|
“個人情報の特定”は一番重要な部分かもしれません。
なぜなら、この特定の手順が不十分であると、
個人情報
なのに個人情報として扱われないということになりうるからです。
よく、「申請書で個人情報を登録し台帳管理する」という事業者がありますが、
果たしてこのようなやり方でいいのでしょうか?
つまり、申請をし忘れても業務が滞りなく進むような仕組みであれば、
申請をし忘れても誰も気づかないということになりえますし、
「面倒だから申請するのやめよう」とかいうことなりうることもあるかと思います。
つまり言いたいのは、登録する単位にも依りますが、
“台帳による管理”は、あくまでも「特定後の管理手法」であり、
-
実質的に誰が特定しているのか?
という質問については、たぶん申請者ですよね。
もしこのやり方しかできないということであれば、
申請者へかなりの 教育及び訓練
を行わないといけないかと思います。
話がちょっと逸れてしまいましたが、
「個人情報の特定」では、段取り順に並べると、
- どういった情報が個人情報に該当するか?
- それらが社内のどこに存在しているか?
- それらのライフサイクルを通じたリスクはどういう風に認識しているか?
- それらの管理方法をどうするか?
それぞれの手順が必要であるかと思います。
登録や台帳管理は、どちらかというと「4. 管理方法」に該当することかもしれません。
JIS Q 15001:1999
の定義によると、
個人情報は公開/非公開には依りませんから、
-
名刺や社員情報も個人情報だ
と気づくのも「個人情報の特定」の範疇に入るでしょう。
こういったことは役員会議で行っているかもしれませんし、
新規事業立案時やプロジェクトミーティングかもしれません。
また、Cookie
やセッションIDなど、時代や技術革新によって
新たな 個人情報(正確には個人データ)
となりうるものも出てきたりしますし、
消費者の認知度や意識が変わってくるかもしれません。
そういった意味で言うと、
「個人情報の特定」は規程ではなかなか書けない事項かもしれません。
「法令及びその他の規範」では、
よく別表や台帳でリストアップしている事業者も多いのですが、
社として取り扱う個人情報の種類もリストアップする仕組みの方がいいかもしれません。
- 社員情報/採用情報
- 名刺
- メールアドレス
- 苦情・相談の内容
- 音声や監視カメラなどの記録データ
- 記録、ログ
名刺や電話帳(ハローページ)を個人情報として扱うことになったとしても、
台帳で管理したり、金庫にしまったりする必要はないかもしれません。
それはあくまでもリスクに応じて行うことであり、
“目的外利用”などのリスクが懸念されなければ、必要ないでしょう。
ただ、手書きで書き込んだり、何か新たな情報を付け加えると話は変わってくると思います。
ISMS 的に、
「情報の分類と取り扱いレベル」をリスクに応じて適切にし、
明確にすればいいかと思われます。
こういった整理をしておくと、
新規事業や事業変更、業態の変更の場合でも的確に対応できるのではないかと思います。
個人的には、「法令及びその他の規範」の範疇として、
絶えずインターネットやメルマガやニュースなどで
世の中の状況や技術情報などの収集を常に行うなどと共に、
「個人情報の特定」は、このようないろいろな諸々の仕組みの“合わせ技”
になるような気がします。
最後に台帳管理について補足しておくと、
一番よくないと思われるのが、
在庫管理的な台帳と、個人情報の台帳が二重管理的に存在し、
それらが整合性が取れない場合です。
MO やテープなど、出入りが激しい媒体については、
台帳を使って日々在庫チェックのような管理も必要でしょうが、
それはあくまでも紛失などの リスク
に依って行われているかと思いますし、
そういった仕組みは既存のやり方を使っても構わないかと思います。
すでに媒体管理の仕組みがあるのに、
それとは別に個人情報だけ別の仕組みにするのはメリットがあるのでしょうか?
もちろんデメリットとして、利用目的や利用範囲が混ざらないように、
分けて管理したいというのもあるでしょうが、
ラベリングなど分類ができる仕組みであれば済むかもしれません。
|