企業が自社業務を進めるにあたって、個人情報を扱う機会は多々あります。その際は、自社従業員だけでなく、状況によっては顧客や取引先の個人情報まで適切に管理しなければなりません。
そうした背景から、個人情報の適切な管理が認められた企業の証である「プライバシーマーク(Pマーク)」の取得は、プライオリティの高い要素といえます。取得のためには「個人情報管理台帳」を作成しなければならないため、その作成方法への理解を深めることが大切です。
この記事では、プライバシーマークの取得に必須である、個人情報管理台帳の概要や作成手順などについて解説します。
個人情報管理台帳とは
個人情報管理台帳とは何なのかを把握するためには、個人情報やプライバシーマーク(Pマーク)などへの理解を深めることも大切です。
ここでは、個人情報やプライバシーマーク、また個人情報管理台帳の定義について解説します。
個人情報とは
個人情報とは個人に関する情報であり、氏名や生年月日など特定の個人を識別できるものを示します。ただし、この定義は広い概念があり、極端な例を挙げるとフルネームが書いてあれば個人情報となります。
顧客や取引先に関する書類では、氏名はほとんどのケースで書かれています。とらえ方によっては、そのすべてが個人情報に該当すると考えられます。そこで、個人情報に該当するものは何なのか、どのような管理をしているかで定義します。これが後述する「個人情報の特定」です。
プライバシーマーク(Pマーク)とは
プライバシーマーク(Pマーク)とは、企業や団体が個人情報を適切に取り扱っていることを示す認証制度です。
この認証は、日本情報経済社会推進協会(JIPDEC)によって運営されており、個人情報保護法に適合していると認められた組織に付与されます。
プライバシーマークの取得は、個人情報保護に取り組んでいる姿勢を対外的に示せるため、信頼性の向上や取引先からの評価向上につながるでしょう。
特にBtoB事業においては、プライバシーマークの有無が取引条件に影響するケースも少なくありません。そのため、個人情報を扱う企業にとっては、プライバシーマークの取得が競争力に貢献することもあるのです。
個人情報管理台帳の定義
個人情報管理台帳とは、個人情報を特定して管理するための台帳です。プライバシーマーク(Pマーク)を取得している企業が、個人情報を適切に管理するために作成します。
企業が個人情報を適切に保護するためには、どのような個人情報を保有しているのかを正確に把握することが欠かせません。
そのため、対象となる個人情報の種類や保管場所、利用目的などを洗い出し、文書として整理していく作業が、個人情報管理の第一歩です。
このようにして作成されるのが個人情報管理台帳であり、情報漏洩リスクの低減や社内の情報統制の強化に寄与します。
個人情報管理台帳の作成手順
個人情報管理台帳を作成するにあたり、個人情報の特定が非常に重要です。個人情報の特定は、プライバシーマークを取得する際に担当者がつまずきやすいため、流れを正しく把握しておきましょう。
<個人情報の特定の流れ>
- ガイドブックから概要をつかむ
- 業務フロー図を作成する
- 管理台帳のフォーマットを作る
- 個人情報を洗い出す
- 各個人情報の項目を埋める
ガイドブックから概要をつかむ
まずはガイドブックから概要をつかんでください。いきなり社内の個人情報を特定していくのではなく、プライバシーマーク制度を管理する「一般社団法人 日本情報経済社会推進協会(JIPDEC)」が発行しているガイドブックを読みましょう。
参考:一般社団法人 日本情報経済社会推進協会「事業者向けガイドブックについて」
個人情報の特定では、事業で利用する個人情報を漏れなく洗い出す必要があるため、取りこぼしがないようにガイドブックを参考にして流れをつかんでください。
なお、ガイドブックには業務フロー図の作成や個人情報管理台帳の作成・承認・見直しなどの一連の流れが記載されています。一つひとつ丁寧に確認していきましょう。
業務フロー図を作成する
ガイドブックで個人情報の特定の概要をつかんだら、業務フロー図を作成します。業務フロー図とは、個人情報を特定する際に作業を効率化するためのフロー図になります。業務フロー図があることで、どの業務にどの個人情報を利用しているか、情報の整理が可能です。
業務フロー図は横方向に各部署を書いて、縦方向に業務の進行を書きます。そして、一番上の最上流業務から下方向に向かって、各部署でどのように処理されていくかを明記します。業務フロー図をわかりやすくするために、各種処理や判断などの要素をアイコンにするとよいでしょう。
