Pマーク認証取得をするために従業者全員で行うタスクに「個人情報の特定」があります。
その個人情報を特定するに際し、「法」や「規格書」あるいは「規程書」には、次の分類が記述されています。
・個人情報
・個人データ
・個人情報データベース : 法では個人情報データベース等
・保有個人データ
まず、この分類について理解しましょう。
法の条文や各省庁のガイドラインを読んで理解できれば良いのですが、なかなか理解できない場合は以下を読んでください。
ここでは、毎年送られて来るであろう「年賀状」を個人情報サンプルとして採用し説明します
・個人情報とは
年賀状に記載されている、差出人の名前、住所、電話番号、電子メールアドレス等が該当します。
・個人情報データベース等とは
年賀状を「あいうえお順」等に整理して誰でも検索できる状態にした場合が該当します。
もちろん、住所録としてアプリケーションソフトに入力して管理したり、Excelなどで一覧表にした場合も該当します
・個人データとは
「あいうえお順」にして保管している年賀状の一枚一枚が個人データに該当しますし、住所録ソフトで作成したファイルや印刷物、Excelデータのそれぞれの1レコードも該当します。
・保有個人データとは
6ヶ月以上保有する個人データで、削除したり修正したりする権限を持っている物が該当します。
おそらく、年賀状は、それ自体またはデータとして翌年の為に6ヶ月以上保管すると思いますので保有個人データに該当します。
個人情報を特定する場合
年賀状の例としては、特定する個人情報の名称は「○○年 年賀状」や「○○年 年賀状受取リスト」など、利用目的は「年賀状送付のため」(その他に利用するのであればその利用目的も必要)、入手経路は「直接書面」、保管期間は例えば「1年間」、保管形態は「年賀はがき」などになります。
個人情報データベース等に該当しない例
年賀状を何の分類もせず、束ねて保持している場合は、誰でも検索できる状態では無いので個人情報データベース等に該当しません。名刺も同様です。
但し、住所録や名刺管理帳などのソフトウェアで管理保持している場合は、そのデータが該当しますのでご注意下さい。
保有個人データに該当しない例
委託を受けた個人データを6ヶ月以上保有していても、訂正、削除、開示等の権限を持っていないので保有個人データに該当しません。
【個人情報の取扱などに関するアドバイス】
あなたの勤務する会社が印刷業を営んでいて、年賀状のあて先印刷をする業務を受注しました。 お客様からは、印刷する住所をデータで預りました。 お客様からは来年も委託するので、それまで預かってほしいと保管の委託も受けました。
これは、保有個人データとして扱う必要はあるでしょうか?
答え
保有個人データには該当しません。なぜなら、あなたの勤務する会社では、その個人データに対して訂正や削除をする権限を持っていないからです。
但し、この業務おいて安全管理対策を規程するとしたら次の注意が必要です。
1.データを預かる際にファイルにパスワード設定して移送する。
2.預かったデータに訂正など加工は行わない。
3.受注した業務を完了するまでの保管方法を規程する。(取扱う従業者を固定するなどを含む)
4.データは業務終了後にお客様に返却する。または、適正に廃棄する。
→ これは、不要な個人情報は持たないに越したことはないためです。
ライフサイクルを把握して対策を講じて下さい。
