1. ホーム
  2. 委託先管理Blog
  3. 記事

プライバシーマーク取得に向けた個人情報の特定の手順とポイントを解説

個人情報の漏えいを防ぐためには、名前や住所、電話番号、メールアドレス、クレジットカード情報など、さまざまな情報のうち、どの情報が個人情報に該当するかを特定し、適切に管理することが重要です。

個人情報を特定するためには、情報の種類や量に応じた適切な手順が求められます。明確なルールと手順を設定することで、個人情報を漏れなく特定し、管理することが可能です。

 

本記事では、プライバシーマーク取得に向けた個人情報の特定の手順とポイントについて詳しく解説します。

目次
1. 個人情報の特定とは
■ そもそも個人情報とは
■ 特定個人情報との違い
■ 個人情報保護法における定義
2. 個人情報の特定が重要な理由
■ Pマーク取得における個人情報の特定の役割
3. 個人情報の特定の具体的な手順
■ 業務フロー図の活用
■ ガイドラインの活用
■ 個人情報管理台帳の作成
4. 個人情報の特定のポイント
■ 事業で使う全ての個人情報を網羅する
■ ライフサイクル(流れ)を把握する
■ 利用目的を具体的に設定する
■ 定期的に見直す
■ 隠れた個人情報を洗い出す
■ マイナンバーの扱いに注意する
5. 特定後の個人情報の整理と管理
■ 個人情報の整理
■ リスク評価
6. まとめ

1. 個人情報の特定とは

個人情報の特定とは、プライバシーマークの規格要求事項にある管理策のひとつです。

具体的には、氏名や住所、電話番号、メールアドレスなど、個人を特定できる情報を収集、それをどのように保管し、誰がアクセスできるかを明確にし、個人情報管理台帳で個人情報を管理します。

個人情報の特定は、企業がプライバシーマーク(Pマーク)を取得する際にも重要です。Pマークは、個人情報を適切に管理していることを示す証であり、企業の信頼性を高めます。

 

■ そもそも個人情報とは

個人情報とは、特定の個人を識別できる情報です。名前や住所、生年月日、電話番号、メールアドレスなどが含まれ、個人情報保護法に基づいて保護されています。インターネットの普及により、個人情報の取り扱いをより慎重に行うことが求められています。

個人情報を扱う企業においては、個人情報を収集する際、どの情報が個人情報に該当するのかを理解しておくことが重要です。

 

【関連記事】

個人情報とは?定義や具体例、取り扱う際の基本ルールを解説

 

■ 特定個人情報との違い

個人情報と特定個人情報の違いは、利用目的にあります。

特定個人情報は、個人情報の中でも特に重要な情報とされ、マイナンバー(社会保障・税番号)を含む個人情報です。特定個人情報は特定個人情報保護法によって定義されており、利用目的は「税・社会保障・災害対策」に限定されています。

一方、個人情報は個人情報保護法によって定義されており、利用目的に制限はありません。

 

 【関連記事】

特定個人情報とは?個人情報との違いや取り扱いに関する注意点、漏えい時の対応を解説

 

■ 個人情報保護法における定義

個人情報は、個人情報保護法によって以下のように定義されています。

 

第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。

 

引用:個人情報の保護に関する法律「厚生労働省」

 

個人情報保護法は、個人情報の取り扱いに関する基準を定め、個人の権利利益を保護するための法律です。個人の権利を守るための重要な法律であり、個人情報を扱う企業は定義や規制内容を理解しておく必要があります。

個人情報保護法が制定されたのは、情報化社会の進展に伴い個人情報が多くの企業や団体で収集・利用されるようになり、情報の流出や不正利用などから個人のプライバシーを守る必要性が高まったためです。個人情報保護法に基づき、事業者は個人情報を適切に取得し、利用目的を明確にし、本人の同意を得ることが求められます。さらに、情報の漏えいを防ぐための安全管理措置も義務付けられています。

 

  【関連記事】

個人情報保護法とは?個人情報の収集や利用、管理、提供のルールを解説

 