この業務フロー図はマネジメントシステム構築用(個人上の保護のための)のものであり、各フローで個人情報がどのように取り扱われているかわかりやすく作成することが求められます。
管理台帳のフォーマットを作る
業務フロー図を作成したら、管理台帳のフォーマットを作ります。管理台帳のフォーマットには、必要項目と様式作成が含まれます。個人情報管理台帳の必要事項は、後述で解説しますので、ご確認ください。
また、様式は必要事項が決まったあとに作成します。様式作成では、一覧表として個人情報を特定する方法が挙げられます。一覧表にすると、特定した個人情報をまとめて確認できるため、作業後の確認も比較的簡単に行なえるでしょう。
個人情報を洗い出す
様式の作成まで終わったら、自社で利用している個人情報を業務フロー図をもとに洗い出していきます。個人情報を洗い出すには、個人情報を網羅的にリストアップして、業務ごとに取りまとめる方法があります。
もしくはあらかじめ個人情報をピックアップし、それぞれの個人情報がどのように加工・処理されているかをフォローすることも方法の一つです。いずれの方法においても、業務フロー図をもとに、個人情報を洗い出して帳票にまとめていきましょう。
帳票にまとめる際は「名刺作成業務」「社員名簿」「取引先名刺一覧」など、業務ごとに分けると管理をスムーズに行なえます。なお、個人情報の洗い出しでは、電話帳や一般的に公開されている企業録などまで手を広げる必要がありません。個人名が書かれたメモなども同様です。
各個人情報の項目を埋める
個人情報の洗い出しが終わったら、各個人情報の項目を埋めていきましょう。端的にいえば個人情報管理台帳への登録作業です。個人情報の洗い出しと同時に、台帳への登録作業も並行すれば、作業時間の削減につながります。
特定した個人情報は多岐にわたると考えられますが、いくつか例を挙げていきます。履歴書であれば以下の形で項目を埋めていきましょう。
- 個人情報名:履歴書
- 個人情報項目:画像、氏名、住所、電話番号、メールアドレス
- 一般/機会:一般
- 利用目的:採用業務
- 媒体:紙
- 保存方法:施錠
- 保管場所:鍵付きキャビネット
- 件数:◯件/累計
- 直接書面/それ以外:直接書面
- 開示/非開示:開示
- 提供/委託:委託
上記のように各項目を個人情報の名称から個人情報の該当項目など、細かく入力します。自社で活用しているシステムなどを活用して台帳の作成を進めてください。
個人情報管理台帳を作成する際の必要項目
個人情報管理台帳を作成する際は、必要項目を網羅してください。必要項目を8つに分けて解説します。
<必要項目>
- 個人情報
- 利用目的
- 保管方法
- 保管場所
- アクセス可能者
- 利用期限
- 件数
- その他
個人情報
個人情報とは、「履歴書」や「業務委託契約書」など、書類の名称を意味します。個人情報の属性が明らかに異なる際は、別々にリストアップしてください。
しかし、履歴書と職務経歴書のように、書類の入手から処分まで管理方法が類似している場合は、まとめても構いません。履歴書と職務経歴書であれば「履歴書・職務経歴書」などでまとめてみてください。
利用目的
プライバシーマークの取得では、いかなる個人情報を取得する際も利用目的を明確にする必要があります。よって、台帳にピックアップした個人情報には、利用目的の記入が求められます。
ただし、利用目的を細分化すると管理が煩雑になるため「従業員の労務管理」「商品発送」「来訪者の確認」など分類がわかれば問題ありません。
保管方法
個人情報の保管方法を大きく分けると、紙と電子データがあります。それに応じて保管場所もかわってきます。紙での保存は書庫、電子データの保存は厳重なセキュリティ管理ができる場所に保存する必要があります。
保管場所
個人情報台帳が紙媒体の場合は「人事部保管庫」など、管理部署や保管場所を容易に識別できるようにします。また、保管場所は施錠でき、誰もが簡単に個人情報を取り出せないことが大切です。
電子データの保管においても、誰もがアクセスできるパソコンやクラウドに入れるのではなく、専用ディスクに保管してください。電子データの保管は共用のネットワークと切り離すことで、サイバー犯罪の被害防止が可能です。
アクセス可能者
個人情報へのアクセス可能者も定めておきましょう。アクセス可能者は部署ごとや業務担当者ごとに区切る方法があります。また、個人情報の種類によっては「各部署部長」「役員」など特定の役職をアクセス可能者とする場合も考えられます。
