ガイド記事『ウチも個人情報取扱事業者?』を読んで、当社も個人データを5000件を超えて扱っており、個人情報取扱事業者になることがわかった。

じゃ個人情報保護法に向けて、一体どういう準備をすればよいのだろう。コンサルを雇ってプライバシマークを取得を目指すのはいかがかな?

いえいえ、それでは経審の評点がよくなると場当たり的にISO9000を取得している建設会社と同じです。ISO9000と同じで個人情報保護法の本来の目的をまず考えていきましょう。

個人情報保護法では個人情報取扱事業者は個人データの安全管理をしなければなりません。 そのための環境整備をまず行います。プライバシマークの取得は環境整備の後、必要であれば取得してください。

個人データはどこにある?


個人データ取扱台帳を作るまずは社内にプロジェクトチームを作りましょう。人選の基準は特にありませんが、個人情報保護法について一通り学んだ人材を任命します。チームをまず作ってから教育してもかまいません。

このプロジェクトのメンバーが社内全体に教育する立場になります。またこのプロジェクト長には個人情報保護管理者つまりチーフ・プライバシー・オフィサー(CPO)になってもらいます。   

プロジェクトメンバーを中心に社内のどこに個人データがあり、どう管理されているのかを洗い出します。この作業をプロジェクトメンバーだけでやると大変な作業になりますので社内の人間に協力してもらいます。
個人データ取扱台帳を作る
まず社員を集めて、個人情報保護法の概要と個人データとはどういうものか教育をします。単なるメモでも個人が識別できたら個人データになることを徹底します。

また、取り扱いミスで個人情報漏洩をすると企業への信用をなくし、最悪の場合、職場がなくなってしまうなどリスクについて十分、理解してもらいます。

教育が終わった段階で個人データ取扱台帳の雛形を作成し、部門で管理している個人データ、社員個人で管理している個人データを洗い出し記入してもらいます。

営業社員が顧客の家族構成や誕生日、嗜好などの個人情報を長年の努力で集め、営業ツールとして使っている場合があります。

ここらへんは悩ましい問題ですが会社の管理下におくより営業社員の管理下で情報活用する方がよいと判断した場合は、別に運用手順を定めて営業社員に遵守させます。

個人データの洗い出し

個人データ取扱台帳には保管場所、保管方法、取得項目、通知した利用目的、アクセス権限を持つ者、利用期限などを記載してもらいます。分からない部分は空白でかまいません。

特に社員個人で管理している個人データの洗い出しが大変です。サーバーから取り出した個人データを加工して、自分のパソコンのハードディスクに入れているケースが多々あります。またそれを印刷して机の中やファイルに閉じているケースもあります。それを洗い出していきます。

オフィスを眺めてみて各人の机の上にファイルが林立していたり散らかっていたりしているような職場ですと、個人データの洗い出し以前に3S(整理、整頓、掃除)を行ったほうがよいでしょう。
→ ガイド記事『ファイリングで個人情報漏洩防止』

ファイリング技術などを応用し、個人データを個人管理から部門管理へ整理しておくと、洗い出す個人データが少なくなります。

ではいよいよ個人データ取扱台帳を作成しましょう。