プライバシーマーク取得を目指す企業において、最も負荷がかかる作業が「個人情報の特定」です。
JIS Q 15001では、「事業の用に供する全ての個人情報」を特定する(「個人情報管理台帳」などに登録する)ことが求められているのですが、ここがつまずくポイントになります。
下図は個人情報管理台帳のイメージとなります。
まず個人情報の定義から考えてみます。「個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって 、特定の個人を識別できるもの」が個人情報です。少し乱暴ですが、分かりやすく言うと、フルネームがあれば個人情報なのです。そう考えると、社内は個人情報だらけです。氏名が記載されていない書類など殆どないかもしれません。例えば、見積書、請求書、提案書などには作成者、決裁者の氏名が含まれています。会社の座席表なども個人情報です。
全ての個人情報を特定することは不可能です。実務的には「会社にとって重要な個人情報」を特定することになります。私は個人情報を3つに分類した上で絞込をおこないます。
Bグループ:雇用関係者の個人情報
Cグループ:取引先の個人情報
Aグループは、できるだけ緻密に特定することを考えます。
Bグループは、情報の重要性に基づいて考えます。人事評価、給与、家族構成等、主に人事部、経営層、管理職のみで共有すべき情報に絞り込んでいき、それ以外は切り捨てます。
Cグループは、基本的に特定しません。
こうすることで特定の対象となる個人情報の絞り込みをおこないます。
次に、どのような粒度で特定するのかを考えることになります。ここは「個人情報管理台帳」をどのような目的で活用するかによって異なります。
例えば、広告業界では、大半は個人情報が関係しない案件になるのですが、消費者向けのプレゼントキャンペーンなどが発生した際に個人情報を取扱うことになります。そのため広告系の会社における個人情報の特定は、「個人情報を含む広告案件の可視化」を目的におこなうのが有効です。その場合の粒度は「案件単位」となります。
ところが、「個人情報の特定」の有効性を下げる余計な審査基準が存在します。
個人情報保護マネジメントシステムの運用に伴う個人情報(社員の教育記録、来訪者記録など)、携帯電話のアドレス帳、バックアップを特定しているか、を審査員は確認します。
JIPDECがなぜこのような審査基準を定めたのかは全く理解不能ですが、この基準を正面から受け止めて対応をすると、重要でない個人情報を大量に特定する羽目になります。
これらのどうでも良い個人情報は、審査用に事務局部門がまとめて特定しておくのが、賢い対応となります。どうしても納得できない場合は、是非審査員と戦って欲しいと思います。筆者もコンサルタントとして全面的に応援致します。
<関連情報>
プライバシーマーク(Pマーク)に関心がある方はこちらへ
ISMS(ISO27001)に関心がある方はこちらへ