個人情報管理について

検索性ある名詞は個人情報になりますね。

皆さんの机の引き出しやキャビネットには鍵がついてませんでしょうか？

鍵を紛失していても、メーカーや代理店に依頼すれば新しい鍵が数千円で入手できますので、施錠を励行することで管理されてはいかがでしょうか？

こんにちは。

当社はＰマークを取得しており、1回更新しております。
初回の審査時は名刺の管理については出てきませんでした。
更新時には名刺について指摘がありました。
名刺について「個人情報の特定」から漏れており、漏れた原因を分析し、特定しなさい、というものです。審査員のコメントとしては、単に個人個人が名刺をファイルしている程度なら、特に対策は立てなくていいが、部署、部門でデータベースなどに入れて共用しているなら何らかの対策が必要とのこと。つまり、施錠するなり、データで保管なら使用者を限定し、パスワード管理などするというものです。当社では調査したところ、１つの部署で共用していたため、当該部署つにつてのみ、名刺管理について業務フロー図を作成し、リスク分析を行い、管理台帳を作成して管理することとしました。個人ベースで保有しているものは施錠など対策は立てていません。
御社は20名強の企業ということであり、全員で名刺を共用しているのであれば、施錠管理が必要かと思いますが、各人がそれぞれ保有しているのであれば、名刺を保有していることの特定のみ行い、そこまでの管理は不要という判断をした、ということでいいのではないでしょうか？
審査も実は審査員によって意見が分かれるところでもあり、もし、審査時に指摘をされれば、改善を行うということで問題はありません。Ｐマーク審査は１回でパスすることはまれであり、いくつか指摘事項が出てそれを改善することにより、パスすることになります。

> 検索性ある名詞は個人情報になりますね。
>
> 皆さんの机の引き出しやキャビネットには鍵がついてませんでしょうか？
>
> 鍵を紛失していても、メーカーや代理店に依頼すれば新しい鍵が数千円で入手できますので、施錠を励行することで管理されてはいかがでしょうか？

saaki様
ご返信ありがとうございます。

やはり個人情報に該当し、保管管理の義務はあるようですね。
言葉足らずで恐縮なのですが、各人のキャビネットは施錠できるものではなく、施錠できる棚といえば、管理部門の部屋にあるもののみとなっており、他の部屋の者の名刺をわざわざ管理部門の部屋にて施錠し、管理するということが日々の業務を行っていくうえで最良のものなのかという疑問があり、他の管理方法がないかと考えておりました。

各人に施錠できるキャビネットを購入するか、管理部門にて管理する以外に何か方法はございませんでしょうか？

Pマークを取得検討とおっしゃってますが、個人情報は管理本部といより現場に多く存在するのが普通ではないでしょうか？例えば、販売に関する個人情報など。

現実的に、施錠できる棚があるのは管理本部のみというのは運用していくのは難しいでしょうし、その他にも個人情報があるでしょうから、まずは、どのような個人情報が会社の中にあるのかを棚卸しして、それから考えられては如何ですか。

> こんにちは。
>
> 当社はＰマークを取得しており、1回更新しております。
> 初回の審査時は名刺の管理については出てきませんでした。
> 更新時には名刺について指摘がありました。
> 名刺について「個人情報の特定」から漏れており、漏れた原因を分析し、特定しなさい、というものです。審査員のコメントとしては、単に個人個人が名刺をファイルしている程度なら、特に対策は立てなくていいが、部署、部門でデータベースなどに入れて共用しているなら何らかの対策が必要とのこと。つまり、施錠するなり、データで保管なら使用者を限定し、パスワード管理などするというものです。当社では調査したところ、１つの部署で共用していたため、当該部署つにつてのみ、名刺管理について業務フロー図を作成し、リスク分析を行い、管理台帳を作成して管理することとしました。個人ベースで保有しているものは施錠など対策は立てていません。
> 御社は20名強の企業ということであり、全員で名刺を共用しているのであれば、施錠管理が必要かと思いますが、各人がそれぞれ保有しているのであれば、名刺を保有していることの特定のみ行い、そこまでの管理は不要という判断をした、ということでいいのではないでしょうか？
> 審査も実は審査員によって意見が分かれるところでもあり、もし、審査時に指摘をされれば、改善を行うということで問題はありません。Ｐマーク審査は１回でパスすることはまれであり、いくつか指摘事項が出てそれを改善することにより、パスすることになります。

トライトン様
ご返信ありがとうございます。

勉強になりました。
フロー化、リスク分析などはIPOの審査と似ているところがあるのですね。

データ化したものをアクセス権限やパスワード等で制限しながら管理していくのであれば、新たな設備などを購入しなくとも対応していけそうです。
また、事前に対応する準備をとりながらも、審査時の審査員の意見も拝聴し、それも含めて対応していこうと思います。

> Pマークを取得検討とおっしゃってますが、個人情報は管理本部といより現場に多く存在するのが普通ではないでしょうか？例えば、販売に関する個人情報など。
>
> 現実的に、施錠できる棚があるのは管理本部のみというのは運用していくのは難しいでしょうし、その他にも個人情報があるでしょうから、まずは、どのような個人情報が会社の中にあるのかを棚卸しして、それから考えられては如何ですか。

saaki様
ご返信ありがとうございます。

確かにその他個人情報は他の部署にもあります。
それらはデータ化し、アクセス権限やパスワードにて管理、運用し、紙媒体のものであれば、面倒でも管理部門の施錠できる棚等に保管するようにしようと考えております。

現時点での弊社の個人情報の洗い出しもほぼ完了しており、個々の個人情報の対策を考えておりました。

しかしながら、現実的に考えるならばいくつか施錠できる棚などの購入をし、他の部署でも施錠できる環境を整える必要がありますね。

ありがとうございました。

DREAMさん　こんにちは。

すでに着手はされていると思いますが、saakiさんが仰る通り、個人情報を特定することが第一歩になります。
と言っても規程類などの整備は重要な位置を占めるので、そうしても規程作りに走りがちですが、まずは社内の個人情報を棚卸し、特定し、フロー図を作成し、どの局面にどんなリスクがあるかを分析し、各リスクに対して対策を立てることになります。ただ、ある程度規程の雛型などを利用し、並行して規程作りを進めていった方がいいとは思います。

> DREAMさん　こんにちは。
>
> すでに着手はされていると思いますが、saakiさんが仰る通り、個人情報を特定することが第一歩になります。
> と言っても規程類などの整備は重要な位置を占めるので、そうしても規程作りに走りがちですが、まずは社内の個人情報を棚卸し、特定し、フロー図を作成し、どの局面にどんなリスクがあるかを分析し、各リスクに対して対策を立てることになります。ただ、ある程度規程の雛型などを利用し、並行して規程作りを進めていった方がいいとは思います。

トライトン様
ご返信ありがとうございます。

机上のことではなく、現実としての業務を考えると、フロー図やリスク管理が最重要ですね。
この部分は業種、業態や規模などによりけりなので、それぞれ違ってくるところなので真似して対応できるものではないので頭を悩ませるところですね。

個人情報洗い出しは着々を進めてきておりますので、次はそれぞれのフロー図を作成し、リスクの発生の認識とその対応を考えていきます。

ありがとうございました。