個人データ取扱台帳の作成
各社員から提出してもらった台帳をまとめて個人データ取扱台帳を作成します。昔、利用していた個人データもたくさん見つかると思います。利用目的を再度考えて、あまり必要性がなければ消去・廃棄しましょう。
特に台帳の項目に空白が多いものは有効利用していないケースが多いです。
また本当にその項目が必要なのか取得項目について再検討してください。
ある企業では電子メールアドレス、性別、生年月日、住所、氏名を取得していましたが、利用目的を考え直すと住所、氏名は不要なことが判明し、保有する個人データから住所、氏名を削除しました。
これは個人情報漏洩が発生しても、影響を少なくでき、リスクを下げることになります。
個人データ取扱規定を定める
個人データ取扱台帳が出来たら、個人情報をどう取り扱っていくか規定していきます。個人データにはライフサイクルがあります。『取得・入力』、『移送・送信』、『利用・加工』、『保管・バックアップ』、『消去・廃棄』の5つのステージに分けて考えていきましょう。
各ステージ毎に手続きつまり手順を制定していきます。もちろん作業責任者の決定、作業者を特定しID・パスワードなどによるアクセス制限、また誰が個人データにアクセスしたかの記録と一定期間の保管なども必要です。
ただアクセス制限と言ってもノートパソコンに忘れないようにIDとパスワードを書いたポストイットが画面に貼られているようであれば、何の効果もありません。こういう点はしっかり教育して、社員皆で個人情報漏洩を防ぐという機運を高めてください。
また組織変更などで、個人データにアクセスする必要がなくなった場合は該当者のアクセス権限をすみやかに削除します。Yahoo!BBの個人情報漏洩事件は元派遣社員の男性が使用していた接続用IDが業務委託終了後も外部アクセス可能だったことが発端です。
では他にどのような点に考慮しないといけないのか各ステージ毎にみていきましょう。
