺一覧」など、業務ごとに分けると管理をスムーズに行えます。なお、個人情報の洗い出しでは、電話帳や一般的に公開されている企業録などまで手を広げる必要がありません。個人名が書かれたメモなども同様です。

各個人情報の項目を埋める

個人情報の洗い出しが終わったら、各個人情報の項目を埋めていきましょう。端的にいえば個人情報管理台帳への登録作業です。個人情報の洗い出しと同時に、台帳への登録作業も並行すれば、作業時間の削減につながります。

特定した個人情報は多岐に渡ると考えられますが、いくつか例を挙げていきます。履歴書であれば以下の形で項目を埋めていきましょう。

・個人情報名:履歴書
・個人情報項目:画像、氏名、住所、電話番号、メールアドレス
・一般/機会:一般
・利用目的:採用業務
・媒体:紙
・保存方法:施錠
・保管場所:鍵付きキャビネット
・件数:◯件/累計
・直接書面/それ以外:直接書面
・開示/非開示:開示
・提供/委託:委託

上記のように各項目を個人情報の名称から個人情報の該当項目など、細かに入力します。自社で活用しているシステムなどを活用して台帳の作成を進めてください。

個人情報管理台帳を作成する際の必要項目

個人情報管理台帳を作成する際は、必要項目を網羅してください。必要項目を8つに分けて解説します。

必要項目

・個人情報
・利用目的
・保管方法
・保管場所
・アクセス可能者
・利用期限
・件数
・その他

個人情報

個人情報とは、「履歴書」や「業務委託契約書」など、書類の名称を意味します。個人情報の属性が明らかに異なる際は、別々にリストアップしてください。

しかし、履歴書と職務経歴書のように、書類の入手から処分まで管理方法が類似している場合は、まとめても構いません。履歴書と職務経歴書であれば「履歴書・職務経歴書」などでまとめてみてください。

利用目的

プライバシーマークの取得では、いかなる個人情報を取得する際も利用目的を明確にする必要があります。よって、台帳にピックアップした個人情報には、利用目的の記入が求められます。

ただし、利用目的を細分化すると管理が煩雑になるため「従業員の労務管理」「商品発送」「来訪者の確認」など分類がわかれば問題ありません。

保管方法

個人情報の保管方法を大きく分けると、紙と電子データがあります。それに応じて保管場所もかわってきます。紙での保存は書庫、電子データの保存は厳重なセキュリティ管理ができる場所に保存する必要があります。

保管場所

個人情報台帳が紙媒体の場合は「人事部保管庫」など、管理部署や保管場所の容易に識別ができるようにします。また、保管場所は施錠できて誰もが簡単に個人情報を取り出せないことが大事です。

電子データの保管においても、誰もがアクセスできるパソコンやクラウドに入れるのではなく、専用ディスクに保管してください。電子データの保管は共用のネットワークと切り離すことで、サイバー犯罪の被害防止が可能です

アクセス可能者

個人情報へのアクセス可能者も定めておきましょう。アクセス可能者は部署ごとや業務担当者ごとに区切る方法があります。また、個人情報の種類によっては「各部署部長」「役員」など特定の役職をアクセス可能者とする場合も考えられます。

利用期限

個人情報の利用期限は特に定めてありません。つまり、保管している個人情報を廃棄すべき規定もないわけです。個人情報の保護に関する法律では下記のように定めてあります。

「個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。」

引用:e-GOV法令検索「個人情報の保護に関する法律(第二十二条)

明確な期限がないものの、企業内で利用期限を決めておくと、個人情報の管理の煩雑さが軽減されます。

件数

件数は「履歴書・職務経歴書」などのように分類したカテゴリにどれだけの個人情報が保管されているかです。なかには廃棄する個人情報もあるため、「累計◯件」などの表記にしてもいいでしょう。

また、定期的に更新される個人情報であれば「300件/月」などでも構いません。ときには件数が多い場合もありますが概数で分かりやすい数字にしてもいいとされています。

その他

その他の項目としては、入所経路や廃棄方法などを入れておきましょう。それらを記入するとプライバシーマークの規定に則ったリスク分析がしやすくなります。また、個人情報管理台帳の内容は利用や管理に関しての変化、変更に合わせて更新する必要があります。

個人情報管理台帳の失敗例

ここからは、個人情報管理台帳の失敗例をご紹介します。個人情報管理台帳を作成する前に確認して、失敗を防ぎましょう。

個人情報を細かく特定しすぎる

まずは個人情報を細かく特定しすぎることです。プライバシーマークでは、事業で利用する個人情報を全て特定することが求められていますが、全ての個人情報を台帳に特定しようとすると完成が遠のきます。

例えば、「個人情報をメモした付箋」も台帳に特定しようとすると、完成まで膨大な時間がかかります。場合によっては個人情報台帳を作成するまでに数ヶ月かかり、プライバシーマークの審査を受けるまで1年や1年半程度の時間を要するケースもあります。

個人情報の特定や台帳を作成する際は、社労士などの専門家に相談しながら、適切に特定することが求められます。

部署や部門ごとに特定して膨大な記録になる

よくある失敗事例として挙げられるのが、部署や部門ごとに個人情報管理台帳を作成することです。中小企業で部署や部門の数が限られていれば、そこまで問題ではないでしょう。また、部門ごとに利用する個人情報の特定も大きな問題は発生しないと考えられます。

しかし、名刺などの部門でも利用する個人情報を特定すると、それらの個人情報が台帳の大部分を占める可能性が高いです。結果的に適正な台帳にするために、余計な労力やコストが発生してしまいます。

効率的に個人情報管理台帳を作成する方法を、検討する必要があります。

人材派遣会社の基幹システムなら「jobs」がおすすめ

jobs

各種個人情報の管理など、人材派遣会社の基幹システムの導入をお考えの場合は「jobs」がおすすめです。「jobs」は派遣に必要な業務を一元管理できるシステムです。

案件管理やスタッフ管理など基礎となる情報を登録できたり、登録した情報をもとに簡単に人材をアサインしたりできます。さらに、派遣業務に必要な諜報類の作成や管理、勤怠・給与・請求の業務なども可能なシステムです。

また「HRコボット for 応募対応」と連携することで採用業務も一貫して管理でき、稼働率UPにも大きく貢献できます。

使いやすさを追求した管理画面は、担当者のトレーニング不要で直感的な操作ができます。システム初心者が多い中小の人材派遣会社であっても不安を感じずに使えるでしょう。それでも不安な場合は、経験豊富なスタッフが初期設定から運用後までサポートいたします。

個人情報管理台帳につながる情報管理をお考えの場合は、ぜひ「jobs」の導入をご検討ください。

まとめ

個人情報管理台帳の作成は、プライバシーマークの取得に求められる工程です。プライバシーマークでは、個人情報管理台帳で特定しないといけない項目があり、不足していると審査で指摘対象となります。

そのため、個人情報管理台帳を正確に作成することが大事です。今回は個人情報管理台帳に必要な個人情報の特定の流れ、必要事項を解説しました。まずはガイドブックをもとに流れを確認しましょう。

個人情報管理台帳の作成に活かすために、システムを導入することも方法の一つです。派遣会社の基幹システムならば「jobs」がおすすめです。

「jobs」は中小企業向け派遣基幹システムであり、案件管理やアサイン、契約書管理、勤怠など一貫した管理が可能です。 中小の派遣会社に多いシステム初心者でも使いこなせる直感的な操作感も特徴です。個人情報管理台帳の作成も含め、情報管理をしたいと考えている場合は、「jobs」がおすすめです。不明点はお気軽にご相談ください。