 

2. 個人情報の特定が重要な理由

個人情報の特定が重要な理由は、企業の信頼性を高め、法令遵守を確実にするためです。個人情報保護法や関連する規制に従うことは、企業にとって避けられない責務となっています。情報漏えいや不正利用が発生した場合、信頼を失うだけでなく、法的なペナルティを受ける可能性があるため、個人情報を正確に特定し、適切に管理する必要があるわけです。

個人情報の特定は、個人情報をどのように収集・利用・保護するかを明確にするための第一歩です。企業は情報の取扱いに関する透明性を確保し、顧客や関係者からの信頼を得ることができます。また、個人情報の特定は、情報漏えいを未然に防ぐためのリスク管理にも直結しています。

 

■ Pマーク取得における個人情報の特定の役割

Pマーク(プライバシーマーク)取得において、個人情報の特定は非常に重要な役割を果たします。個人情報を適切に特定することで、企業は情報の漏えいリスクを最小限に抑えることが可能です。Pマークは企業が個人情報を適切に管理していることを証明するものであり、信頼性を高めるための重要な要素です。

 

JISQ15001:2006の要求事項においても「事業者は,自らの事業の用に供するすべての個人情報を特定するための手順を確立し,維持しなければならない。」と記載されており、「自らの事業の用に供する」目的で個人情報を扱う必要があることが分かります。

 

4.3.1 個人情報の特定

事業者は,自らの事業の用に供するすべての個人情報を特定するための手順を確立し,維持しなければならない。

 

引用:個人情報保護マネジメントシステム―要求事項「経済産業省」

 

個人情報の特定においては、情報の収集や利用、保管に関するフローを明確にすることが重要です。特定した個人情報を利用目的に応じて適切に管理することで、利用目的外の情報の使用を防ぎ、法令遵守を確保することができます

 

【関連記事】

プライバシーマークとは?制度の仕組みや取得するメリット、手順を解説

 

 

3. 個人情報の特定の具体的な手順

個人情報の特定では、業務フロー図を活用して情報の流れを可視化し、どのプロセスでどの情報が扱われるかを確認します。次に、ガイドラインを参考にしながら、特定すべき情報の基準を明確にします。最後に、個人情報管理台帳を作成し、特定した情報を整理・管理します。以下で詳しく解説していきます。

 

■ 業務フロー図の活用

業務フロー図を用いた個人情報の特定は、組織内の情報流れを視覚的に把握し、効率的に個人情報を特定する手法です。業務フロー図は業務の流れやプロセスを図式化したもので、情報がどのように収集され、どの段階で処理されるのかを明確に示します。業務フロー図を用いることで個人情報がどのプロセスで関与しているかを容易に確認でき、特定がスムーズに進めることができるわけです。

業務フロー図を作成する際には、業務の全体像を把握することが重要です。はじめに、情報の入力から出力までの流れを詳細に描き出します。次に、各プロセスでどのような情報が使用されているのかを洗い出し、それが個人情報に該当するかを確認します。

業務フロー図を活用することで個人情報の流れを視覚的に理解できるため、特定の精度が向上します。また、業務の効率化にも寄与し、無駄な情報収集や管理を排除することが可能です。

 

■ ガイドラインの活用

経済産業省が提供するガイドラインには、どのような情報が個人情報に該当するのか、具体的な事例とともに明示されています。ガイドラインを活用することで、個人情報の特定から管理まで一貫した対応が可能となり、法令遵守とセキュリティの両立を図ることが可能です。

ガイドラインには、個人情報の適切な管理方法も詳しく記載されています。情報の保管場所やアクセス権限の設定、情報漏えいを防ぐためのセキュリティ対策などを実践することで、個人情報の保護が強化されるでしょう。

 

【参考資料】

個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン「経済産業省」

 

■ 個人情報管理台帳の作成

個人情報管理台帳の作成は、個人情報の特定や管理において欠かせないプロセスです。個人情報管理台帳を適切に整備することで、情報の漏えいや誤用を防ぐだけでなく、業務効率の向上にも寄与します。

