プライバシーマーク取得の実践【個人情報管理台帳の作成とリスク分析】

• 個人情報管理台帳の作成方法からリスクの認識・分析の解説書です。

• 付属しているもの


個人情報管理規程
個人情報管理台帳、業務フロー、リスク分析表、全て

• サンプルのダウンロードは、 ここをクリックして下さい。
• 内容は以下の通りです。

1. 【はじめに】
2. 【スムーズな運用を目指すには】
3. 【個人情報を特定するには】
4. 【業務フロー、個人情報管理台帳、リスク分析表の作成】

Step1　業務フローの作成
Step2　業務フローを用いて個人情報管理台帳に個人情報を特定する
Step3　業務フローを用いてリスクを認識する
Step4　認識したリスクを分析する

5. 【残存リスクと安全管理】

Step5　残存リスクの認識
Step6　安全管理規程
Step7　個人情報利用目的一覧表の作成

6. 【終わりに】

【概要】
1.個人情報管理台帳の作成
　個人情報管理台帳を作成するには、個人情報を特定することから開始します。
　個人情報を特定するための早道は、業務フローを作成します。
　流れは、以下の通りです。

ライフサイクルの局面で、どのような作業を行うか考慮してフローを作成します。
この、フローから次の個人情報を洗い出すことが出来ると思います。

• 顧客担当者の基本情報(名刺)
• 営業日報(営業日報のファイル)
• 見込顧客DB
• 見込顧客DBから抽出したデータ
• 送信した電子メール

1. 個人情報名：見込顧客DB
2. 個人情報の項目：顧客担当者基本情報

(顧客の基本情報は、個人情報利用目的一覧で詳細内容を定めておきます)
3. 利用目的：新製品の紹介
4. 保管場所：○○サーバ
5. 保管形態：データ
6. 利用期限：次回更新まで(1年間など)
7. アクセス権：当社社員又は部門責任者が許可した従業者

同様に営業日報、見込顧客DBから抽出したデータ、送信した電子メールなども個人情報管 理台帳に転記 します。

3.リスクの認識
　リスクの認識も業務フローを用いて実施します。

一番苦労されるのが、リスクの認識と分析、それと安全管理だと思います。
業務フローから個人情報を特定しましたが、同じようにリスクも特定します。
特定したリスクを認識して分析し、その結果によってリスクを軽減する対策を講じる、この講じる対策を安全管理に反映 する、というように一連の作業で行います。


プライバシーマーク　＝　安全管理　のように捉えている方も多いようですが、安全管理は個人情報を保護するための管 理策であって、この一連の作業がなければ無駄な対策を講じることにもなりかねません。
例えば、個人情報を取扱う場所(セキュリティゾーン)は特定の社員しか入れないようにするために、カードキー方式の入 退室管理を導入した、しかしその一方で、セキュリティゾーンのコンピュータネットワークは、他のゾーンと切断されて いなく社内のPCからセキュリティーゾーンに設置されているサーバに自由にアクセスできる状態だった。お金を無制限に 使えるのなら別ですが、限られた予算の中で対策を講じるためにも、リスクの認識、分析を充分に行います。

リスクを特定する際は「甘からず辛からず」を心掛けなければなりません。
甘からずは「これ位で良いだろう」を避けるため、辛からずは「石橋叩いて渡らず」を避けるためです。

リスクの認識は、人によって判断は様々です。絶対はありません。
リスクの分析方法も、ITセキュリティマネジメントガイドライン（GMITS: TR 13335）を用いることが多く審査においても 認められやすいのですが、長短所がありますのでどの方法を用いるかは企業の経営者の判断しだいです。