利用期限
個人情報の利用期限は特に定めてありません。つまり、保管している個人情報を廃棄すべき規定もないわけです。個人情報の保護に関する法律では下記のように定めてあります。
「個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。」
引用:e-GOV法令検索「個人情報の保護に関する法律(第二十二条)
明確な期限がないものの、企業内で利用期限を決めておくと、個人情報の管理の煩雑さが軽減されます。
件数
件数は「履歴書・職務経歴書」などのように分類したカテゴリにどれだけの個人情報が保管されているかです。なかには廃棄する個人情報もあるため、「累計◯件」などの表記にしてもよいでしょう。
また、定期的に更新される個人情報であれば「300件/月」などでも構いません。件数が多い場合には、概数でわかりやすい数字にしてもいいとされています。
その他
その他の項目としては、入所経路や廃棄方法などを入れておきましょう。それらを記入するとプライバシーマークの規定に則ったリスク分析がしやすくなります。また、個人情報管理台帳の内容は利用や管理に関しての変化、変更に合わせて更新する必要があります。
個人情報管理台帳の失敗例
ここからは、個人情報管理台帳の失敗例をご紹介します。個人情報管理台帳を作成する前に確認して、失敗を防ぎましょう。
個人情報を細かく特定しすぎる
まずは個人情報を細かく特定しすぎることです。プライバシーマークでは、事業で利用する個人情報をすべて特定することが求められていますが、すべての個人情報を台帳に特定しようとすると完成が遠のきます。
例えば、「個人情報をメモした付箋」も台帳に特定しようとすると、完成まで膨大な時間がかかります。場合によっては個人情報台帳を作成するまでに数ヵ月かかり、プライバシーマークの審査を受けるまで1年や1年半程度の時間を要するケースもあります。
個人情報の特定や台帳を作成する際は、社労士などの専門家に相談しながら、適切に特定することが求められます。
部署や部門ごとに特定して膨大な記録になる
よくある失敗事例として挙げられるのが、部署や部門ごとに個人情報管理台帳を作成することです。中小企業で部署や部門の数が限られていれば、そこまで問題ではないでしょう。また、部門ごとに利用する個人情報の特定も大きな問題は発生しないと考えられます。
しかし、名刺などの部門でも利用する個人情報を特定すると、それらの個人情報が台帳の大部分を占める可能性が高いです。結果的に適正な台帳にするために、余計な労力やコストが発生してしまいます。
効率的に個人情報管理台帳を作成する方法を、検討する必要があります。
管理が煩雑になり運用できなくなる
個人情報管理台帳を作成したものの、実際には管理が煩雑になり、運用が滞ってしまうケースは少なくありません。
特に、情報を過剰に細かく記録しすぎたり、記入項目が多すぎたりすると、担当者の負担が大きくなり、結果として台帳が形骸化してしまうこともあります。
こうした状況を避けるためには、情報管理システムを導入し、効率的かつ確実に運用していくのがよいでしょう。
システム化によって情報の一元管理が実現すれば、管理にかかる負担の軽減だけでなく、法令遵守の面でも安心です。
個人情報管理台帳の運用をサポートするDXツール
個人情報管理台帳を正確に運用するには、手作業によるミスを最小限に抑えることが重要です。そのためには、DXツールの活用が有効と考えられます。
例えば、採用業務に特化した「面接コボット」を導入すれば、応募者情報の一元管理が可能となり、個人情報の取扱いがスムーズになります。
さらに、応募者への連絡も管理画面を通じて行なえるため、業務の属人化を防ぎつつ、対応漏れのリスクも軽減されるでしょう。
採用担当者の負担を軽くしつつ、正確で効率的な個人情報管理を実現するために、DXツールの導入を検討してみてはいかがでしょうか。
まとめ
個人情報管理台帳とは、個人情報を特定して管理するための台帳です。個人情報の取り扱いが厳しくなる昨今では、プライバシーマークの取得は重要事項であり、取得のためには個人情報管理台帳を適切に作成する必要があります。
人材を採用したことで管理しなければならない個人情報が増えた場合は、「面接コボット」の導入がおすすめです。このツールを導入すれば、応募者対応の自動化も実現するため、個人情報の管理だけでなく、担当者の負担軽減や属人化防止にも役立ちます。
この機会に、ぜひ「面接コボット」の導入をご検討ください。
