個人情報取扱業務の整理で明確になった「個人データ」を特定し登録を行うことを「個人情報の特定」といいます。
「個人データ」を登録する
規格の解説(JIS Q 15001:2006 解説 3.2.1)でも、「社内で事業の用に供している個人情報としてどのようなものがあるかを知らずして個人情報保護のための対策を取ることはできない」としていることから、適正管理の対象として明確にするために、前項の個人情報取扱業務の整理で特定された「個人データ」を登録する必要があります。
そのためには、規格の解説でも規定しているように、「その取扱状況を一覧できる手段」すなわち管理台帳のようなものが手段として望ましいでしょう。
個人情報管理台帳の項目
一般的に個人情報管理台帳の項目は以下のとおりです。
- 個人情報名
- 属性(媒体など)
- 個人情報の項目(JIS Q 15001:2006 解説 3.2.1で推奨)
- 利用目的(JIS Q 15001:2006 解説 3.2.1で推奨)
- 保管場所(JIS Q 15001:2006 解説 3.2.1で推奨)
- 保管方法(JIS Q 15001:2006 解説 3.2.1で推奨)
- 廃棄手段の分類(粉砕、溶解、シュレッダーなど)
- アクセス権限を有するもの(JIS Q 15001:2006 解説 3.2.1で推奨)
- 利用期限(JIS Q 15001:2006 解説 3.2.1で推奨)
これらの必要となる項目は、使いやすさや自社の個人情報の特性に応じた形式で作成することが望ましいでしょう。
また、個人情報単位で台帳を作成するのか、全社一括で作成するのか、部門単位で作成するのかなど、作成に関する方法も使いやすさなどを考慮し検討する必要があります。