個人情報保護法に向けて(3)　個人情報を洗い出す！

前回の「利用目的の同意をきっちりとる」では個人情報収集にあたっての注意点についてみてきました。今回から社内で個人情報を適切に管理するにはどうすればよいか考えていきます。まず管理すべき個人情報が社内のどこにあるのか洗い出しを行います。

個人情報は社内のどこにある？

まずは社内にプロジェクトチームを作ります。人選の基準は特にありませんが、個人情報保護法について一通り学んだ人材を任命します。プロジェクトチームを作ってから教育してもかまいません。プロジェクトメンバーには後で社員全員に教育する立場になると伝え、しっかり学んでもらいます。またプロジェクト長は個人情報保護管理者（CPO：チーフ・プライバシー・オフィサー）になります。

プロジェクトメンバーを中心に社内のどこに個人情報があり、どう管理されているか洗い出します。この作業をプロジェクトメンバーだけでやると大変な作業になりますので社内の人間に協力してもらい行います。その前にまず社員を集めて、個人情報保護法の概要と個人情報とはどういうものか教育を行います。社員には単なるメモでも個人が識別できたら個人情報となることを徹底します。また、取り扱いミスで個人情報漏洩をすると企業の信用をなくし、最悪の場合、自分達が働く職場がなくなってしまうなどリスクについて十分、理解してもらうことが大切です。

教育が終わった段階で個人情報取扱台帳のフォーマットを渡し、部門で管理している個人情報、社員個人で管理している個人情報を洗い出し記入してもらいます。少し悩ましい問題が営業社員が顧客の家族構成や誕生日、嗜好などの個人情報を長年の努力で集め、営業ツールとして使っている場合です。会社の管理下におくより営業社員の管理下で情報活用する方がよいと判断した場合は、別に運用手順を定めて営業社員に遵守させます。

個人情報の洗い出し

個人情報取扱台帳には保管場所、保管方法、取得項目、顧客に通知した利用目的、アクセス権限を持つ者、利用期限などを記載してもらいます。分からない部分は空白でかまいません。特に社員個人で管理している個人情報の洗い出しが大変です。サーバーから取り出した個人情報を加工して、自分のパソコンのハードディスクに入れているケースが多々あります。またそれを印刷して机の中やファイルに入れていて忘れ去っているケースも多々あります。一つ一つ洗い出していきます。

職場を眺めてみて、各人の机の上にファイルが林立していたり散らかっていたりしているような職場ですと、個人情報の洗い出し以前に３Ｓ（整理、整頓、掃除）を行います。ファイリング技術を応用し、個人情報を個人持ちから部門管理へ整理しておくと、洗い出す個人情報が少なくなります。

■個人情報取扱台帳の作成

各社員から提出してもらった個人情報をまとめて個人情報取扱台帳を作成します。昔、利用していた個人情報もたくさん見つかります。利用目的を再度考えて、あまり必要性がなければ消去・廃棄します。特に台帳の項目に空白が多いものは有効利用していないケースがほとんどです。

また本当にその項目が必要なのか取得項目について再検討してください。ある中小企業では今まで電子メールアドレス、性別、生年月日、住所、氏名を取得していましたが、利用目的を考え直すと住所、氏名は不要なことが判明し、保有する個人情報から住所、氏名を削除しました。これは個人情報漏洩が発生した場合、影響を少なくできリスクを下げることになります。こうして整理された個人情報をいかに社内で適切に管理していくかを次に考えていきます。