「自社で保有する個人情報を特定するための手順を確立すること」及び「それを実施すること」を要求しているのが、「3.3.1 個人情報の特定」です。
自社で管理する個人情報を明確にする
個人情報マネジメントシステムを構築する上で管理の対象となる「個人情報」を特定することを「3.3.1 個人情報の特定」では要求しています。
それは、管理の対象となる個人情報について、以下の対象を具体的に把握する作業のことを言います。
- 自社で事業の用に供する個人情報は「どこに?」
- 「どのような形で?」
- 「どのような管理状態で?」
「どのような形で?」とは、媒体の形態、例えば紙媒体なのか?電子媒体なのか?などを指します。あわせて、その形態が画像であれば「ビデオテープ」や「写真」など、音声であれば「テープ」など、より具体化します。
また「どこに?」とは、電子情報の場合ならば「サーバに保管されているのか?」、「クライアントパソコンに保管されているのか?」それとも「FD,MO、CDのような補助記憶装置に保管されているのか?」などを指しますし、紙媒体であれば「キャビネットに保管されているのか?」とか「個人の机などに保管されているのか?」という事を指します。
「どのような管理状態で?」というのは、電子情報の場合は「装置やファイルならびにフォルダーなどに対するアクセス制御はされているのか?」、そして紙媒体の場合なら「キャビネットに鍵などが付けられ、許可を受けた者だけが利用できる状態にしてあるのか?」などを指し、リスクの評価を行う上でも重要な調査対象となります。