 

個人情報管理台帳を作成する際には、収集する情報の項目を明確に定義することが重要です。氏名や住所、電話番号、メールアドレスなど、どの情報が個人情報に該当するかをリストアップします。これにより、個人情報の特定が容易になり、どの情報をどのように管理するかを明確にすることが可能です。

 

次に、収集した個人情報がどの業務で使用されるのか、またどの部門が責任を持っているのかを台帳に記載します。情報の利用目的を明確にすることで、情報の誤用や不正利用のリスクを軽減できます。個人情報の保管場所やアクセス権限についても台帳に記載しておくと、情報への不正アクセスを防ぎ、必要な時に迅速に情報を取り出せます。

 

また、個人情報管理台帳は、法令の改正や業務内容の変更に応じて定期的に見直し、更新することが求められます。台帳の内容を定期的に見直すことで、常に適切な個人情報管理を維持できます。

 

 

4. 個人情報の特定のポイント

個人情報の特定のポイントは以下の6つです。

  • 事業で使う全ての個人情報を網羅する
  • ライフサイクル(流れ)を把握する
  • 利用目的を具体的に設定する
  • 定期的に見直す
  • 隠れた個人情報を洗い出す
  • マイナンバーの扱いに注意する

それぞれのポイントについて詳しく解説します。

 

■ 事業で使う全ての個人情報を網羅する

網羅的に事業で使う個人情報を把握することで、漏れや不備を防ぎ、適切な管理を行う基礎を構築することができます。事業で使う全ての個人情報を網羅するには、どのような個人情報を取り扱っているのかを明確にすることが重要です。

初めに、顧客の名前や住所、連絡先、さらには取引履歴など、事業における全ての情報をリストアップします。

次に、それぞれの情報がどのような目的で収集され、どのように利用されているのかを確認します。これにより、利用目的が不明確な情報や、不要な情報がないかをチェックできます。

最後に、網羅した情報を定期的に見直し、更新することで、常に最新の情報を管理し、法律や規則の変更にも迅速に対応できます。

 

■ ライフサイクル(流れ)を把握する

個人情報のライフサイクルを把握することは、個人情報の特定と管理において非常に重要です。ライフサイクルとは、情報が収集されてから廃棄されるまでの一連の流れを指します。この流れを理解することで、どの段階でどのような管理が必要かを明確にすることができます。

まず、情報の収集段階では、どのような情報をどのように取得するのかを確認します。この段階で個人情報の取得が適法であることを確認することが大切です。次に、情報の利用段階では、取得した情報をどのように利用し、誰がアクセスするのかを管理します。アクセス権限を適切に設定することで、不正利用を防ぐことができます。

さらに、保存段階では、情報を安全に保管するための方法を検討します。例えば、暗号化やアクセス制限を設けることが考えられます。そして、情報の提供段階では、情報を第三者に提供する際の手続きや契約を確認し、個人情報が適切に扱われるようにします。

最後に、廃棄段階では、不要になった情報を安全に削除する方法を確認します。

 

■ 利用目的を具体的に設定する

個人情報を特定する際には、利用目的を具体的に設定することが非常に重要です。どの情報が必要で、どのように利用されるかを明確にでき、無駄な情報収集を避けることができます。具体的な利用目的を設定することで、情報の取扱いにおける透明性が増し、情報提供者の信頼を得ることができるでしょう。

 

具体例として、顧客情報を収集する場合、単に「マーケティングのため」とするのではなく、「新商品の案内を送付するため」や「顧客満足度調査のため」といった具体的な目的を記載することが求められます。これにより、情報提供者はどのように自分の情報が使われるのかを理解しやすくなり、安心感を持つことができるわけです。

 

また、利用目的を具体的に設定することで、情報の漏洩や不正利用のリスクを最小限に抑えることが可能です。目的外利用を防ぐための基準が明確になるため、情報管理がより厳格になります。

