業務フローと保有個人情報の洗い出し:Pマーク取得への道(2)(3/3 ページ)
各部門の個人情報業務の調査(一覧の作成依頼)
全部門に対して調査を行い、部門単位での個人情報一覧を作成します。調査を実施するときには、「このような個人情報持っていませんか?」というキーワードを盛り込んだ資料を添付します。
この際、自社内で使われている名称(システム、データ、業務など)を極力使って全社へアナウンスすることが重要です。一般的な資料では、なかなか気付きが生まれないものです。「あ〜、そういえば……」と思わせるキーワードを盛り込みましょう。
また、収集から廃棄まで、個人情報保護法で求められている個人情報の管理状態を把握できる以下のような項目を盛り込みます。
- どのような個人情報を持っているのか(表1「個人情報調査基準」参照)
- どのような形態の個人情報か(紙なのかデータなのか)
- 個人情報の量はどのくらいか
- どのように収集したか(紙、Web入力、電話、他社からもらったなど)
- どのような管理状態か(管理者や保管場所など)
- 提供や委託など、他部門や他社に個人情報を流していないか
- 廃棄状況などはどうか
表1 個人情報調査基準一覧を作成することで、プロジェクトリーダーはどの部門に重要な個人情報がありそうなのか、また管理状況として問題と感じる部分はどのあたりなのかということを知ることができます。
しかし、各部門に対し個人情報一覧の作成を依頼しても、記入の方法やどこまで詳しく書けばよいのかといった不明点が出てくることは否めません。このような不明点は、インタビューによって解消していきます。また、インタビューを実施することで各部門の個人情報の保有状況をより詳しく調査できます。
インタビューで現状を確認する
全社インタビュー
まずは、全社の情報システム部門および社員情報を保有している総務・人事部門にインタビューを行います。特に情報システム部門へのインタビューを行うことで、サーバ環境やネットワーク環境など全部門に係る全社のセキュリティ環境が見えてきます。これにより、個人情報がどのような危険にさらされているか、という状況を把握することができます。
部門インタビュー
全社的な状況を把握したら、次に部門インタビューを行います。部門インタビューはより詳細な個人情報の保有状況および個人情報の取り扱い方を調査するために実施します。
全社インタビューの結果と、各部門に作成してもらった個人情報一覧から部門インタビューをすべき部門が浮かび上がってきているはずです。例えば、次のような部門などが該当するでしょう。
- 重要な個人情報を取り扱っている部門
- 業務委託・提供などを行っている(もしくは可能性のある)部門
- 大量の個人情報を保有している部門
- 社内でも重要な業務(事業継続的観点で)で個人情報を取り扱っている部門
このような部門の管理者および業務担当者へインタビューを行います。部門インタビューで重要なのは、業務フローが作成できるように個人情報の流れを明らかにすることです。
業務フローの作成
業務フローは、個人情報を取り扱うすべての業務について作成することが理想ですが、現実的にはなかなか難しいでしょう。業務フローは、業務の担当者またはインタビューを行ったプロジェクト推進チームが作成します。
どこまで業務フローを作成するかは、プロジェクト推進チームで検討すればよいと思いますが、少なくともインタビューを行った部門(業務)については、業務フローを作成し個人情報の流れをしっかり把握することが重要です。
また、業務フローを作成することにより、不要な個人情報に気付くことができます。業務そのものを見直す機会にもなりますし、「個人情報は必要なものだけを保有する」ということを業務の担当者が強く意識することができます。
ここまでのフェイズでは、社内の保有個人情報を調査しつつ、不要な個人情報を廃棄することも1つの目的とします。全社的に「必要な個人情報のみを保有する」という意識が重要であり、この現状把握フェイズにも「社内教育」の意味合いも持たせることができます。
次回は、調査により明らかになった個人情報の「リスク分析」について解説していきます。
筆者紹介
NECソフト株式会社
営業本部 コンサルティンググループ
ISMS審査員補/認定プライバシーコンサルタント(CPC)
直江 とよみ(なおえ とよみ)
個人情報保護対応のコンサルティング業務を中心に担当。 NECソフトでは、ISMSやプライバシーマークなどの取得支援サービスを提供しています。
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。