今月も、JIS Q 15001:2017の規格(附属書A)解説をお伝えします。今回は、
「個人情報の特定(A.3.3.1)」についてご説明します。

 

プライバシーマーク取得事業者は、「自らの事業の用に供している」全ての
個人情報を特定するための手順を確立し、維持しなければなりません。

また、特定した個人情報のリスクを管理するために、個人情報の取扱い状況を
明記した台帳を整備する必要があります。

 

「自らの事業の用に供している」個人情報とは、

  ①事業者が商品やサービスを提供する業務において取り扱う個人情報

  ②従業者の採用や雇用管理で取り扱う個人情報

  ③PMSを運用することによって取り扱う個人情報

など、反復継続的に活用している個人情報のことを意味します。


そのため、業務フロー図などを作成し、業務の流れに沿って個人情報を特定
すると良いでしょう。

 

特定した個人情報を管理するための台帳には、
 「個人情報の項目」「利用目的」「保管場所」「保管方法」「アクセス権を
 有する者」「利用期限」「保管期限」

について、最低限明記するようにしましょう。


また、必要に応じて、
「要配慮個人情報の存否」「取得の形態(本人から直接書面によって取得するか
  否か)」「利用目的などの本人への明示又は通知の方法」「本人同意の有無」
「本人への連絡又は接触及び第三者提供(共同利用を含む)に関する事項」
「委託に関する事項」
などを含めると、リスクアセスメントが実施しやすくなるでしょう。

なお、監視カメラの映像や電話音声の録音データ、二次的に作成・登録する
データベース及びバックアップデータ、PMSの運用において発生する記録類
(同意書、誓約書、教育テスト、入退室記録等)などは特定から漏れること
が多いので、年一回の見直しの際に確認すると良いでしょう。