 

■ 定期的に見直す

個人情報の特定において、定期的な見直しは非常に重要です。個人情報の取り扱いに関しては法律や規則が変わることがあるため、最新の状況に合わせて管理方法を見直す必要があります。

 

見直しの際には、まず現在保有している個人情報がどのように利用されているかを確認します。そして、利用目的が明確でない情報やすでに不要となった情報を洗い出し、適切に削除またはアーカイブすることが求められます。また、情報のライフサイクルも見直しの重要なポイントです。情報がどのように取得され、どのように利用され、最終的にどのように廃棄されるのかを明確にすることで、情報管理の効率が向上します。

 

■ 隠れた個人情報を洗い出す

多くの企業や団体は顧客や従業員の個人情報を扱っていますが、認識されていない個人情報が存在することがあります。これらの隠れた個人情報を見逃すと、情報漏えいや法令違反のリスクが高まるため、細心の注意を払う必要があります。

 

隠れた個人情報とは、写真や動画、文書ファイルなどのメタデータや写り込みに潜む、意識しづらい個人情報です。これらの情報は組み合わせることで個人を特定できる可能性があるため、適切に管理する必要があります。

 

■ マイナンバーの扱いに注意する

マイナンバーは他の個人情報と組み合わせることで個人を特定できるため、取り扱いには厳重な注意が必要です。適切な管理が行われていない場合には、法律違反となる可能性があります。

 

マイナンバーを取り扱う際には、取り扱う業務フローを明確にし、関係者以外のアクセスを制限することが重要です。また、データの暗号化やアクセスログの管理など、技術的なセキュリティ対策も欠かせません。

 

 

5. 特定後の個人情報の整理と管理

個人情報を特定しても、整理や管理が不十分だと、情報流出やプライバシー侵害のリスクが高まり、企業の信用を損なう可能性があります。

個人情報を整理する際には、まず収集した個人情報の分類とリスク評価を行い、重要度に応じた管理体制を整えることが重要です。特定後に個人情報の整理と管理を行うことにより、情報の取扱いにおけるリスクを最小限に抑えることができます。具体的には、情報のアクセス権を制限する、定期的なセキュリティチェックを行うなどの対策が必要です。

 

■ 個人情報の整理

特定後の個人情報の整理とリスク評価は、個人情報を適切に管理するための基本的なステップです。個人情報がどのように取得され、どこで保管されているかを把握する必要があります。

具体的には、個人情報の分類を行い、どの個人情報が重要かを判断します。例えば、顧客の氏名や住所、電話番号などの情報は、漏えいした場合に大きなリスクを伴います。このようなリスクの高い個人情報をリスト化し、どのレベルの保護が必要かを評価することが重要です。

 

■ リスク評価

次に、リスク評価を行います。リスク評価では、個人情報が外部に漏れる可能性があるかを分析し、それに対する対策を講じます。具体的な対策としては、アクセス権限の制限やデータの暗号化、定期的なセキュリティチェックの実施などが挙げられます。

最後に、これらの情報整理とリスク評価の結果を文書化し、定期的に見直すことで、常に最新の情報とリスクに対応できる体制を整えることが重要です。

定期的な監査と見直し

個人情報管理の体制を定期的にチェックし、必要に応じて改善を行うことで、常に最新のセキュリティ対策を維持できます。自社の管理体制が十分なのか不安に感じる場合は、外部の専門家による監査を利用するのも一つの方法です。

 

 

6. まとめ

今回は、プライバシーマーク取得に向けた個人情報の特定の手順とポイントについて解説しました。

企業がプライバシーマークを取得しようとする際、重要なのは個人情報の特定です。個人情報を適切に特定するプロセスを確立し維持することで、個人情報の漏えいや不正使用を防止し、個人情報をより確実に保護することできます。

 

アトミテックでは、委託先リスク管理の手順をまとめた委託先リスク管理ガイドを公開しています。ぜひ自社の委託先管理の参考になさってください。