今月より、プライバシーマーク取得事業者様向けに、審査対応のポイントを
連載いたします。

【現地審査前のチェックポイント】

 ○プライバシーマーク更新審査に向けて

■マイナンバーやストレスチェック結果など、個人情報の特定に漏れは

ありませんか?

JIS Q15001:2006では、事業活動に利用する、すべての個人情報を把握できる

手順を確立し、すべてを抜け漏れ無く台帳等を用いて管理すること、

これらの台帳等を定期的に見直し、更新することを「3.3.1個人情報の特定」

として求めています。そのため、更新審査においては、個人情報を管理する

台帳等が最新の状態になっているか、重点的に確認されます。

一方で、「どういう観点で見直せばよいか分からない」「きちんと更新した

つもりが、一部の個人情報の特定が漏れていた」という声をよく耳にします。

そこで、今回は、個人情報を管理する台帳等を見直すポイントを、2点お伝えします。

 
事業環境の変化は発生していないか?

以下に示すような環境変化が発生した場合、新たな個人情報を取得

(又は、廃棄)している可能性があります。

  ・新事業、新商品、新サービスの開始(拡大)

  ・既存事業、商品、サービスの廃止(縮小)

  ・新システム(クラウドサービス等)の導入

・企業合併(グループ化)、分社、事業所移転

  ・自社の事業分野に関わる新たな法律の制定や法改正の発生

新事業、新商品、新サービスを開始した場合、業務フローに基づき、

新規で取得する個人情報の有無を業務担当者へ確認しましょう。

新規で取得する個人情報がある場合には、個人情報を管理する

台等に追加する必要があります。

また、新社屋にて防犯カメラを設置する際などは、第三者だけでなく、

自社の従業者が映っている防犯カメラの映像も個人情報にあたるため、

個人情報を管理する台帳等へ追加登録する必要があります。

加えて、番号法制定に基づくマイナンバー、労働安全衛生法改正に伴う

(従業員50名以上の事業者が対象)ストレスチェックの結果等、

自社の取得状況に合わせて、個人情報を管理する台帳等の更新が必要です。



■『個人識別符号』を保有していないか?

改正個人情報保護法の全面施行以降は、『個人識別符号』も

3.3.1個人情報の特定」の対象になります。個人識別符号とは、

免許証番号、旅券番号、生体情報(指紋、静脈)など、各個人に

割り当てられた文字、番号、記号等をさします。パソコンの指紋認証、

静脈による入退室管理等を実施していて、自社でその個人識別符号を

管理している場合は、定期見直しの際に台帳等に追加する必要があります。

 

これらの観点に留意し、改めて個人情報を管理する台帳等の見直しを進めてみて下さい。